Incidents associés
RSAC : Vous craignez qu’une nouvelle recrue ne soit un larbin nord-coréen cherchant à voler de la propriété intellectuelle et à infecter une organisation avec un logiciel malveillant ? Il existe une réponse, du moins pour le moment.
Selon Adam Meyers, vice-président principal de CrowdStrike au sein de la division contre-attaque, des infiltrés nord-coréens décrochent des postes dans le monde entier tout au long de l’année. Des milliers d’entre eux auraient infiltré les entreprises du Fortune 500.
Ils masquent les adresses IP, exportent des parcs d’ordinateurs portables aux États-Unis pour pouvoir s’y connecter et donner l’impression de travailler depuis les États-Unis, et utilisent l’IA. Pourtant, une question posée lors des entretiens d’embauche les surprend toujours et les force à abandonner le processus de recrutement.
« Ma question d'entretien préférée, car nous avons interviewé un certain nombre de ces personnes, est du genre : "Quel est le poids de Kim Jong-un ?" Ils raccrochent immédiatement, car cela ne vaut pas la peine de dire du négatif à ce sujet », a-t-il déclaré lors d'une table ronde à la conférence RSA (https://www.theregister.com/special_features/spotlight_on_rsac/) à San Francisco lundi.
Meyers a expliqué que les Nord-Coréens utiliseront l'IA générative pour développer des lots massifs de profils LinkedIn et de candidatures pour des postes à distance attractifs pour les entreprises occidentales. Lors d'un entretien, plusieurs équipes travailleront sur les défis techniques inhérents à l'entretien, tandis que le « chef de file » gérera l'aspect physique de l'entretien, parfois de manière assez maladroite.
« Nous avons constaté qu'une personne en Pologne postule avec un nom très compliqué », a-t-il raconté, « et que, lors des appels Zoom, c'est un homme asiatique en âge de servir dans l'armée qui ne sait pas le prononcer. » Mais cela fonctionne suffisamment pour que de nombreux candidats décrochent le poste et que des millions de dollars soient ainsi acheminés vers la Corée du Nord.
Une fois placés à ce poste convoité, ces travailleurs réussissent généralement très bien au sein de l'entreprise, car ils ont plusieurs personnes travaillant sur une même tâche pour fournir le meilleur travail possible – dans l'espoir d'obtenir une promotion et un meilleur accès aux systèmes de l'entreprise – a expliqué Elizabeth Pelker, agente spéciale du FBI, membre du panel.
« Je pense que le plus souvent, on me dit : "Oh, mais Johnny est notre meilleur candidat. Devons-nous vraiment le licencier ?" », a-t-elle déclaré.
Les objectifs de ces faux employés sont doubles, a-t-elle expliqué. Premièrement, ils perçoivent un salaire et utilisent leur accès pour voler la propriété intellectuelle de la victime. Cette propriété intellectuelle est généralement exfiltrée par petits morceaux afin de ne pas déclencher les systèmes de sécurité.
Une stratégie d'atténuation, a-t-elle expliqué, consistait à exiger que chaque personne interrogée effectue des tests de codage au sein de l'entreprise. Ces tests permettent de vérifier l'adresse IP utilisée, de voir la fréquence à laquelle le prospect passe d'un écran à l'autre et de révéler d'autres indices montrant que les apparences sont trompeuses.
En revanche, si l'intrus est démasqué et licencié, il aura généralement déjà collecté les identifiants de connexion, installé un logiciel malveillant non activé et tentera ensuite d'extorquer le maximum possible à la victime. Elle a exhorté toute personne repérant un faux employé à contacter immédiatement son bureau local du FBI.
La course à la Reine Rouge
Mais les attaquants sont de plus en plus malins et, d'une certaine manière, le FBI est victime de son propre succès.
L'agence a diffusé des conseils aux entreprises américaines, mais ces mémos sont également lus à Pyongyang et les employés adaptent leurs tactiques. Cela implique parfois de faire appel à des complices, conscients ou non.
Par exemple, pour contourner le problème des adresses IP, des fermes d'ordinateurs portables fleurissent partout aux États-Unis. Si un candidat obtient un emploi, l'entreprise lui envoie généralement un ordinateur portable. Le candidat explique alors qu'il a déménagé ou qu'il a une urgence familiale. Pourrait-il l'envoyer à une nouvelle adresse ?
Il s'agit très probablement d'une ferme d'ordinateurs portables : une personne aux États-Unis accepte d'utiliser l'ordinateur portable depuis une adresse légitime moyennant une rémunération, généralement autour de 200 dollars par ordinateur, selon Meyers. L'année dernière, le FBI a démantelé une opération de ce type à Nashville, dans le Tennessee, et a accusé l'opérateur de complot en vue de causer des dommages à des ordinateurs protégés, de complot en vue de blanchir des instruments financiers, de complot en vue de commettre une fraude électronique, de dommages intentionnels à des ordinateurs protégés, d'usurpation d'identité aggravée et de complot en vue d'employer illégalement des étrangers.
Plutôt que de se créer des identités, les travailleurs nord-coréens se sont mis à voler celles qu'ils convoitent ou à tromper les gens pour qu'ils les leur remettent pour une bonne cause. En Ukraine, on assiste à une activité croissante consistant à convaincre des personnes de partager leur identité avec des tiers sous prétexte de les utiliser contre des agents chinois qui soutiennent la Russie.
« Malheureusement, comme cela soutient les Nord-Coréens, l'argent retourne ensuite au régime nord-coréen », a déclaré Chris Horne, directeur principal du site d'emploi Upwork. « Ensuite, il sert à soutenir les troupes qui reviennent via la Russie. Ils paient donc leur propre perte en Ukraine en ce moment. »
Nous avons également vu des candidats à des entretiens d'embauche truqués qui sont suffisamment fiables pour tromper les professionnels de l'informatique, parfois à plusieurs reprises. Cette technologie ne fait que s'améliorer et deviendra de plus en plus convaincante, a averti Pelker.
La clé pour résoudre ce problème, selon les panélistes, était d'informer tous les participants au processus d'entretien, jusqu'au plus petit membre du personnel, et d'être extrêmement vigilants aux signes avant-coureurs. Si possible, ont-ils ajouté, il faudrait faire appel à un professionnel local pour un entretien en personne, et peut-être aussi éviter d'embaucher des employés travaillant entièrement à distance. ®
Note de la rédaction : Cet article a été mis à jour afin de préciser l'employeur de Chris Horne, à savoir Upwork plutôt qu'Upworthy. Nous regrettons cette erreur.