Le ministère de la Justice inculpe 14 Nord-Coréens pour une fraude de 88 millions de dollars contre des travailleurs informatiques sur une période de six ans
Le ministère américain de la Justice (DoJ) a inculpé 14 ressortissants appartenant à la République populaire démocratique de Corée (RPDC ou Corée du Nord) pour leur implication présumée dans un complot de longue date visant à violer les sanctions et à commettre des fraudes électroniques, du blanchiment d’argent et du vol d’identité en recherchant illégalement un emploi dans des entreprises américaines et des organisations à but non lucratif.
« Les conspirateurs, qui travaillaient pour les sociétés contrôlées par la RPDC Yanbian Silverstar et Volasys Silverstar, situées respectivement en République populaire de Chine (RPC) et en Fédération de Russie (Russie), ont conspiré pour utiliser de fausses identités, volées et empruntées à des personnes américaines et autres pour dissimuler leurs identités nord-coréennes et leurs emplacements à l’étranger et obtenir un emploi en tant que travailleurs informatiques à distance », a déclaré le ministère de la Justice .
Selon certaines sources, le système informatique aurait rapporté au moins 88 millions de dollars au régime nord-coréen sur une période de six ans. En outre, les travailleurs à distance se seraient livrés à des vols d’informations, notamment de codes sources exclusifs, et auraient menacé de divulguer les données à moins qu’une rançon ne soit versée. Les profits illicites ainsi obtenus étaient ensuite acheminés vers Pyongyang via les systèmes financiers américains et chinois.
Le ministère de la Justice a déclaré avoir connaissance du cas d’un employeur qui a subi des centaines de milliers de dollars de dommages et intérêts après avoir refusé de céder à la demande d’extorsion d’un travailleur informatique nord-coréen, qui a ensuite fini par divulguer les informations confidentielles en ligne.
Les individus identifiés sont ci-dessous –
- Jong Song Hwa (정성화)
- Ri Kyong Sik (리경식)
- Chanson de Kim Ryu (김류성)
- Rim Un Chol (림은철)
- Kim Mu Rim (김무림)
- Cho Chung Pom (salade)
- Chanson de Hyon Chol (현철성)
- Son Un Chol (salade)
- Sok Kwang Hyok (samedi et dimanche)
- Choe Jong Yong (최정용)
- Ko Chung Sok (고충석)
- Kim Ye Won (acteur)
- Jong Kyong Chol (정경철), et
- Jang Chol Myong (장철명)
Les 14 conspirateurs auraient occupé des postes variés, allant de cadres supérieurs à des informaticiens. Les deux entreprises sanctionnées ont employé au moins 130 informaticiens nord-coréens, appelés IT Warriors, qui ont participé à des « concours du socialisme » organisés par les entreprises pour générer des revenus pour la RPDC. Les plus performants ont reçu des primes et d’autres prix.
Cette initiative est la dernière d’une série de mesures prises par le gouvernement américain ces dernières années pour lutter contre le système de fraude aux travailleurs informatiques, une campagne suivie par la communauté de la cybersécurité sous le nom de Wagemole.
Le ministère de la Justice a déclaré avoir depuis saisi 29 faux domaines de sites Web ( 17 en octobre 2023 et 12 en mai 2024 ) utilisés par des travailleurs informatiques de la RPDC pour imiter des sociétés de services informatiques occidentales afin de soutenir la bonne foi de leurs tentatives d’obtenir des contrats de travail à distance pour des entreprises américaines et d’autres entreprises dans le monde. L’agence a également déclaré avoir saisi au total 2,26 millions de dollars (dont 1,5 million de dollars saisis en octobre 2023) sur des comptes bancaires liés à ce stratagème.
Par ailleurs, le Département d’État a annoncé une récompense pouvant aller jusqu’à 5 millions de dollars pour toute information sur les sociétés écrans, les individus identifiés et leurs activités illicites.
« Les stratagèmes utilisés par les informaticiens de la RPDC impliquent l’utilisation de comptes de messagerie électronique, de réseaux sociaux, de plateformes de paiement et de sites d’emploi en ligne sous pseudonyme, ainsi que de faux sites Web, d’ordinateurs proxy, de réseaux privés virtuels, de serveurs privés virtuels et de tiers non avertis situés aux États-Unis et ailleurs », a déclaré le ministère de la Justice. « Les conspirateurs ont utilisé de nombreuses techniques pour dissimuler leur identité nord-coréenne aux employeurs. »
L’une de ces méthodes consiste à utiliser des parcs d’ordinateurs portables aux États-Unis, en payant des personnes résidant dans le pays pour recevoir et installer des ordinateurs portables fournis par l’entreprise et permettre aux informaticiens de se connecter à distance grâce à des logiciels installés sur ces derniers. L’idée est de donner l’impression qu’ils accèdent à leur travail depuis les États-Unis alors qu’en réalité ils se trouvent en Chine ou en Russie.
Les 14 conspirateurs ont été accusés de complot en vue de violer la loi sur les pouvoirs économiques d’urgence internationale, de complot en vue de commettre une fraude électronique, de complot en vue de commettre un blanchiment d’argent et de complot en vue de commettre un vol d’identité. Huit d’entre eux ont été accusés de vol d’identité aggravé. S’ils sont reconnus coupables, chacun d’entre eux risque une peine maximale de 27 ans de prison.
Le vol de crypto-monnaies de Radiant Capital lié à la neige fondante
L’arnaque des travailleurs informatiques n’est qu’une des nombreuses méthodes adoptées par la Corée du Nord pour générer des revenus illicites et soutenir ses objectifs stratégiques, les autres étant le vol de cryptomonnaie et le ciblage des sociétés bancaires et de blockchain .
Plus tôt ce mois-ci, la plateforme de finance décentralisée (DeFi) Radiant Capital a attribué à un acteur malveillant lié à la Corée du Nord, surnommé Citrine Sleet , le vol de cryptomonnaie de 50 millions de dollars qui a eu lieu à la suite d’une violation de ses systèmes en octobre 2024.
L’adversaire, également appelé Gleaming Pisces, Labyrinth Chollima, Nickel Academy et UNC4736, est un sous-groupe du groupe Lazarus. Il est également connu pour avoir orchestré une campagne d’ingénierie sociale persistante baptisée Operation Dream Job, qui vise à attirer les développeurs avec des opportunités d’emploi lucratives pour les inciter à télécharger des logiciels malveillants.
Il convient de noter que ces efforts prennent également des formes différentes en fonction du groupe d’activités qui les sous-tend, qui peut varier des tests de codage ( Contagious Interview ) à la collaboration sur un projet GitHub ( Jade Sleet ).
L’attaque visant Radiant Capital n’a pas été différente dans la mesure où un développeur de l’entreprise a été approché par l’acteur malveillant en septembre sur Telegram en se faisant passer pour un ancien entrepreneur de confiance, sollicitant ostensiblement des commentaires sur son travail dans le cadre d’une nouvelle opportunité de carrière liée à l’audit des contrats intelligents.
Le message contenait un lien vers une archive ZIP contenant un fichier PDF qui, à son tour, livrait une porte dérobée macOS nommée INLETDRIFT qui, en plus d’afficher un document leurre à la victime, établissait également des communications furtives avec un serveur distant (« atokyonews[.]com »).
« Les attaquants ont pu compromettre plusieurs appareils de développeurs », a déclaré Radiant Capital. « Les interfaces frontales affichaient des données de transaction bénignes tandis que des transactions malveillantes étaient signées en arrière-plan. Les vérifications et simulations traditionnelles n’ont révélé aucune anomalie évidente, ce qui rend la menace pratiquement invisible lors des étapes d’analyse normales. »