Êtes-vous un indépendant ? Les espions nord-coréens pourraient vous utiliser

0 Partages

Les agents informatiques nord-coréens changent de stratégie et recrutent des pigistes pour fournir des identités proxy pour les emplois à distance.

Les agents contactent les demandeurs d’emploi sur Upwork, Freelancer et GitHub avant de déplacer les conversations vers Telegram ou Discord, où ils les coachent dans la configuration d’un logiciel d’accès à distance et la réussite des vérifications d’identité.

Dans des cas antérieurs, des travailleurs nord-coréens avaient obtenu des emplois à distance en utilisant de fausses pièces d’identité. Selon Heiner García, expert en renseignement sur les cybermenaces chez Telefónica et chercheur en sécurité blockchain, les agents sont désormais éviter ces barrières en travaillant avec des utilisateurs vérifiés qui fournissent un accès à distance à leurs ordinateurs.

Les véritables propriétaires des identités ne reçoivent qu’un cinquième du salaire, tandis que le reste des fonds est redirigé vers les agents via des crypto-monnaies ou même des comptes bancaires traditionnels. En s’appuyant sur des identités réelles et des connexions Internet locales, les agents peuvent contourner les systèmes conçus pour signaler les zones géographiques à haut risque et les VPN.

Le processus de recrutement permet aux agents de maintenir un accès continu aux identités et d’en changer lorsqu’ils sont signalés. Source : Heiner García/SEAL

Dans le cadre du recrutement évolutif des informaticiens nord-coréens

Plus tôt cette année, García a créé une société de cryptographie factice et, avec Cointelegraph, a interviewé un agent nord-coréen présumé à la recherche d’un rôle technologique à distance. Le candidat a affirmé être japonais, puis a brusquement mis fin à l’appel lorsqu’on lui a demandé de se présenter en japonais.

García a poursuivi la conversation dans des messages privés. L’agent présumé lui a demandé d’acheter un ordinateur et de fournir un accès à distance.

La demande correspondait aux modèles que García rencontrerait plus tard. Les preuves liées aux profils suspects comprenaient des présentations d’intégration, des scripts de recrutement et des documents d’identité « réutilisés encore et encore ».

En rapport: Un espion nord-coréen fait une erreur et révèle des liens lors d’un faux entretien d’embauche

García a déclaré à Cointelegraph :

Ils installent AnyDesk ou Chrome Remote Desktop et travaillent depuis la machine de la victime afin que la plateforme voie une adresse IP nationale.

Les personnes qui remettent leurs ordinateurs « sont des victimes », a-t-il ajouté. « Ils ne le savent pas. Ils pensent qu’ils adhèrent à un accord de sous-traitance normal. »

Crypto-monnaies, Cybercriminalité, Corée du Nord, Crimes, Cybersécurité — *Un fil de discussion par courrier électronique montre comment le recrutement est effectué via une plateforme de freelance. Source : Heiner García/SEAL*

Selon les journaux de discussion qu’il a examinés, les recrues posent des questions de base telles que « Comment allons-nous gagner de l’argent ? » et n’effectuent aucun travail technique eux-mêmes. Ils vérifient les comptes, installent un logiciel d’accès à distance et maintiennent l’appareil en ligne pendant que les agents postulent à des emplois, parlent aux clients et effectuent du travail sous leur identité.

Même si la plupart semblent être des « victimes » ignorant avec qui elles interagissent, certaines semblent savoir exactement ce qu’elles font.

En août 2024, le ministère américain de la Justice a arrêté Matthew Isaac Knoot de Nashville pour avoir dirigé une « ferme d’ordinateurs portables » qui permettait aux informaticiens nord-coréens de se faire passer pour des employés basés aux États-Unis utilisant des identités volées.

Plus récemment, en Arizona, Christina Marie Chapman a été condamnée à plus de huit ans de prison pour avoir organisé une opération similaire qui a rapporté plus de 17 millions de dollars à la Corée du Nord.

Un modèle de recrutement construit autour de la vulnérabilité

Les recrues les plus prisées se trouvent aux États-Unis, en Europe et dans certaines régions d’Asie, où les comptes vérifiés donnent accès à des emplois de grande valeur en entreprise et comportent moins de restrictions géographiques. Mais García a également observé des documents appartenant à des individus originaires de régions économiquement instables, comme l’Ukraine et l’Asie du Sud-Est.

« Ils ciblent les personnes à faible revenu. Ils ciblent les personnes vulnérables », a déclaré García. « Je les ai même vu essayer d’atteindre les personnes handicapées. »

La Corée du Nord a passé des années à infiltrer les secteurs de la technologie et de la cryptographie pour générer des revenus et s’implanter à l’étranger. Les Nations Unies dit Les travaux informatiques de la RPDC et le vol de cryptomonnaies financeraient les programmes de missiles et d’armes du pays.

En rapport: De Sony à Bybit : comment Lazarus Group est devenu le super-vilain de la cryptographie

García a déclaré que la tactique va au-delà de la cryptographie. Dans un cas qu’il a examiné, un travailleur de la RPDC a utilisé une identité américaine usurpée pour se présenter comme un architecte de l’Illinois, soumissionnant sur des projets liés à la construction sur Upwork. Leur client a reçu un travail de rédaction terminé.

Malgré l’accent mis sur le blanchiment lié à la cryptographie, les recherches de García ont révélé que les canaux financiers traditionnels font également l’objet d’abus. Le même modèle d’identité proxy permet aux acteurs illicites de recevoir des paiements bancaires sous des noms légitimes.

« Ce n’est pas seulement une question de crypto », a déclaré García. « Ils font tout : l’architecture, la conception, le support client, tout ce à quoi ils peuvent accéder. »

Pourquoi les plateformes ont encore du mal à repérer qui travaille réellement

Même si les équipes de recrutement sont de plus en plus attentives au risque que des agents nord-coréens obtiennent des postes à distance, la détection n’intervient généralement qu’après qu’un comportement inhabituel déclenche des signaux d’alarme. Lorsqu’un compte est compromis, les acteurs adoptent une nouvelle identité et continuent de travailler.

Dans un cas, après la suspension d’un profil Upwork pour activité excessive, l’agent a demandé à la recrue de demander à un membre de sa famille d’ouvrir le compte suivant, selon les journaux de discussion examinés.

Ce changement d’identité rend difficile à la fois la responsabilité et l’attribution. La personne dont le nom et les documents figurent sur le compte est souvent trompée, tandis que la personne qui effectue réellement le travail opère depuis un autre pays et n’est jamais directement visible pour les plateformes ou les clients indépendants.

La force de ce modèle réside dans le fait que tout ce qu’un système de conformité peut voir semble légitime. L’identité est réelle et la connexion Internet est locale. Sur le papier, le travailleur répond à toutes les exigences, mais la personne derrière le clavier est quelqu’un de complètement différent.

García a déclaré que le signal d’alarme le plus clair est toute demande d’installation d’outils d’accès à distance ou de laisser quelqu’un « travailler » à partir de votre compte vérifié. Un processus d’embauche légitime ne nécessite pas le contrôle de votre appareil ou de votre identité.

Revue: Bitcoin OG Kyle Chassé est à un coup d’un YouTube permanent

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Êtes-vous un indépendant ? Les espions nord-coréens pourraient vous utiliser

Dans le cadre du recrutement évolutif des informaticiens nord-coréens

Un modèle de recrutement construit autour de la vulnérabilité

Pourquoi les plateformes ont encore du mal à repérer qui travaille réellement

Laisser un commentaire

Trump s’engage à signer la loi CLARITY et à accélérer les règles américaines en matière de cryptographie alors que la Chine accélère

Un développeur recycle une Game Boy pour sécuriser ses cryptomonnaies

XRP donne une forte évasion en tant qu’activité d’adresse sur les pics de réseau

La Centrafrique approuve la loi sur la «tokenisation» de ses ressources

Bitcoin Trading à 9 000 dollars australiens sur Binance Australia, voici pourquoi

Trump s’engage à signer la loi CLARITY et à accélérer les règles américaines en matière de cryptographie alors que la Chine accélère

Ledger envisage une cotation à New York alors que les revenus montent en flèche au milieu de l’augmentation des piratages cryptographiques

Aux Etats-Unis, vous pouvez désormais acheter des armes à feu avec des cryptos

L’impossibilité d’une parfaite équité dans l’ordre des transactions

Un moyen sécurisé de gagner du Bitcoin via le Cloud Mining réglementé

Inscription à la Newsletter

Dans le cadre du recrutement évolutif des informaticiens nord-coréens

Un modèle de recrutement construit autour de la vulnérabilité

Pourquoi les plateformes ont encore du mal à repérer qui travaille réellement

Vous pourriez aussi aimer

Laisser un commentaire