Problème 5375

Aperçu stratégique des travailleurs des TI ------------------------------- Depuis 2022, Mandiant suit et signale les travailleurs des TI opérant pour le compte de la République populaire démocratique de Corée (RPDC). Ces travailleurs se font passer pour des ressortissants non nord-coréens pour obtenir un emploi dans des organisations dans un large éventail de secteurs afin de générer des revenus pour le régime nord-coréen, notamment pour échapper aux sanctions et financer ses programmes d'armes de destruction massive (ADM) et de missiles balistiques. Un avis du gouvernement américain en 2022 a noté que ces travailleurs ont également exploité un accès privilégié obtenu dans le cadre de leur emploi afin de permettre des intrusions informatiques malveillantes, une observation corroborée par Mandiant et d'autres organisations. Les travailleurs informatiques utilisent diverses méthodes pour échapper à la détection. Nous avons observé que les opérateurs utilisent des sociétés écrans pour dissimuler leur véritable identité ; Français en outre, les actes d'accusation du gouvernement américain montrent que des individus non nord-coréens, connus sous le nom de « facilitateurs », jouent un rôle crucial en permettant à ces travailleurs informatiques de chercher et de conserver un emploi. Ces individus fournissent des services essentiels qui incluent, mais ne sont pas limités au blanchiment d'argent et/ou de cryptomonnaie, la réception et l'hébergement d'ordinateurs portables d'entreprise à leur domicile, l'utilisation d'identités volées pour la vérification d'emploi et l'accès aux systèmes financiers internationaux. Ce rapport vise à mieux faire connaître les efforts de la RPDC pour obtenir un emploi en tant que travailleurs informatiques et à faire la lumière sur leurs tactiques opérationnelles pour obtenir un emploi et maintenir l'accès aux systèmes d'entreprise. Comprendre ces méthodes peut aider les organisations à mieux détecter ces types de comportements suspects plus tôt dans le processus de recrutement. Dans cet article de blog, nous avons inclus un échantillon des types de comportements identifiés lors de nos interventions en cas d'incident, ainsi que des stratégies de détection et de perturbation des activités des informaticiens de la RPDC. UNC5267 ------- Mandiant suit les opérations des informaticiens que nous avons identifiées dans divers environnements sous le nom UNC5267. UNC5267 reste très actif à ce jour, représentant une menace constante. Certaines sources suggèrent que les origines de ces opérations remontent à 2018. Il est important de noter que UNC5267 n'est pas un groupe de menace centralisé traditionnel. Les informaticiens sont des individus envoyés par le gouvernement nord-coréen pour vivre principalement en Chine et en Russie, avec un nombre plus restreint en Afrique et en Asie du Sud-Est. Leur mission est d'obtenir des emplois lucratifs au sein d'entreprises occidentales, en particulier celles du secteur technologique américain. UNC5267 obtient un accès initial grâce à l'utilisation d'identités volées pour postuler à divers postes ou est recruté en tant que sous-traitant. Les opérateurs UNC5267 ont principalement postulé pour des postes offrant un télétravail à 100 %. Mandiant a observé les opérateurs accomplir des tâches de complexité et de difficulté variables, dans des domaines et des secteurs variés. Il n'est pas rare qu'un informaticien en RPDC cumule plusieurs emplois et perçoive plusieurs salaires mensuels. Français Un facilitateur américain travaillant avec les travailleurs informatiques a compromis plus de 60 identités de personnes américaines, a eu un impact sur plus de 300 entreprises américaines et a permis de générer au moins 6,8 millions de dollars de revenus pour les travailleurs informatiques étrangers entre octobre 2020 et octobre 2023. Les objectifs de l'UNC5267 comprennent : - Gain financier grâce à des retraits de salaire illicites auprès d'entreprises compromises - Maintenir un accès à long terme aux réseaux des victimes pour une éventuelle exploitation financière future - Utilisation potentielle de l'accès à des fins d'espionnage ou d'activité perturbatrice (bien que cela n'ait pas été définitivement observé) Observations de la réponse aux incidents ------------------------------ Les missions de réponse aux incidents de Mandiant à ce jour ont principalement permis d'observer des travailleurs informatiques de la RPDC fonctionnant dans le cadre de leurs responsabilités professionnelles. Cependant, les télétravailleurs bénéficient souvent d'un accès privilégié pour modifier le code et administrer les systèmes réseau. Ce niveau d'accès accru accordé aux employés frauduleux présente un risque de sécurité important. Mandiant a identifié un nombre important de CV d'informaticiens de RPDC utilisés pour postuler à des postes à distance. Dans le CV d'un informaticien suspecté, l'adresse e-mail – précédemment observée lors d'activités liées à l'informatique – était également liée à un faux profil d'ingénieur logiciel hébergé sur Netlify, une plateforme souvent utilisée pour créer et déployer rapidement des sites web. Le profil affirmait maîtriser plusieurs langages de programmation et comportait de faux témoignages avec des images volées à des professionnels de haut niveau, probablement issues des profils LinkedIn de PDG, de directeurs et d'autres ingénieurs logiciels. Figure 1 : Image observée du CV d'un acteur malveillant (probablement modifié) Dans la page Netlify du travailleur informatique présumé de la RPDC, nous avons découvert un CV accompagné d'un lien vers un autre CV hébergé sur Google Docs, présentant une identité différente. Le CV lié comportait un nom, un numéro de téléphone et une adresse e-mail différents de ceux de la page Netlify. D'autres divergences entre la page Netlify et le CV lié comprenaient des universités et des années de fréquentation différentes, ainsi que des variations dans les intitulés de poste antérieurs et l'historique professionnel de l'entreprise. Cependant, les deux CV incluaient une légère variation de la phrase « Je me soucie moins de me voir, je me soucie davantage de savoir que les autres comptent sur moi. » Figure 2 : Extrait de CV Figure 3 : Extrait de CV Ces deux CV ne sont qu'un petit échantillon du nombre total de CV frauduleux identifiés par Mandiant. Cependant, les CV prouvent que les informaticiens de RPDC utilisent plusieurs profils pour tenter d'obtenir un emploi dans plusieurs organisations. Une caractéristique récurrente des CV utilisés par UNC5267 est l'utilisation d'adresses basées aux États-Unis, associées à des diplômes d'universités hors d'Amérique du Nord, souvent à Singapour, au Japon ou à Hong Kong. Bien que cela soit possible, Mandiant a constaté que le taux d'acceptation des étudiants étrangers dans de nombreuses universités est faible. Cette divergence peut empêcher les employeurs nord-américains potentiels de vérifier ou de contacter ces établissements étrangers au sujet du candidat. Mandiant a également constaté que les universités mentionnées lors de la vérification des antécédents peuvent ne pas correspondre au parcours scolaire du candidat indiqué dans son CV, notamment la date d'inscription et les programmes d'études terminés. De plus, les CV de UNC5267 présentent souvent des recoupements importants avec des CV accessibles au public ou sont largement réutilisés par plusieurs profils UNC5267. Pour accomplir ses tâches, UNC5267 accède souvent à distance aux ordinateurs portables des entreprises victimes, situés dans une ferme d'ordinateurs portables. Ces parcs d'ordinateurs portables sont généralement gérés par un seul animateur, rémunéré mensuellement, pour héberger plusieurs appareils au même endroit. Mandiant a identifié des preuves montrant que ces ordinateurs portables sont souvent connectés à un périphérique clavier/souris (KVM) basé sur IP. Cependant, un point récurrent dans ces incidents est l'installation de plusieurs outils de gestion à distance sur les ordinateurs portables professionnels des victimes immédiatement après leur expédition vers le parc. Ces incidents indiquent que la personne se connecte à son système d'entreprise à distance via Internet et peut ne pas être située géographiquement dans la ville, l'État ou même le pays où elle réside. Voici la liste des outils d'administration à distance identifiés lors des interventions de Mandiant : - GoToRemote / LogMeIn - GoToMeeting - Chrome Remote Desktop - AnyDesk - TeamViewer - RustDesk. Les connexions à ces solutions de gestion à distance provenaient principalement d'adresses IP associées au VPN Astrill, probablement en provenance de Chine ou de Corée du Nord. Enfin, les retours des membres de l'équipe et des managers qui ont discuté avec Mandiant au cours des enquêtes ont systématiquement mis en évidence des schémas comportementaux, tels que la réticence à s'engager dans la communication vidéo et une qualité de travail inférieure à la moyenne de la part de l'employé informatique de la RPDC qui utilisait à distance les ordinateurs portables. Une autre caractéristique commune identifiée dans les missions de Mandiant était que les employés informatiques de la RPDC prétendaient généralement vivre à un endroit, mais demandaient l'expédition de l'ordinateur portable vers un autre endroit (parc d'ordinateurs portables ou entité d'activation externe). Nous avons observé que les employés informatiques de la RPDC utilisaient le lieu associé à l'identité volée utilisée pour l'emploi, y compris le permis de conduire volé, qui ne correspond souvent pas au lieu où l'ordinateur portable est finalement expédié et stocké. Méthodes de détection ----------------- Mandiant met en évidence un certain nombre de stratégies que les organisations peuvent utiliser pour identifier et entraver les opérations des employés informatiques de la RPDC sur la base d'informations provenant de sources fiables et d'avis gouvernementaux gouvernementaux avis. Contrer la menace posée par les cyberacteurs nord-coréens nécessite une approche multidimensionnelle qui combine défenses techniques, formation de sensibilisation des utilisateurs et chasse proactive aux menaces. Les principales recommandations incluent : ### Vérification des candidats à un emploi - Exiger des vérifications d'antécédents rigoureuses, y compris la collecte d'informations biométriques à des fins de comparaison avec des identités connues via des services de vérification d'antécédents spécialisés, peut dissuader le recours à la falsification. - Mettre en œuvre des processus d'entretien rigoureux, tels que l'obligation d'utiliser des caméras pendant les entretiens pour garantir la correspondance de l'apparence visuelle avec les profils en ligne, la vérification de la correspondance de la personne interrogée avec l'identification fournie et la pose de questions pour établir la cohérence des réponses d'un candidat par rapport à ses antécédents présumés. - Les avis du gouvernement américain et des tiers de confiance ont également noté la réticence des travailleurs informatiques à activer les caméras et leur utilisation de faux antécédents pendant les entretiens. - Former les services des ressources humaines à repérer les incohérences de manière générale et à apprendre les tactiques, techniques et procédures (TTP) des travailleurs informatiques. - Surveiller l'utilisation de l'intelligence artificielle (IA) pour modifier les photos de profil d'emploi. - Mandiant a observé plusieurs cas dans lesquels des travailleurs informatiques de la RPDC ont utilisé l'IA pour modifier des photos de profil. - Les organisations concernées ont exploité des outils open source pour déterminer si l'image a été créée à l'aide de l'IA. - Exiger une preuve d'identité notariée avant l'embauche. ### Observations d'indicateurs techniques potentiels - Vérifier les numéros de téléphone pour identifier les numéros de téléphone VoIP (Voice over Internet Protocol). L'utilisation de numéros de téléphone VoIP est une tactique courante utilisée par UNC5267. - Vérifier que l'ordinateur portable de l'entreprise est expédié et ensuite géolocalisé à l'endroit où la personne se présente pour résider lors de l'intégration. - Mandiant a observé des cas où l'ordinateur portable de l'entreprise déployé n'a jamais été géolocalisé à l'endroit où la personne se présentait pour résider. - Surveiller et restreindre l'utilisation et l'installation d'outils d'administration à distance : - Empêcher toute connexion à distance aux ordinateurs fournis par l'entreprise qui pourraient ultérieurement accéder au réseau de l'entreprise. - Surveiller les outils d'administration à distance inhabituels. - Surveiller plusieurs outils d'administration à distance installés sur un même système. - Surveiller l'utilisation de services VPN pour se connecter à l'infrastructure de l'entreprise. Les adresses IP associées aux services VPN, tels qu'Astrill VPN, devraient être examinées plus en détail. - Surveiller l'utilisation de logiciels de « saut de souris ». - Mandiant a observé des cas d'employés informatiques de la RPDC utilisant le logiciel de saut de souris Caffeine pour rester actifs sur plusieurs ordinateurs portables et profils. Cela facilite l'utilisation sur les sites des animateurs, où il est essentiel de maintenir les ordinateurs portables allumés et fonctionnels, et pour les employés informatiques de la RPDC qui occupent souvent plusieurs postes à la fois et doivent être présents en ligne. - Demander la vérification du numéro de série de l'ordinateur portable lors de l'intégration du service informatique. Cette information doit être facilement accessible à toute personne possédant physiquement son appareil professionnel. - Utiliser une authentification multifacteur matérielle pour renforcer l'accès physique aux appareils de l'entreprise. - Surveiller et restreindre l'utilisation des périphériques KVM basés sur IP. Les KVM basés sur IP sont fréquemment utilisés par les employés informatiques de la RPDC pour maintenir un accès à distance permanent aux appareils de l'entreprise. ### Stratégies d'atténuation continues - Envisager de mettre en place des contrôles ponctuels obligatoires périodiques lorsque les employés distants sont tenus de se présenter devant une caméra. - Proposer une formation continue aux utilisateurs et aux employés sur les menaces et tendances actuelles, essentielle pour identifier les activités potentiellement malveillantes. Proposer des formations complémentaires sur le signalement des activités suspectes. - Collaborer avec les communautés de partage d'informations et les fournisseurs de sécurité pour rester informé des dernières menaces et des stratégies d'atténuation. - Exiger le recours à des banques américaines pour les transactions financières afin de freiner les efforts des informaticiens, car l'acquisition de comptes bancaires américains est plus difficile et implique une vérification d'identité plus stricte que dans de nombreux autres pays. Pour les clients Google SecOps Enterprise+, les indicateurs de compromission (IOC) répertoriés dans cet article de blog peuvent être hiérarchisés avec Applied Threat Intelligence. Mandiant propose également des services de chasse aux menaces personnalisées, pilotés par des humains et basés sur le renseignement, pour révéler l'activité actuelle ou passée des acteurs malveillants, dans les environnements cloud et sur site. Ce service comprend une analyse adaptée aux spécificités de votre infrastructure technologique et aux menaces qui vous ciblent. En savoir plus sur les services de chasse aux menaces personnalisées de Mandiant : https://services.google.com/fh/files/misc/custom_threat_hunt_datasheet.pdf. Perspectives et implications ------------------------- Les équipes informatiques nord-coréennes, malgré des contraintes importantes, représentent une cybermenace persistante et croissante. La double motivation de leurs activités – la réalisation d'objectifs étatiques et la recherche de gains financiers personnels – les rend particulièrement dangereuses. Leurs compétences techniques, associées à des tactiques d'évasion sophistiquées, constituent un défi de taille, en particulier pour les équipes RH et de recrutement chargées d'identifier les menaces potentielles lors du processus d'embauche. Compte tenu de leurs succès passés et de la dépendance du régime de la RPDC aux cyberopérations pour ses revenus et ses objectifs stratégiques, nous prévoyons une augmentation continue des attaques et des intrusions sophistiquées ciblant les entreprises à l'échelle mondiale. Les équipes informatiques continuent d'avoir un impact particulièrement important sur les organisations occidentales, un nombre croissant d'organisations européennes étant ciblées. Ces attaques peuvent entraîner des violations de données, des pertes financières, le vol de propriété intellectuelle et la perturbation de services critiques. Les activités des équipes informatiques nord-coréennes soulignent la nécessité d'une vigilance soutenue et d'une posture proactive en matière de cybersécurité. Bien que la menace soit complexe, une combinaison de mesures de sécurité robustes, de sensibilisation des employés et d'efforts collaboratifs peut considérablement améliorer la résilience d'une organisation face à ces acteurs malveillants. De plus, l'utilisation d'outils avancés de détection des menaces et la mise en place de plans de réponse aux incidents robustes sont essentielles pour minimiser l'impact des violations potentielles. La collaboration avec les pairs du secteur et les agences de cybersécurité pour partager des renseignements sur les menaces peut renforcer les défenses contre cette menace en constante évolution. Mandiant mène à bien cette action en s'appuyant sur des partenariats, publics ou privés, avec des organisations clés et des victimes. Si votre organisation a été touchée ou si vous disposez d'informations sur les cyberopérations de la RPDC, nous pouvons vous aider à les transmettre aux personnes qui doivent être protégées ou informées. Nous sommes tous concernés. Réseau IOC ------------ Note de l'éditeur de l'AIID : Voir le rapport original pour le tableau complet des données de cette section.