Fox in the Henhouse : les méfaits croissants de la main-d'œuvre informatique à distance en Corée du Nord
La Corée du Nord a discrètement placé des milliers de professionnels des technologies de l'information (TI) chez des entrepreneurs et des sous-traitants au service des entreprises les plus grandes et les plus rentables des États-Unis. Ces travailleurs opèrent sous Américain ou de fausses identités de pays tiers. L'objectif principal de cette armée informatique est de gagner de l'argent pour le régime de Kim Jong Un, perpétuellement à court d'argent. Ces fonds soutiennent les programmes de missiles balistiques et nucléaires de la Corée du Nord et soutiennent la dictature de Kim.
En outre, les armes nord-coréennes se retrouvent désormais dans des conflits à travers le monde. La Russie a commencé à utiliser Des missiles nord-coréens vont mener des frappes en Ukraine et les munitions nord-coréennes ont été utilisé par le Hamas dans des attaques contre les forces israéliennes à Gaza. Tout cela est rendu possible grâce aux fonds afflués par les informaticiens vers les coffres du gouvernement nord-coréen.
De plus, l’accès que ces infiltrés nord-coréens ont obtenu au sein des entreprises américaines fournit au régime de Kim de multiples vecteurs de vol de propriété intellectuelle (PI), de prise en otage de données américaines contre rançon, d’attaques contre des infrastructures critiques et de lancement de cyberattaques. . Ainsi, les entreprises américaines financent sans le savoir un État ennemi voué à leur propre dégradation et destruction.
Le danger
Depuis au moins 2015, la Corée du Nord exploité le recours à des informaticiens à distance à trouver un emploi dans des entreprises du monde entier. L’objectif principal de cette armée de professionnels de l’informatique est de générer des revenus qui contournent les sanctions internationales. Il s’agit d’un problème majeur et systémique, dans la mesure où l’externalisation du développement informatique et logiciel constitue un marché massif, qui devrait dépasser 500 milliards de dollars en 2024. Près des deux tiers des entreprises américaines externaliser au moins une partie de leurs besoins informatiques et d’ingénierie logicielle.
Le danger va au-delà des simples transferts de fonds vers un dictateur. La technologie de l'information est seulement une des nombreuses façons Kim Jong Un finance son régime. L'informatique, cependant, est particulière. Un informaticien nord-coréen à distance a accès aux réseaux de l'entreprise, ce qui signifie un accès à la propriété intellectuelle, aux archives de données, à la production, aux outils internes, aux plans, aux processus et au personnel. L’objectif des infiltrés nord-coréens est de rester inaperçu ; mais s’ils le sont, ils ont déjà la main sur des systèmes critiques.
Une source industrielle a rapporté que les Nord-Coréens qui avaient été découverts et licenciés avaient ensuite répondu par l'extorsion. Les travailleurs licenciés avaient conservé un accès à des codes ou à des systèmes de grande valeur que l'entreprise ne pouvait pas perdre. Il s’agit d’une forme d’attaque de ransomware peu discutée.
De plus, des enquêtes récentes menées par l'équipe de renseignement sur les menaces de l'unité 42 de Palo Alto ont révélé preuve que les groupes traditionnels d'espionnage et d'intrusion de la Corée du Nord pourraient désormais coopérer. Qu'est-ce que cela signifie? Imaginez un Type Lazarus Heist vol ou Piratage de Sony activé par des internes malveillants opérant en tant qu’informaticiens au sein de grandes entreprises américaines.
Enfin, les entreprises américaines qui embauchent ces travailleurs risquent d’être tenues responsables du fait qu’elles se soustraient aux sanctions. Il est vrai que la plupart des entreprises américaines font appel involontairement au support informatique nord-coréen. Cependant, ce n’est pas une affirmation que le gouvernement américain peut accepter au pied de la lettre. Ne pas respecter les sanctions américaines et internationales contre la Corée du Nord peut introduire une gamme de responsabilitésy compris avec le Bureau de contrôle des avoirs étrangers du Département du Trésor, ainsi qu'avec d'autres autorités nationales et internationales de réglementation et d'application de la loi.
Le viseur
Compte tenu de la nature secrète de cette opération, il est impossible de déterminer le nombre précis de professionnels nord-coréens de l’informatique opérant dans les systèmes américains. Cependant, entretiens un prétendu travailleur nord-coréen a suggéré que plus de 4 000 travailleurs nord-coréens de l'informatique et des logiciels sont déployés dans le monde. Le Le FBI a estimé que chacun de ces travailleurs peut générer jusqu'à 300 000 $ par an, les équipes dépassant collectivement 3 millions de dollars chaque année.
Maintenant que la Corée du Nord a rouvert suite à la pandémie de COVID-19il semble logique que le régime envoie davantage de travailleurs à l’étranger, compte tenu de ses succès antérieurs.
Une source industrielle connaissant la menace affirme que le nombre de professionnels informatiques nord-coréens déployés se situe probablement entre 8 000 et 12 000. Et même si bon nombre de ces travailleurs ont initialement démarré leurs activités en Russie et en Chine, ils ont également été identifiés en Asie du Sud-Est, en Afrique et au Moyen-Orient. La source industrielle a indiqué que les efforts visant à découvrir ces travailleurs au sein des entreprises américaines ont permis de les voir opérer sur l'infrastructure Internet de ces endroits.
La difficulté de la détection
La plupart des entreprises ne prennent pas en compte le risque d’embaucher des informaticiens à distance nord-coréens dans leur prise de décision. Les pratiques d’embauche et de diligence raisonnable des entreprises n’ont jamais été conçues pour détecter un État-nation utilisant toute la gamme des ressources gouvernementales dans le seul but de recruter des employés dans des entreprises privées étrangères.
Bien que de nombreuses grandes entreprises américaines aient mis en place des programmes de lutte contre les menaces internes conçus pour détecter et atténuer les activités à la fois négligentes et malveillantes, leur efficacité varie considérablement. Plus important encore, peu de programmes d’entreprise contre les menaces internes vont jusqu’à appliquer leurs processus de sélection aux employés contractuels. De nombreuses entreprises ne connaissent même pas l’identité ou la citoyenneté des employés contractuels à distance, surtout si ces travailleurs travaillent à l’étranger. Enfin, une fois embauchés sur un projet, les Nord-Coréens s’efforcent d’éviter toute activité susceptible d’attirer l’attention des équipes chargées des menaces internes.
Quelques tactiques et techniques nord-coréennes
Le premier défi rencontré par les infiltrés est le processus d’embauche. Ils doivent mettre le pied dans la porte. Le FBI deux avis sur le sujet nous fournissent quelques informations de base sur la façon dont cela est réalisé, mais des sources industrielles nous disent que les Nord-Coréens recherchent souvent un emploi dans des sociétés informatiques sous contrat. Le nombre de ces entreprises a augmenté de façon spectaculaire depuis la pandémie de COVID-19, et elles ne disposent peut-être pas de processus de sélection aussi rigoureux que les grandes entreprises. Alternativement, les Nord-Coréens recherchent du travail informatique indépendant sur les principales plateformes d'emploi.
Ces travailleurs opèrent sous de faux noms en utilisant toute une gamme de documents d’identité volés, falsifiés ou fabriqués dans des pays du monde entier, y compris aux États-Unis. Ils utilisent souvent une combinaison de VPN, d'adresses IP hébergées bruyantes et de proxys résidentiels pour masquer leurs emplacements réels, et élaborent des programmes de planification et de logistique complexes pour garantir leur présence aux appels et réunions à distance dans les fuseaux horaires occidentaux.
Les travailleurs nord-coréens s’appuient dans une certaine mesure sur les plateformes de paiement en crypto-monnaie et en monnaie numérique pour leurs paiements, évitant ainsi les outils traditionnels de détection des fraudes du secteur financier.
Récemment, les Nord-Coréens sont soupçonnés d'utiliser des outils d'IA générative comme ChatGPT pour créer un contenu en anglais plus réaliste et plus compréhensible, ainsi que pour développer des documents de vérification d'identité qui satisfont à de nombreux outils de lutte contre la fraude.
L'adaptation et l'évolution de la menace
Des sources industrielles affirment que le savoir-faire commercial et technologique de la Corée du Nord est en train de mûrir. La Corée du Nord toujours envoie des ouvriers à l’étranger, notamment en Russie et en Chine, mais elle a également élargi le répertoire de compétences de ses travailleurs. Les premiers employés informatiques de Corée du Nord n’étaient pas très bons comparés à leurs collègues d’autres pays. Cela a changé. Aujourd’hui, les informaticiens nord-coréens apprennent des langages de codage très demandés, notamment des produits de pointe en matière d’IA et de ML, pour obtenir un emploi dans des entreprises de premier plan utilisant les technologies les plus avancées.
Certains informaticiens licenciés par des employeurs contractuels étaient considérés comme d’excellents codeurs qui fournissaient des produits de travail de qualité supérieure. Des sources industrielles avancent que certaines entreprises pourraient être disposées à négliger l’emploi contractuel d’un Nord-Coréen si leur production contribuait de manière significative aux opérations commerciales.
De plus, les informaticiens nord-coréens ont trouvé de nouveaux moyens de dissimuler leur identité. Ces travailleurs embauchent fréquemment des ressortissants occidentaux pour se faire passer pour eux lors d'entretiens d'embauche ou de réunions d'équipe, et utilisent même leurs faux personnages en ligne en utilisant l'infrastructure Internet américaine – tout cela pour éviter d'être détectés par les équipes de menace interne et de cybersécurité.
Certains informaticiens nord-coréens ont créé des entreprises légitimes dans des pays étrangers, embauché des ressortissants locaux et exploité des sociétés de recrutement de personnel informatique à distance. Ces entreprises ne touchent jamais aux entreprises américaines ou occidentales et se concentrent entièrement sur la génération de revenus provenant de leurs opérations dans ces pays.
D’autres Nord-Coréens entreprenants ont payé des étudiants de pays occidentaux pour qu’ils autorisent l’utilisation d’un ordinateur portable dans leur dortoir ou de machines virtuelles sur les ordinateurs portables de leur école, le tout pour contourner les contrôles de sécurité déployés pour détecter les activités réseau malveillantes en dehors des États-Unis.
Les Nord-Coréens sont en mesure d'obtenir du travail à distance en raison de la nature virtuelle d'une grande partie du travail d'ingénierie. Travailler dans des endroits obscurs, variés et largement dispersés n'est pas inhabituel dans ce secteur et ne déclenche donc souvent pas d'alarme. Cependant, de nombreuses entreprises exigent que tous les employés, même les sous-traitants, utilisent les appareils de l'entreprise afin que les entreprises clientes puissent garder le contrôle de leurs points finaux. Dans ces cas-là, les Nord-Coréens doivent se procurer des appareils professionnels. Ils le font par courrier ou par livraison commerciale.
Les services informatiques et les fournisseurs informatiques externes expédient régulièrement les appareils à des adresses personnelles fournies par l'acquisition de talents. Dans certains cas, ces emplacements doivent correspondre à l’emplacement présumé de l’employé. De toute évidence, le nord-ouest de la Chine, la Russie et l’Asie du Sud-Est ne suffiront pas dans ces situations. Pour résoudre ce problème, la Corée du Nord s’appuie sur des proxys pour recevoir ces appareils quelque part aux États-Unis.
Un problème encore plus difficile est celui du paiement. De nombreux employeurs exigent des comptes bancaires américains pour payer les salaires. On ne sait pas clairement comment la Corée du Nord échappe aux contrôles rigoureux du secteur bancaire. Connaissez votre client règlements. Une possibilité est la contrefaçon de documents de haute qualité. Une autre solution est encore une fois le recours à des procurations pour recevoir des paiements en échange de frais.
Atténuations
La menace des informaticiens nord-coréens représente un risque unique pour les entreprises américaines et les sociétés en Europe, au Japon, en Corée du Sud, en Australie, en Nouvelle-Zélande et ailleurs dans le monde démocratique développé. Pyongyang a exploité un moment unique dans l'évolution du modèle économique des services informatiques pour attaquer une cible peu apte à se défendre.
Peu d’entreprises privées sont même conscientes de la menace, et encore moins constituées pour y faire face efficacement. Ceux qui le feront devront maîtriser la cyberdéfense, les menaces internes, le contrôle des employés, la géopolitique et une combinaison de réglementations juridiques et de confidentialité des employés.
Mais la menace peut être atténuée. Le développement et la maturation de pratiques de sécurité fondamentales conçues pour protéger les entreprises des risques traditionnels constituent le point de départ. Des investissements ciblés dans les domaines suivants peuvent augmenter les coûts d’entrée et d’exploitation pour les travailleurs nord-coréens et, à terme, les mettre à la faillite :
- concevoir, déployer et auditer régulièrement l'embauche des employés et identifier les processus de vérification ;
- former l’acquisition de talents et les ressources humaines à la menace et s’assurer qu’ils employer des pratiques de vérification éliminer les acteurs malveillants ;
- s'assurer que le personnel de cybersécurité et de défense des réseaux informatiques est formé à la menace et possède les outils de surveillance nécessaires aux activités anormales indiquant un risque potentiel ;
- permettre aux professionnels de la cybersécurité d'échanger des renseignements approuvés sur les menaces avec leurs pairs et par l'intermédiaire d'organisations multilatérales telles que IT-ISAC;
- permettre aux équipes chargées des menaces internes de procéder à des examens réguliers du personnel contractuel afin de détecter toute compromission potentielle ; et
- demander aux équipes de cybersécurité et de lutte contre les menaces internes d'examiner attentivement avis gouvernementaux sur la menace nord-coréenne, afin de s'assurer qu'ils disposent des informations les plus récentes pour mener leurs enquêtes.
Implications géopolitiques
La Corée du Nord n’existe aujourd’hui que grâce au soutien qu’elle reçoit de la Chine. Pékin est conscient de l'existence de l'armée informatique de la Corée du Nord et permet qu'elle perdure. De plus, il est probable que Pékin utiliserait les milliers d’informaticiens déployés en cas de crise si cela servait les intérêts nationaux de la Chine. Les États Unis souffre déjà d’un vol massif de technologie et d’IP de Chine; la main-d’œuvre informatique nord-coréenne représente une autre arme potentielle.
De manière plus imminente, pour les entreprises américaines et occidentales, le soutien de la Chine à la Corée du Nord et à son programme de travailleurs informatiques en particulier signifie qu'aucune solution diplomatique ou gouvernementale n'est possible. Le secteur privé doit prendre les devants pour sa propre défense.