Les employés nord-coréens du secteur informatique des entreprises occidentales demandent désormais une rançon pour les données volées
Les travailleurs nord-coréens du secteur des technologies de l’information (TI) qui obtiennent un emploi sous de fausses identités dans des entreprises occidentales ne se contentent pas de voler la propriété intellectuelle, mais ils intensifient également leurs efforts en exigeant des rançons pour ne pas la divulguer, marquant ainsi un nouveau tournant dans leurs attaques à motivation financière.
« Dans certains cas, des travailleurs fraudeurs ont exigé des rançons de leurs anciens employeurs après avoir obtenu un accès privilégié, une tactique qui n’avait pas été observée dans les stratagèmes précédents », a déclaré Secureworks Counter Threat Unit (CTU) dans une analyse publiée cette semaine. « Dans un cas, un sous-traitant a exfiltré des données exclusives presque immédiatement après avoir commencé à travailler à la mi-2024. »
L’activité, a ajouté la société de cybersécurité, présente des similitudes avec un groupe de menaces qu’elle suit sous le nom de Nickel Tapestry, également connu sous le nom de Famous Chollima et UNC5267 .
Le stratagème visant à recruter des travailleurs informatiques frauduleux, orchestré dans le but de faire avancer les intérêts stratégiques et financiers de la Corée du Nord, fait référence à une opération de menace interne qui implique l’infiltration d’entreprises occidentales pour générer des revenus illicites pour la nation frappée par les sanctions.
Ces travailleurs nord-coréens sont généralement envoyés dans des pays comme la Chine et la Russie, d’où ils se font passer pour des travailleurs indépendants à la recherche d’opportunités d’emploi. Il arrive aussi qu’ils volent l’identité de personnes légitimes résidant aux États-Unis pour atteindre les mêmes objectifs.
Ils sont également connus pour demander des modifications des adresses de livraison des ordinateurs portables fournis par l’entreprise, les redirigeant souvent vers des intermédiaires dans des fermes d’ordinateurs portables , qui sont rémunérés pour leurs efforts par des facilitateurs basés à l’étranger et sont chargés d’installer des logiciels de bureau à distance qui permettent aux acteurs nord-coréens de se connecter aux ordinateurs.
De plus, plusieurs entrepreneurs pourraient finir par être embauchés par la même entreprise ou, au contraire, une seule personne pourrait assumer plusieurs rôles.
Secureworks a déclaré avoir également observé des cas où les faux entrepreneurs ont demandé l’autorisation d’utiliser leurs propres ordinateurs portables personnels et ont même obligé les organisations à annuler complètement l’expédition de l’ordinateur portable parce qu’ils avaient changé l’adresse de livraison pendant le transport.
/>« Ce comportement s’inscrit dans la stratégie de Nickel Tapestry qui consiste à éviter les ordinateurs portables des entreprises, éliminant potentiellement le besoin d’un facilitateur dans le pays et limitant l’accès aux preuves médico-légales », a-t-il déclaré. « Cette tactique permet aux sous-traitants d’utiliser leurs ordinateurs portables personnels pour accéder à distance au réseau de l’organisation. »
Signe que les acteurs de la menace évoluent et portent leurs activités à un niveau supérieur, des preuves ont été révélées démontrant comment un entrepreneur dont l’emploi a été licencié par une entreprise anonyme pour mauvaise performance a eu recours à l’envoi d’e-mails d’extorsion comprenant des pièces jointes ZIP contenant la preuve de données volées.
« Ce changement modifie considérablement le profil de risque associé à l’embauche par inadvertance de travailleurs informatiques nord-coréens », a déclaré Rafe Pilling, directeur du renseignement sur les menaces chez Secureworks CTU, dans un communiqué. « Ils ne cherchent plus seulement à obtenir un salaire stable, ils cherchent à gagner des sommes plus élevées, plus rapidement, par le biais du vol de données et de l’extorsion, depuis l’intérieur des défenses de l’entreprise. »
Pour faire face à cette menace, les organisations ont été invitées à être vigilantes pendant le processus de recrutement, notamment en effectuant des vérifications d’identité approfondies, en réalisant des entretiens en personne ou par vidéo, et en étant à l’affût des tentatives de réacheminement de l’équipement informatique de l’entreprise envoyé à l’adresse personnelle déclarée des entrepreneurs, d’acheminement des chèques de paie vers des services de transfert d’argent et d’accès au réseau de l’entreprise avec des outils d’accès à distance non autorisés.
« Cette escalade et les comportements répertoriés dans l’alerte du FBI démontrent la nature calculée de ces stratagèmes », a déclaré le CTU de Secureworks, soulignant le comportement financier suspect des travailleurs et leurs tentatives d’éviter d’activer la vidéo pendant les appels.
« L’apparition de demandes de rançon marque une rupture notable avec les précédents stratagèmes de Nickel Tapestry. Cependant, l’activité observée avant l’extorsion correspond aux stratagèmes précédents impliquant des travailleurs nord-coréens. »