Incidents associés
Des ressortissants nord-coréens ont infiltré des entreprises du monde entier avec un niveau d'organisation et un accès plus étendus qu'on ne le pensait, a déclaré à CyberScoop la société de gestion des risques internes DTEX.
Cette nuée d'experts techniques nord-coréens ne se contente pas de s'immiscer dans les entreprises en tant qu'indépendants occasionnels ; ils ont obtenu des emplois à temps plein comme ingénieurs et spécialistes aux compétences variées, bénéficiant d'un accès optimal aux systèmes d'entreprise.
« Nous travaillons avec un échantillon représentatif des entreprises du Fortune Global 2000, et nous menons actuellement des enquêtes actives sur 7 % de notre clientèle », a déclaré Mohan Koo, cofondateur et président de DTEX, lors d'une interview. DTEX compte quelques centaines de clients et estime que des milliers d'organisations d'infrastructures critiques ont été infiltrées par des agents nord-coréens.
« Certains des postes sur lesquels nous enquêtons, les infiltrés sur lesquels nous enquêtons actuellement, détiennent en réalité les clés du royaume », a déclaré Koo. Ils disposent de droits d'accès privilégiés. Ils peuvent activer et désactiver l'accès pour d'autres employés. Ils peuvent installer et désinstaller des logiciels. Ils peuvent coder.
Les recherches en cours du DTEX indiquent que le système mis en place depuis des années par le régime nord-coréen va bien au-delà du travail contractuel et s'étend à des fonctions allant au-delà de l'informatique traditionnelle. Les ministères de la Justice et du Trésor ont émis des actes d'accusation et sanctionné des personnes et entités qui auraient participé aux efforts de la Corée du Nord pour envoyer des milliers de techniciens spécialisés hors du pays afin d'obtenir des emplois indépendants sous de faux prétextes et de reverser leurs salaires à Pyongyang.
De nombreux chasseurs de menaces ont observé une recrudescence des menaces internes liées à la Corée du Nord. Adam Meyers, responsable des opérations de contre-attaque de CrowdStrike, a déclaré le mois dernier qu'un nombre considérable d'entreprises avaient recruté sans le savoir des Nord-Coréens pour des postes de développement technique.
Près de 40 % des cas de réponse aux incidents sur lesquels CrowdStrike a travaillé l'année dernière, impliquant le groupe soutenu par l'État nord-coréen, qu'il suit sous le nom de Famous Chollima, étaient des opérations de menaces internes. Les menaces internes ont représenté 5 % des cas de réponse aux incidents de l'Unité 42 de Palo Alto Networks l'année dernière, et le nombre de menaces internes liées à la Corée du Nord a triplé en 2024.
Il arrive souvent que des organisations recrutent sans le savoir plusieurs ressortissants nord-coréens. « Il n'y en a généralement pas qu'un seul », a déclaré Rob Schuett, directeur des enquêtes de renseignement interne chez DTEX.
« Une seule compromission n'est qu'un début », a-t-il ajouté. C'est un peu comme une infestation d'insectes chez vous. Vous voyez un insecte et vous pouvez peut-être le pulvériser avec des produits chimiques pour vous en débarrasser, ou le déplacer à l'extérieur. Cependant, vous savez que dans les murs, les fissures et les crevasses, il y a un problème plus grave.
Pivots rapides, sauts vers d'autres réseaux
Une fois qu'un ressortissant nord-coréen est embauché et entame le processus d'intégration, il s'empresse d'infiltrer davantage l'organisation.
Il s'installe dans des environnements d'infrastructure de bureau virtuel, utilisant l'accès accordé par une entité pour basculer vers un tiers, souvent un partenaire de confiance.
« Cela ouvre la voie à une menace d'infiltration de la chaîne d'approvisionnement, et c'est un problème extrêmement complexe », a déclaré Koo.
L'enquête de DTEX sur les menaces internes soutenues par la Corée du Nord a abouti à une « conclusion alarmante », a déclaré Koo, une réalité choquante : l'ampleur des compromissions connues est généralisée et probablement plus répandue que ce qui a été confirmé jusqu'à présent.
« Nous n'attrapons que les plus stupides, ceux qui commettent des erreurs d'OpSec, et ils se déplacent dans des endroits dont nous ignorions l'infiltration », a déclaré Schuett. Cela signifie que les techniciens nord-coréens opèrent probablement simultanément dans des dizaines d'organisations infiltrées, y compris celles qui ne les emploient pas.
Les ressortissants nord-coréens installent également divers outils d'accès à distance, dont l'utilisation est approuvée et qui s'intègrent souvent aux activités d'intégration classiques, lorsque la plupart des employés configurent et obtiennent un premier accès aux systèmes de travail.
« Ils utilisent une identité et une personne spécifiques pour obtenir un emploi, et les compétences de cette personne sont spécifiquement ciblées pour obtenir un emploi au sein de l'organisation », a expliqué Koo. « Mais une fois qu'ils ont obtenu un emploi, ce n'est qu'un droit d'accès, et ils utilisent ensuite ces outils à distance pour permettre aux autres d'effectuer le travail. »
Les Nord-Coréens font leur travail mieux que la plupart
La menace que représentent les techniciens nord-coréens est particulièrement importante, comparée à d'autres activités soutenues par des États-nations, car ils effectuent le travail pour lequel les entreprises les paient. « Dans certains cas, ils font un meilleur travail que la plupart », a déclaré Koo.
Avec plusieurs personnes effectuant des tâches assignées à une seule personne, faisant appel à des milliers d'experts dans un domaine donné, ces employés peuvent devenir des vedettes aux yeux de leur employeur. Pour l'organisation, il semble que leur meilleur employé effectue une charge de travail excessive.
Pourtant, DTEX a détecté de nombreux signaux d'alerte en commençant à surveiller les activités des travailleurs nord-coréens suspectés sur leurs machines.
« Ce que nous constatons avec le travailleur nord-coréen est totalement anormal par rapport à tous les autres : il se connecte très longtemps, puis ne se déconnecte pas », a déclaré Schuett.
« Ils travaillent des heures insupportables pour un être humain, et il leur faut quatre à cinq jours d'affilée avant de voir une nouvelle déconnexion, si tant est qu'il y en ait une », a-t-il déclaré.
Ce niveau de productivité accru et inimaginable est dû au fait que les travailleurs nord-coréens ouvrent des sessions à distance et partagent leur bureau avec d'autres complices présumés possédant des compétences similaires. Les pics d'activité sont attribués à la période de transition, d'un travailleur posté à l'autre, ou lorsque plusieurs personnes travaillent côte à côte, se suivant mutuellement.
Alors que le délai moyen entre les connexions et déconnexions des travailleurs nord-coréens, ou le déverrouillage et le verrouillage des machines, est de six à sept jours, DTEX a observé un cas d'activité incessante qui a duré trois semaines.
Motivés financièrement par les salaires maintenant, mais quelle est la suite ?
Pour l'instant, les techniciens nord-coréens se concentrent sur la recherche d'un emploi, l'exécution de ces tâches et le transfert de l'argent qu'ils gagnent à Pyongyang.
Selon l'Unité 42, les techniciens nord-coréens génèrent des centaines de millions de dollars pour le régime nord-coréen.
Le potentiel d'activités ultérieures, notamment d'espionnage, d'extorsion et d'attaques perturbatrices contre des infrastructures critiques, est considérable.
« Il est ridicule que nous soyons assez naïfs pour croire qu'ils ne feront que cela », a déclaré Koo. « Nous devons être vigilants, car s'ils décident de se transformer en armes, ils auront les moyens de le faire. »
Bien que cela reste hypothétique, Koo a déclaré qu'il était « inconcevable » de penser que les techniciens nord-coréens travaillant pour un nombre inconnu d'entreprises à travers le monde n'installeront pas une porte dérobée, ne désactiveront pas des infrastructures critiques ou ne commettront pas de sabotage à un moment donné.
« Il faut simplement qu'ils aient la motivation nécessaire pour le faire », a-t-il ajouté.
Les professionnels de la sécurité reconnaissent qu'il est difficile pour les organisations d'identifier une menace interne potentielle provenant des candidats à un emploi, mais pas impossible.
Exiger des candidats à un emploi à distance qu'ils soient filmés et présentent une pièce d'identité officielle est une bonne pratique, mais pas infaillible. Observer ce que font les gens devant la caméra – détourner le regard, éventuellement écouter les conseils d'une autre personne qui les accompagne pendant l'entretien – peut apporter des informations précieuses, a déclaré Schuett.
« On peut voir d'autres personnes dans la pièce avec eux en train de passer un entretien », a-t-il ajouté. « Je ne sais pas pour vous, mais lorsque je postule à un emploi, je ne le fais probablement pas dans un Starbucks ou un autre lieu public. »
D'autres indices potentiels incluent les longues pauses et les incohérences sur les CV des candidats, comme une expertise revendiquée dans les technologies avant leur développement et leur diffusion généralisée.
Les professionnels des ressources humaines et les recruteurs constituent la première ligne de défense contre les menaces internes nord-coréennes. Mais s'ils franchissent cette étape et parviennent à obtenir un emploi, les entreprises peuvent toujours rechercher des particularités, comme un manque de communication lors des réunions, des e-mails ou des plateformes de collaboration, pour repérer d'éventuels problèmes.
Les techniciens nord-coréens « ne demandent pas à leur enfant comment il s'est débrouillé au foot hier soir », a déclaré Schuett. « Ils ne parlent pas du nouveau restaurant branché qu'ils ont découvert, parce qu'ils ne peuvent pas. »