Incidents associés
Une entreprise a été piratée après avoir embauché par erreur un cybercriminel nord-coréen comme télétravailleur informatique.
L'entreprise, dont l'identité n'a pas été révélée, a embauché le technicien après qu'il ait falsifié ses antécédents professionnels et ses informations personnelles.
Après avoir eu accès au réseau informatique de l'entreprise, le pirate a téléchargé des données sensibles et a demandé une rançon.
L'entreprise, basée au Royaume-Uni, aux États-Unis ou en Australie, a souhaité conserver l'anonymat.
Elle a autorisé les cyber-intervenants de Secureworks à signaler le piratage afin de sensibiliser et d'alerter le public.
Il s'agit du dernier cas en date de télétravailleurs occidentaux démasqués comme étant des Nord-Coréens.
Securityworks a indiqué que l'informaticien, vraisemblablement un homme, avait été embauché cet été comme contractuel.
Il a utilisé les outils de télétravail de l'entreprise pour se connecter au réseau de l'entreprise.
Il a ensuite téléchargé secrètement un maximum de données de l'entreprise dès qu'il a eu accès aux systèmes internes.
Il a travaillé pour l'entreprise pendant quatre mois, percevant un salaire.
Les chercheurs affirment que ces fonds ont probablement été redirigés vers la Corée du Nord dans le cadre d'un processus complexe de blanchiment d'argent visant à contourner les sanctions occidentales contre le pays.
Après son licenciement pour mauvaise performance, l'entreprise a reçu des courriels de rançon contenant certaines des données volées et une demande de paiement d'une somme à six chiffres en cryptomonnaie.
Si l'entreprise ne payait pas, le pirate informatique a déclaré qu'elle publierait ou vendrait les informations volées en ligne.
L'entreprise n'a pas révélé si la rançon avait été versée.
Entreprises dupées
Depuis 2022, les autorités et les cyberdéfenseurs mettent en garde contre la multiplication des travailleurs nord-coréens clandestins infiltrant des entreprises occidentales.
Les États-Unis et la Corée du Sud accusent la Corée du Nord d'avoir affecté des milliers de personnes à des postes occidentaux bien rémunérés à distance afin de gagner de l'argent pour le régime et d'éviter les sanctions.
En septembre, la société de cybersécurité Mandiant a déclaré que des dizaines d'entreprises du Fortune 100 avaient embauché par erreur des Nord-Coréens.
Des chercheurs en cybersécurité de Mandiant ont découvert ce faux profil d'informaticien.
Selon Rafe Pilling, directeur du renseignement sur les menaces chez Secureworks, il est rare que des informaticiens se retournent contre leurs employeurs par des cyberattaques.
« Il s'agit d'une grave escalade du risque lié aux stratagèmes frauduleux visant des informaticiens nord-coréens », a-t-il déclaré.
« Ils ne visent plus seulement un salaire stable, mais des sommes plus importantes, plus rapidement, par le vol de données et l'extorsion, depuis l'intérieur des défenses de l'entreprise. »
Cette affaire fait suite à la découverte d'un autre informaticien nord-coréen en train de tenter de pirater son employeur en juillet.
L'informaticien a été embauché par l'entreprise de cybersécurité KnowBe4, qui a rapidement désactivé l'accès à ses systèmes après avoir constaté un comportement étrange.
KnowBe4 affirme que le faux informaticien a utilisé l'IA pour modifier une image d'archive existante.
« Nous avons publié l'offre d'emploi, reçu des CV, mené des entretiens, effectué des vérifications d'antécédents, vérifié les références et embauché la personne », a écrit l'entreprise dans un article de blog.
« Nous leur avons envoyé leur poste de travail Mac, et dès sa réception, il a immédiatement commencé à télécharger des logiciels malveillants. »
Les autorités recommandent aux employeurs d'être vigilants envers les nouveaux embauchés s'ils travaillent entièrement à distance.