Voici comment les agents nord-coréens tentent d’infiltrer les sociétés de cryptographie américaines

L’homme à l’autre bout du fil, un agent du FBI, a déclaré à Devin que le développeur de logiciels apparemment légitime qu’il avait embauché l’été précédent était un agent nord-coréen qui avait envoyé des dizaines de milliers de dollars de son salaire au régime autoritaire du pays.

Abasourdi, Devin a raccroché et a immédiatement coupé l’employé des comptes de l’entreprise, a-t-il déclaré.

“C’était un bon contributeur”, a déploré Devin, intrigué par l’homme qui avait prétendu être chinois et passé plusieurs séries d’entretiens pour être embauché. (CNN utilise un pseudonyme pour Devin afin de protéger l’identité de son entreprise).

Selon les Nations Unies, des pirates informatiques soutenus par le gouvernement nord-coréen ont volé l’équivalent de milliards de dollars ces dernières années en attaquant des bourses de crypto-monnaie. Dans certains cas, ils ont pu attraper des centaines de millions de dollars en un seul braquage, selon le FBI et des enquêteurs privés.

Maintenant, les enquêteurs fédéraux américains mettent publiquement en garde contre un pilier clé de la stratégie nord-coréenne, dans laquelle le régime place des agents dans des emplois technologiques dans l’ensemble de l’industrie des technologies de l’information.

Les départements du FBI, du Trésor et de l’État ont publié en mai un avis public rare sur des milliers de personnel informatique “hautement qualifié” qui fournissent à Pyongyang “un flux de revenus critique”. qui aide à financer les “plus hautes priorités économiques et de sécurité” du régime.

Il s’agit d’un stratagème élaboré pour gagner de l’argent qui s’appuie sur des sociétés écrans, des sous-traitants et la tromperie pour s’attaquer à une industrie volatile qui est toujours à la recherche des meilleurs talents. Les travailleurs nord-coréens de la technologie peuvent gagner plus de 300 000 dollars par an – des centaines de fois le revenu moyen d’un citoyen nord-coréen – et jusqu’à 90 % de leur salaire vont au régime, selon le conseil américain.

“(Les Nord-Coréens) prennent cela très au sérieux”, a déclaré Soo Kim, un ancien analyste nord-coréen à la CIA. “Ce n’est pas seulement un rando dans son sous-sol essayant d’exploiter la crypto-monnaie”, a-t-elle ajouté, faisant référence au processus de génération d’argent numérique. “C’est une manière de vivre.”

La valeur de la crypto-monnaie a chuté ces derniers mois, épuisant le butin nord-coréen de plusieurs millions de dollars. Selon Chainalysis, une entreprise qui suit la monnaie numérique, la valeur des avoirs nord-coréens dans des “portefeuilles” ou des comptes de crypto-monnaie qui n’ont pas été encaissés a chuté de plus de moitié depuis la fin de l’année dernière, passant de 170 millions de dollars à environ 65 millions de dollars.

Mais les analystes affirment que l’industrie de la crypto-monnaie est une cible trop précieuse pour que les agents nord-coréens se détournent en raison des cyberdéfense relativement faibles de l’industrie et du rôle que la crypto-monnaie peut jouer pour échapper aux sanctions.

Ces derniers mois, des responsables américains ont organisé une série de réunions d’information privées avec des gouvernements étrangers tels que le Japon et avec des entreprises technologiques aux États-Unis et à l’étranger, pour tirer la sonnette d’alarme sur la menace du personnel informatique nord-coréen, un responsable du département du Trésor spécialisé dans le Nord La Corée a déclaré à CNN.

La liste des entreprises ciblées par les Nord-Coréens couvre à peu près tous les aspects du secteur technologique indépendant, y compris les processeurs de paiement et les cabinets de recrutement, a déclaré le responsable.

Pyongyang a misé sur ses travailleurs technologiques à l’étranger pour ses revenus pendant des années. Mais la pandémie de coronavirus – et le verrouillage occasionnel qu’elle a provoqué en Corée du Nord – a, au contraire, fait de la diaspora technologique une source de financement plus cruciale pour le régime, a déclaré le responsable du Trésor à CNN.

“Le Trésor continuera de cibler les efforts de génération de revenus de la RPDC, y compris son programme de travailleurs informatiques illicites et les cyberactivités malveillantes connexes”, a déclaré Brian Nelson, sous-secrétaire au Trésor chargé du terrorisme et du renseignement financier, dans un communiqué à CNN, en utilisant l’acronyme de Corée du Nord.

“Les entreprises qui s’engagent ou traitent des transactions pour [North Korean tech] les travailleurs risquent d’être exposés aux sanctions américaines et onusiennes », a ajouté Nelson, qui a rencontré le mois dernier des responsables du gouvernement sud-coréen pour discuter des moyens de lutter contre les activités de blanchiment d’argent et de cybercriminalité du Nord.

CNN a envoyé un e-mail et appelé l’ambassade de Corée du Nord à Londres pour obtenir des commentaires.

Les enquêteurs fédéraux sont également à la recherche d’Américains qui pourraient être enclins à prêter leur expertise dans les monnaies numériques à la Corée du Nord.

En avril, un programmeur informatique américain de 39 ans nommé Virgil Griffith a été condamné à plus de cinq ans de prison aux États-Unis pour avoir violé les sanctions américaines contre la Corée du Nord après avoir pris la parole lors d’une conférence sur la blockchain en 2019 sur la manière d’échapper aux sanctions. Griffith a plaidé coupable et, dans une déclaration soumise au juge avant le prononcé de la peine, a exprimé “un profond regret” et une “honte” pour ses actes, qu’il a attribués à une obsession de voir la Corée du Nord “avant qu’elle ne tombe”.

Mais le défi à long terme auquel sont confrontés les responsables américains est beaucoup plus subtil que les conférences sur la blockchain à Pyongyang. Il s’agit d’essayer de réduire les sources de financement diffuses que le gouvernement nord-coréen reçoit de sa diaspora technologique.

Épée à double tranchant

Le gouvernement nord-coréen a longtemps profité d’étrangers sous-estimant la capacité du régime à se débrouiller seul, à prospérer sur le marché noir et à exploiter les technologies de l’information qui sous-tendent l’économie mondiale.

Le régime a constitué un formidable groupe de hackers en sélectionnant des étudiants prometteurs en mathématiques et en sciences à l’école, plaçant la Corée du Nord dans la même conversation que l’Iran, la Chine et la Russie lorsque les responsables du renseignement américain discutent des cyberpouvoirs.
Sur cette photo fournie par le gouvernement nord-coréen, le dirigeant nord-coréen Kim Jong Un assiste à une séance photo avec des officiers et des soldats, le 27 avril 2022.

L’un des piratages nord-coréens les plus tristement célèbres s’est produit en 2014 avec la paralysie des systèmes informatiques de Sony Pictures Entertainment en représailles à “The Interview”, un film impliquant un complot fictif visant à tuer Kim Jong Un. Deux ans plus tard, des pirates nord-coréens ont volé quelque 81 millions de dollars à la Banque du Bangladesh en exploitant le système SWIFT pour transférer des fonds bancaires.

Au cours des années qui ont suivi, les équipes de piratage de la Corée du Nord se sont concentrées sur le marché en plein essor de la crypto-monnaie.

Les rendements ont parfois été astronomiques.

Selon le FBI, des pirates liés à Pyongyang ont volé en mars l’équivalent de 600 millions de dollars en crypto-monnaie à une société de jeux vidéo basée au Vietnam. Et les pirates nord-coréens étaient probablement à l’origine d’un braquage de 100 millions de dollars dans une société de crypto-monnaie basée en Californie, selon la société d’analyse de blockchain Elliptic.

“La plupart de ces entreprises et services de cryptographie sont encore loin de la posture de sécurité que nous voyons avec les banques traditionnelles et autres institutions financières”, a déclaré Fred Plan, analyste principal de la société de cybersécurité Mandiant, qui a enquêté sur des travailleurs technologiques nord-coréens présumés et partagé certaines de ses découvertes avec CNN.

Les milliers de travailleurs nord-coréens de la technologie à l’étranger donnent à Pyongyang une épée à double tranchant : ils peuvent gagner des salaires qui contournent les sanctions de l’ONU et des États-Unis et aller directement au régime tout en offrant occasionnellement aux pirates basés en Corée du Nord un pied dans la crypto-monnaie ou d’autres entreprises technologiques. Les informaticiens fournissent parfois un soutien “logistique” aux pirates et transfèrent de la crypto-monnaie, selon le récent avis du gouvernement américain.

“La communauté des programmeurs qualifiés en Corée du Nord autorisés à contacter les Occidentaux est sûrement assez petite”, a déclaré à CNN Nick Carlsen, qui jusqu’à l’année dernière était un analyste du renseignement du FBI axé sur la Corée du Nord.

“Ces types se connaissent. Même si un informaticien en particulier n’est pas un hacker, il en connaît un”, a déclaré Carlsen, qui travaille maintenant chez TRM Labs, une entreprise qui enquête sur la fraude financière. “Toute vulnérabilité qu’ils pourraient identifier dans les systèmes d’un client serait gravement menacée.”

Et les travailleurs de la technologie et les pirates informatiques de Corée du Nord ont utilisé à leur avantage la nature relativement ouverte du processus de recherche d’emploi – dans lequel n’importe qui peut prétendre être n’importe qui sur des plateformes telles que LinkedIn. Fin 2019, par exemple, d’éventuels pirates nord-coréens se sont fait passer pour des recruteurs sur LinkedIn pour cibler des données sensibles détenues par des employés de deux entreprises européennes de l’aérospatiale et de la défense, selon des chercheurs de la société de cybersécurité ESET.

“Nous recherchons activement des signes d’activité parrainée par l’État sur la plate-forme et prenons rapidement des mesures contre les mauvais acteurs afin de protéger nos membres”, a déclaré LinkedIn dans un communiqué à CNN. “Nous n’attendons pas les demandes, notre équipe de renseignements sur les menaces supprime les faux comptes à l’aide des informations que nous découvrons et des renseignements provenant de diverses sources, y compris des agences gouvernementales.”

Apprendre à repérer les drapeaux rouges

Certains dans l’industrie de la crypto-monnaie deviennent plus prudents alors qu’ils cherchent à embaucher de nouveaux talents. Dans le cas de Jonathan Wu, un appel vidéo avec un candidat à un emploi en avril l’a peut-être empêché d’embaucher involontairement quelqu’un qu’il soupçonnait d’être un technicien nord-coréen.

En tant que responsable du marketing de croissance chez Aztec, une entreprise qui propose des fonctionnalités de confidentialité pour Ethereum, un type populaire de technologie de crypto-monnaie, Wu cherchait un nouvel ingénieur logiciel lorsque l’équipe de recrutement est tombée sur un CV prometteur que quelqu’un avait soumis.

Le demandeur a revendiqué une expérience avec les jetons non fongibles (NFT) et d’autres segments du marché de la crypto-monnaie.

“Cela ressemblait à quelqu’un que nous pourrions embaucher comme ingénieur”, a déclaré Wu, qui est basé à New York, à CNN.

Mais Wu a vu un certain nombre de drapeaux rouges chez le candidat, qui a donné son nom comme “Bobby Sierra”. Il a parlé dans un anglais hésitant pendant l’entretien, a gardé sa caméra Web éteinte et pouvait à peine garder sa trame de fond droite car il a pratiquement demandé un emploi chez Aztec, selon Wu.

Wu n’a pas fini par embaucher “Sierra”, qui a déclaré sur son CV vivre au Canada.

“On aurait dit qu’il se trouvait dans un centre d’appels”, a déclaré Wu. “On aurait dit qu’il y avait quatre ou cinq gars dans le bureau, parlant aussi fort, apparemment aussi lors d’interviews ou d’appels téléphoniques et parlant un mélange de coréen et d’anglais.”

“Sierra” n’a pas répondu aux messages envoyés à ses comptes de messagerie et Telegram apparents demandant des commentaires.

CNN a obtenu les curriculum vitae que les prétendus travailleurs de la technologie nord-coréens ont soumis à l’entreprise de Wu et à la startup de crypto-monnaie fondée par Devin. Les CV semblent délibérément génériques pour ne pas éveiller les soupçons et utilisent des mots à la mode populaires dans l’industrie de la crypto-monnaie tels que « évolutivité » et « blockchain ».

Un agent nord-coréen présumé suivi par Mandiant, la société de cybersécurité, a posé de nombreuses questions à d’autres membres de la communauté des crypto-monnaies sur le fonctionnement d’Ethereum et son interaction avec d’autres technologies, a déclaré Mandiant.

Le Nord-Coréen a peut-être collecté des informations sur la technologie qui pourraient être utiles pour la pirater plus tard, selon Michael Barnhart, analyste principal de Mandiant.

“Ces gars savent exactement ce qu’ils attendent des développeurs d’Ethereum”, a déclaré Barnhart. “Ils savent exactement ce qu’ils recherchent.”

Les faux CV et autres ruses utilisées par les Nord-Coréens ne feront que devenir plus crédibles, a déclaré Kim, l’ancien analyste de la CIA qui est maintenant analyste politique chez RAND Corp., un groupe de réflexion.

“Même si l’artisanat n’est pas parfait en ce moment, en termes de manières d’approcher les étrangers et de s’attaquer à leurs vulnérabilités, c’est toujours un nouveau marché pour la Corée du Nord”, a déclaré Kim à CNN. « À la lumière des défis auxquels le régime est confronté – pénuries alimentaires, moins de pays désireux de s’engager avec la Corée du Nord … ce sera simplement quelque chose qu’ils continueront à utiliser parce que personne ne les retient, essentiellement.