Incidents associés
Saisies d'argent et d'infrastructures auprès d'informaticiens de la République populaire démocratique de Corée (RPDC) : suite aux efforts fructueux déployés pour encourager les actions perturbatrices du secteur privé indépendant
Le 17 octobre, conformément à une décision de justice rendue dans le district Est du Missouri, les États-Unis ont saisi 17 domaines de sites web utilisés par des informaticiens de la République populaire démocratique de Corée (RPDC) dans le cadre d'un stratagème visant à escroquer des entreprises américaines et étrangères, à contourner les sanctions et à financer le développement du programme d'armement du gouvernement de la RPDC. Ces saisies font suite aux saisies, précédemment scellées, d'octobre 2022 et janvier 2023, autorisées par le tribunal, d'environ 1,5 million de dollars de revenus que le même groupe d'informaticiens avait perçus auprès de victimes inconscientes grâce à leur stratagème, ainsi qu'au développement de partenariats public-privé de partage d'informations qui ont privé ces informaticiens de l'accès à leurs services de travail indépendant et de paiement en ligne préférés.
« Les saisies annoncées aujourd'hui protègent les entreprises américaines contre l'infiltration de codes informatiques nord-coréens et contribuent à garantir que les entreprises américaines ne soient pas utilisées pour financer le programme d'armement de ce régime », a déclaré le procureur général adjoint Matthew G. Olsen, de la Division de la sécurité nationale du ministère de la Justice. « Le ministère de la Justice s'engage à collaborer avec ses partenaires du secteur privé pour protéger les entreprises américaines de ce type de fraude, renforcer notre cybersécurité collective et perturber le financement des missiles nord-coréens. »
« Les saisies d'aujourd'hui illustrent notre engagement à collaborer avec nos partenaires fédéraux et internationaux pour identifier et neutraliser la menace posée par les acteurs illicites agissant pour le compte de la République populaire démocratique de Corée », a déclaré le directeur adjoint Bryan Vorndran de la Division Cyber du FBI. Ces suppressions nous rappellent également qu'il est important que nos partenaires du secteur privé soient équipés et préparés aux mesures de diligence raisonnable pour empêcher l'embauche involontaire de ces acteurs malveillants dans les entreprises américaines. Le FBI encourage les entreprises américaines à signaler toute activité suspecte, y compris toute activité suspecte impliquant des informaticiens de RPDC, à leur bureau local du FBI.
« Les employeurs doivent être prudents quant aux personnes qu'ils recrutent et à celles qu'ils autorisent à accéder à leurs systèmes informatiques », a déclaré le procureur américain Sayler A. Fleming pour le district Est du Missouri. « Vous pourriez contribuer au financement du programme d'armement de la Corée du Nord ou permettre à des pirates informatiques de voler vos données ou de vous extorquer ultérieurement. »
« La République populaire démocratique de Corée a inondé le marché mondial de travailleurs informatiques mal intentionnés pour financer indirectement son programme de missiles balistiques. La saisie de ces domaines frauduleux permet de protéger les entreprises contre l'embauche involontaire de ces acteurs malveillants et de nuire potentiellement à leurs activités », a déclaré l'agent spécial Jay Greenberg de la division de Saint-Louis du FBI. Ce stratagème est si répandu que les entreprises doivent être vigilantes et vérifier qui elles recrutent. Le FBI recommande au minimum aux employeurs de prendre des mesures proactives supplémentaires auprès des informaticiens travaillant à distance afin d'empêcher les acteurs malveillants de dissimuler leur identité. Sans diligence raisonnable, les entreprises risquent de perdre de l'argent ou d'être compromises par des menaces internes qu'elles auraient involontairement introduites dans leurs systèmes.
Comme l'indiquent des documents judiciaires, le gouvernement de la République populaire démocratique de Corée (RPDC) a envoyé des milliers d'informaticiens qualifiés vivre à l'étranger, principalement en Chine et en Russie, dans le but de tromper les entreprises américaines et internationales afin qu'elles les embauchent comme informaticiens indépendants, afin de générer des revenus pour ses programmes d'armes de destruction massive (ADM). Grâce à ce stratagème, qui implique l'utilisation de comptes pseudonymes de messagerie, de réseaux sociaux, de plateformes de paiement et de sites d'emploi en ligne, ainsi que de faux sites web, d'ordinateurs proxy situés aux États-Unis et ailleurs, et de tiers, conscients ou non, les informaticiens ont généré des millions de dollars par an pour le compte d'entités désignées, telles que le ministère nord-coréen de la Défense et d'autres, directement impliquées dans les programmes d'armes de destruction massive de la RPDC, interdits par l'ONU.
Dans certains cas, les informaticiens ont également infiltré les réseaux informatiques d'employeurs à leur insu afin de voler des informations et d'en conserver l'accès pour de futurs piratages et extorsions. Le gouvernement américain a décrit ce stratagème dans un avis de mai 2022. Une mise à jour de cet avis, publiée aujourd'hui, est disponible ici. Certains informaticiens de RPDC ont conçu les 17 domaines de sites web saisis hier pour qu'ils se fassent passer pour des domaines de sociétés de services informatiques légitimes basées aux États-Unis, les aidant ainsi à dissimuler leur véritable identité et leur localisation lorsqu'ils postulent en ligne pour effectuer du télétravail pour des entreprises américaines et internationales. En réalité, ce groupe spécifique d'informaticiens de RPDC, qui travaille pour les sociétés Yanbian Silverstar Network Technology Co. Ltd., basée en RPC, et Volasys Silver Star, basée en Russie, avait déjà été sanctionné en 2018 par le Département du Trésor. Ces informaticiens ont détourné les revenus de leurs activités informatiques frauduleuses vers la RPDC via des services de paiement en ligne et des comptes bancaires chinois.
Les efforts visant à contrer la menace que représentent les informaticiens de RPDC ne se limitent pas à ceux du gouvernement américain. Français Depuis 2022, les États-Unis se sont associés à la République de Corée (ROK) pour fournir des informations sur les menaces concernant les activités frauduleuses des travailleurs informatiques de la RPDC, constituées principalement de milliers d'indicateurs (par exemple, des adresses e-mail), à plusieurs plateformes de travail indépendant et de services de paiement en ligne basées aux États-Unis utilisées par les travailleurs informatiques. Ces efforts de partage d'informations comprennent un symposium de mai 2023, organisé conjointement par le Département d'État américain et la ROK, où des représentants des États-Unis et de la ROK, ainsi que les fournisseurs, ont discuté conjointement des efforts visant à renforcer les partenariats public-privé pour contrer la menace des travailleurs informatiques de la RPDC. Ces entreprises privées ont ensuite informé le gouvernement américain que, grâce à ces informations sur la menace, elles avaient mené des enquêtes indépendantes, amélioré leurs mécanismes de détection des fraudes et, selon au moins certains fournisseurs, fermé des milliers de comptes frauduleux supplémentaires, jusque-là non identifiés, utilisés par les mêmes informaticiens de RPDC.
La Section de cybersécurité nationale de la Division de la sécurité nationale et le Bureau du procureur américain pour le district Est du Missouri enquêtent sur cette affaire. Le bureau local du FBI à Saint-Louis a mené l'enquête, avec l'aide de la Division de la cybersécurité du FBI.
Déclaration sous serment et demande de saisie - 397 000 $ ;
Déclaration sous serment et demande de saisie - 12 noms de domaine
Déclaration sous serment et demande de saisie - 1,1 million de dollars ;
Déclaration sous serment et demande de saisie - 5 noms de domaine ;
Mise à jour le 6 février 2025