Incidents associés
L'accusé a utilisé une « ferme d'ordinateurs portables » pour faire croire à des entreprises qu'elles avaient embauché un travailleur basé aux États-Unis.
Matthew Isaac Knoot, 38 ans, de Nashville, Tennessee, a été arrêté aujourd'hui pour avoir tenté de générer des revenus pour le programme d'armement illicite de la République populaire démocratique de Corée (RPDC ou Corée du Nord), qui comprend des armes de destruction massive (ADM).
Le FBI, en collaboration avec les départements d'État et du Trésor, a publié un avis de mai 2022 pour alerter la communauté internationale, le secteur privé et le public sur la menace que représentent les travailleurs informatiques nord-coréens. Des directives mises à jour ont été publiées en octobre 2023 par les États-Unis et la République de Corée (Corée du Sud) et en [mai 2024](https://vmm0dj30.r.us-east-1.awstrack.me/L0/https:%2F%2Fwww.ic3.gov%2FMedia%2FY2024%2FPSA240516%3Futm_medium=email %26utm_source=govdelivery/1/0100019132b2215a-b9be20fd-ecaa-4acb-bf1e-a8c6e24b16c4-000000/RriorfGkaDGgzZEBKEdviulIIuc=386 « https://vmm0dj30.r.us-east-1.awstrack.me/l0/https:%2f%2fwww.ic3.gov%2fmedia%2fy2024%2fpsa240516%3futm_medium=email%26utm_source=govdelivery/1/0100019132b2215a-b9be20fd-ecaa-4acb-bf1e-a8c6e24b16c4-000000/rrionfgkadggzzebkedviuliiuc=386 ») par le FBI, qui incluent des indicateurs à surveiller compatibles avec la fraude visant les travailleurs informatiques nord-coréens et l'utilisation de fermes d'ordinateurs portables basées aux États-Unis.
Selon des documents judiciaires, Knoot a participé à un stratagème visant à obtenir un emploi à distance auprès d'entreprises américaines et britanniques pour des travailleurs informatiques étrangers, qui étaient en réalité des acteurs nord-coréens. Knoot les aurait aidés à utiliser une identité usurpée pour se faire passer pour un citoyen américain ; hébergé des ordinateurs portables de l'entreprise à son domicile ; téléchargé et installé des logiciels sans autorisation sur ces ordinateurs pour faciliter l'accès et perpétuer la tromperie ; et comploté pour blanchir des fonds pour le travail informatique à distance, notamment sur des comptes liés à des acteurs nord-coréens et chinois.
« Comme il est allégué, ce prévenu a facilité un stratagème visant à tromper des entreprises américaines afin qu'elles embauchent des informaticiens étrangers à distance, lesquels ont perçu des centaines de milliers de dollars de revenus, versés à la RPDC pour son programme d'armement », a déclaré le procureur général adjoint Matthew G. Olsen, de la Division de la sécurité nationale du ministère de la Justice. « Cet acte d'accusation devrait servir d'avertissement sévère aux entreprises américaines qui emploient des informaticiens à distance quant à la menace croissante posée par la RPDC et à la nécessité d'être vigilantes dans leurs processus de recrutement. » « La Corée du Nord a déployé des milliers de travailleurs hautement qualifiés dans le domaine des technologies de l'information à travers le monde pour duper des entreprises malintentionnées et contourner les sanctions internationales afin de pouvoir continuer à financer son dangereux programme d'armement », a déclaré le procureur américain Henry C. Leventis pour le district central du Tennessee. « L'acte d'accusation d'aujourd'hui, qui accuse l'accusé d'avoir facilité un système complexe et pluriannuel ayant permis de détourner des centaines de milliers de dollars vers des acteurs étrangers, est l'exemple le plus récent de l'engagement de notre bureau à protéger les intérêts de sécurité nationale des États-Unis. »
« Comme le démontrent les accusations d'aujourd'hui, le FBI poursuivra sans relâche ceux qui soutiennent les activités illégales du gouvernement nord-coréen pour générer des revenus », a déclaré Bryan Vorndran, directeur adjoint de la division Cyber du FBI. « Lorsque des produits illicites pourraient être utilisés pour financer la capacité cinétique du régime, nous prioriserons nos efforts pour perturber ce flux financier. Cet acte d'accusation devrait démontrer le risque encouru par ceux qui soutiennent les cyberactivités malveillantes de la RPDC. » La RPDC a envoyé des milliers de travailleurs informatiques qualifiés vivre à l'étranger, principalement en Chine et en Russie, dans le but de tromper les entreprises américaines et internationales afin qu'elles les embauchent comme informaticiens indépendants pour générer des revenus pour ses programmes d'armes de destruction massive. Les stratagèmes de la RPDC concernant les travailleurs informatiques impliquent l'utilisation de pseudonymes de courriels, de comptes sur les réseaux sociaux, de plateformes de paiement et de sites d'emploi en ligne, ainsi que de faux sites web, d'ordinateurs proxy et de tiers, conscients ou non, situés aux États-Unis et ailleurs. Comme décrit dans un avis de service public tri-sceau de mai 2022 publié par le FBI, le Département du Trésor et le Département d'État, ces travailleurs informatiques sont connus pour gagner individuellement jusqu'à 300 000 dollars. Chaque année, générant collectivement des centaines de millions de dollars chaque année, pour le compte d'entités désignées, telles que le ministère nord-coréen de la Défense et d'autres entités directement impliquées dans les programmes d'armes de destruction massive de la RPDC, interdits par l'ONU.
L'acte d'accusation, rendu public aujourd'hui dans le Middle District du Tennessee, allègue que Knoot a participé à un stratagème visant à aider des informaticiens étrangers à obtenir du travail à distance dans des entreprises américaines qui pensaient embaucher du personnel basé aux États-Unis. Les informaticiens, de nationalité nord-coréenne, ont utilisé l'identité usurpée d'un citoyen américain, « Andrew M. », pour obtenir ce travail à distance. Ce stratagème a escroqué des entreprises américaines des secteurs des médias, des technologies et de la finance, leur causant au final des centaines de milliers de dollars de dommages.
Selon les documents judiciaires, Knoot a exploité une « ferme d'ordinateurs portables » dans ses résidences de Nashville entre juillet 2022 et août 2023 environ. Les entreprises victimes ont expédié des ordinateurs portables adressés à « Andrew M. » aux résidences de Knoot. Après avoir reçu les ordinateurs portables, Knoot s'est connecté sans autorisation, a téléchargé et installé des applications de bureau à distance non autorisées et a accédé aux réseaux des entreprises victimes, causant ainsi des dommages aux ordinateurs. Ces applications permettaient aux informaticiens nord-coréens de travailler depuis des sites en Chine, tout en faisant croire aux entreprises victimes qu'« Andrew M. » travaillait depuis le domicile de Knoot à Nashville. Pour sa participation au stratagème, Knoot percevait une rémunération mensuelle pour ses services d'un intermédiaire étranger du nom de Yang Di. Une perquisition du parc d'ordinateurs portables de Knoot, autorisée par le tribunal, a été effectuée début août 2023.
Les informaticiens étrangers associés à la cellule de Knoot ont chacun reçu plus de 250 000 dollars pour leur travail entre juillet 2022 et août 2023 environ, dont une grande partie a été faussement déclarée à l'Internal Revenue Service et à la Social Security Administration au nom du véritable citoyen américain, Andrew M., dont l'identité a été usurpée. Les actions de Knoot et de ses complices ont également coûté aux entreprises victimes plus de 500 000 dollars de frais liés à l'audit et à la remise en état de leurs appareils, systèmes et réseaux. Knoot, Di et d'autres personnes ont comploté pour blanchir de l'argent en effectuant des transactions financières afin de recevoir des paiements des entreprises victimes et de transférer ces fonds à Knoot et vers des comptes situés hors des États-Unis, dans le but de promouvoir leurs activités illégales et de dissimuler que les fonds transférés en étaient le produit. Les comptes non américains incluent des comptes associés à des acteurs nord-coréens et chinois.
Knoot est accusé de complot en vue de causer des dommages à des ordinateurs protégés, de complot en vue de blanchir des instruments financiers, de complot en vue de commettre une fraude électronique, de dommages intentionnels à des ordinateurs protégés, d'usurpation d'identité aggravée et de complot en vue de favoriser l'emploi illégal d'étrangers. S'il est reconnu coupable, Knoot encourt une peine maximale de 20 ans de prison, dont une peine minimale obligatoire de deux ans pour vol d'identité aggravé.
Dans le cadre de l'initiative « DPRK RevGen: Domestic Enabler Initiative » lancée en mars 2024 par la Division de la sécurité nationale et les divisions de cyber-espionnage et de contre-espionnage du FBI, les procureurs et les agents du Département donnent la priorité à l'identification et à la fermeture des « fermes d'ordinateurs portables » basées aux États-Unis --- des emplacements hébergeant des ordinateurs portables fournis par des entreprises américaines victimes à des personnes qu'ils pensaient être des travailleurs informatiques indépendants légitimes basés aux États-Unis --- et à l'enquête et à la poursuite des personnes qui les hébergent. L'annonce d'aujourd'hui fait suite aux mesures fructueuses prises par le ministère en octobre 2023 et mai 2024, qui visait des comportements identiques et connexes.
Le FBI enquête sur cette affaire.
L'affaire est menée par le procureur adjoint Josh Kurtzman pour le district central du Tennessee et par le procureur Greg Nicosia, de la section Cyber de la Division de la sécurité nationale.
Un acte d'accusation n'est qu'une simple allégation. Tous les accusés sont présumés innocents jusqu'à ce que leur culpabilité soit établie au-delà de tout doute raisonnable par un tribunal.
Mise à jour : 6 février 2025