Des douzaines d’entreprises du Fortune 100 ont involontairement embauch des informaticiens nord-corens sous de fausses identits Compromettant ainsi la scurit des entreprises technologiques, selon Mandiant

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



Des douzaines d’organisations du Fortune 100 ont embauch leur insu des informaticiens nord-corens utilisant de fausses identits, gnrant des revenus pour le gouvernement nord-coren tout en compromettant potentiellement les entreprises technologiques, selon l’unit Mandiant de Google.

En 2023, le FBI avait dj indiqu que la Core du Nord a dploy des milliers de faux informaticiens US pour financer son programme d’armement. Selon l’agence gouvernementale, les nord-corens ont orchestr pendant des annes un stratagme informatique qui a permis de tromper de nombreuses entreprises en faisant travailler des informaticiens distance dans des socits bases aux tats-Unis. Les salaires des informaticiens auraient ensuite t envoys la Core du Nord pour financer son programme de missiles balistiques.

Le lundi 23 septembre 2024, un nouveau rapport a t publi par Mandiant et dcrit un schma commun orchestr par le groupe que l’unit de Google suit sous le nom de UNC5267, actif depuis 2018. Dans la plupart des cas, les informaticiens se composent d’individus envoys par le gouvernement nord-coren pour vivre principalement en Chine et en Russie, avec un plus petit nombre en Afrique et en Asie du Sud-Est. , prcise le rapport.

Les informaticiens distance obtiennent souvent un accs lev pour modifier le code et administrer les systmes de rseau , a constat Mandiant, qui met en garde contre les effets en aval de l’entre d’acteurs malveillants dans le sanctuaire intrieur d’une entreprise. Utilisant des identits voles ou fictives, les acteurs sont gnralement embauchs en tant que sous-traitants distance.

Mandiant a constat que les informaticiens taient embauchs dans une varit de rles complexes dans plusieurs secteurs. Certains informaticiens sont employs par plusieurs entreprises et peroivent plusieurs salaires par mois. La tactique est facilite par une personne base aux tats-Unis qui gre une ferme d’ordinateurs portables o sont envoys les ordinateurs portables des informaticiens. Une technologie distance est installe sur les ordinateurs portables, ce qui permet aux Nord-Corens de se connecter et de travailler depuis la Chine ou la Russie.

Les informaticiens demandaient gnralement que leurs ordinateurs portables professionnels soient envoys des adresses diffrentes de celles figurant sur leur CV, ce qui veillait les soupons des entreprises.

Mandiant a dclar avoir trouv des preuves que les ordinateurs portables de ces fermes taient connects un dispositif KVM (Keyboard Video Mouse) ou plusieurs outils de gestion distance, notamment LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer et d’autres.

Les commentaires des membres de l’quipe et des responsables qui se sont entretenus avec Mandiant au cours des enqutes ont systmatiquement mis en vidence des modles de comportement, tels que la rticence s’engager dans une communication vido et une qualit de travail infrieure la moyenne affiche par l’informaticien distance de la Rpublique Populaire Dmocratique de Core (RPDC) qui utilisait les ordinateurs portables , a rapport Mandiant.

Lors de plusieurs interventions, Mandiant a constat que les informaticiens utilisaient les mmes CV qui contenaient des liens vers de faux profils d’ingnieurs logiciels hbergs sur Netlify, une plateforme souvent utilise pour crer et dployer rapidement des sites web. De nombreux CV et profils comportaient un anglais mdiocre et d’autres indices indiquant que l’acteur n’tait pas bas aux tats-Unis.

L’une des caractristiques observes plusieurs reprises est l’utilisation d’adresses bases aux tats-Unis accompagnes de diplmes dlivrs par des universits situes en dehors de l’Amrique du Nord, souvent Singapour, au Japon ou Hong Kong. Selon Mandiant, les entreprises ne vrifient gnralement pas les diplmes dlivrs par les universits trangres.

Aperu stratgique des travailleurs du secteur de l’informatique

Depuis 2022, Mandiant a suivi et signal l’existence d’informaticiens oprant pour le compte de la Rpublique populaire dmocratique de Core (RPDC). Ces travailleurs se font passer pour des ressortissants d’autres pays que la Core du Nord afin d’obtenir un emploi auprs d’organisations dans un large ventail de secteurs, dans le but de gnrer des revenus pour le rgime nord-coren, en particulier pour chapper aux sanctions et financer ses programmes d’armes de destruction massive (ADM) et de missiles balistiques. Un avis du gouvernement amricain datant de 2022 indique que ces travailleurs ont galement tir parti de l’accs privilgi obtenu dans le cadre de leur emploi pour permettre des cyberintrusions malveillantes, une observation corrobore par Mandiant et d’autres organisations.

Les informaticiens emploient diverses mthodes pour chapper la dtection. Mandiant a observ que les oprateurs s’appuient sur des socits-crans pour dguiser leur vritable identit ; en outre, les actes d’accusation du gouvernement amricain montrent que des individus non nord-corens, connus sous le nom de facilitateurs , jouent un rle crucial pour faciliter la tche de ces informaticiens dans leurs efforts de recherche et de maintien de l’emploi. Ces personnes fournissent des services essentiels qui comprennent, sans s’y limiter, le blanchiment d’argent et/ou de crypto-monnaie, la rception et l’hbergement d’ordinateurs portables de l’entreprise leur domicile, l’utilisation d’identits voles pour la vrification de l’emploi et l’accs aux systmes financiers internationaux.

Le rapport de Mandiant contribue mieux faire connatre les efforts dploys par la RPDC pour obtenir un emploi en tant qu’informaticien et met en lumire ses tactiques oprationnelles pour obtenir un emploi et conserver l’accs aux systmes de l’entreprise. La comprhension de ces mthodes peut aider les organisations mieux dtecter ce type de comportements suspects plus tt dans le processus d’embauche. Dans son rapport, Mandiant a inclus un chantillon des types de comportements identifis au cours de ses missions de rponse aux incidents, ainsi que des stratgies pour la dtection et la perturbation des activits des informaticiens de la RPDC.

UNC5267

Mandiant suit les oprations des informaticiens que l’unit a identifis dans divers environnements sous le nom de UNC5267. UNC5267 reste trs actif l’heure actuelle et constitue une menace permanente. Certaines sources suggrent que l’origine de ces oprations remonte 2018. Il est important de noter que UNC5267 n’est pas un groupe de menace traditionnel et centralis. Les informaticiens sont constitus d’individus envoys par le gouvernement nord-coren pour vivre principalement en Chine et en Russie, et en plus petit nombre en Afrique et en Asie du Sud-Est. Leur mission consiste obtenir des emplois lucratifs au sein d’entreprises occidentales, en particulier dans le secteur technologique amricain.

UNC5267 obtient un accs initial en utilisant des identits voles pour postuler divers postes ou pour tre recrut en tant que sous-traitant. Les oprateurs de l’UNC5267 ont principalement postul pour des postes offrant un travail 100 % distance. Mandiant a observ que les oprateurs effectuaient des travaux d’une complexit et d’une difficult variables dans des domaines et des secteurs disparates. Il n’est pas rare qu’un informaticien de la RPDC ait plusieurs emplois la fois et peroive plusieurs salaires par mois. Un facilitateur amricain travaillant avec les informaticiens a compromis plus de 60 identits de personnes amricaines, a eu un impact sur plus de 300 entreprises amricaines et a permis de gnrer au moins 6,8 millions de dollars de revenus pour les informaticiens l’tranger, d’octobre 2020 ou autour d’octobre 2023.

Les objectifs de l’UNC5267 sont les suivants :

  • Gagner de l’argent en effectuant des retraits illicites de salaires auprs d’entreprises compromises.
  • Maintenir un accs long terme aux rseaux des victimes en vue d’une ventuelle exploitation financire future
  • Utilisation potentielle de l’accs des fins d’espionnage ou d’activits perturbatrices (bien que cela n’ait pas t observ de manire dfinitive).

Observations sur les rponses aux incidents

Les missions de rponse aux incidents menes par Mandiant jusqu’ prsent ont principalement permis d’observer que les informaticiens de la RPDC agissaient dans le cadre de leurs responsabilits professionnelles. Cependant, les travailleurs distance obtiennent souvent un accs lev pour modifier le code et administrer les systmes de rseau. Ce niveau d’accs lev accord aux employs frauduleux prsente un risque important pour la scurit.

L’unit Mandiant de Google a identifi un nombre important de CV d’informaticiens de la RPDC utiliss pour postuler des emplois distance. Dans l’un des CV d’un informaticien prsum, l’adresse lectronique – prcdemment observe dans des activits lies l’informatique – tait galement lie un faux profil d’ingnieur logiciel hberg sur Netlify, une plateforme souvent utilise pour crer et dployer rapidement des sites web. Le profil prtendait matriser plusieurs langages de programmation et comportait de faux tmoignages avec des images voles de professionnels de haut rang, probablement voles des PDG, des directeurs et d’autres profils LinkedIn d’ingnieurs en logiciel.

Sur la page Netlify de l’informaticien prsum de la RPDC, Mandiant a dcouvert un CV accompagn d’un lien vers un autre CV hberg sur Google Docs, prsentant une identit diffrente. Le CV li prsentait un nom, un numro de tlphone et une adresse lectronique diffrents des informations figurant sur la page Netlify. D’autres divergences entre la page Netlify et le CV li incluaient des diffrences dans les universits et les annes de frquentation, ainsi que des variations dans les titres des emplois prcdents et dans l’historique de l’entreprise. Cependant, les deux CV comportaient une lgre variation de la phrase Je ne me proccupe pas de moi, je me proccupe davantage des autres qui comptent sur moi .

Ces deux CV ne reprsentent qu’un petit chantillon du nombre total de CV frauduleux identifis par Mandiant. Cependant, ils prouvent que les informaticiens de la RPDC ont utilis plusieurs personnages pour tenter d’obtenir un emploi dans plusieurs organisations.

Une caractristique rcurrente des CV utiliss par l’UNC5267 est l’utilisation d’adresses bases aux tats-Unis associes des diplmes d’universits situes en dehors de l’Amrique du Nord, souvent dans des pays tels que Singapour, le Japon ou Hong Kong. Bien que cela soit possible, Mandiant a not que le taux d’acceptation des tudiants trangers dans de nombreuses universits est faible. Cet cart peut empcher les employeurs nord-amricains potentiels de vrifier ou de contacter ces tablissements trangers au sujet du candidat. Mandiant a galement observ que les universits mentionnes dans la vrification des antcdents peuvent ne pas correspondre la formation du candidat mentionne dans son curriculum vitae, y compris la priode d’inscription et les programmes d’tudes termins. En outre, les CV d’UNC5267 prsentent souvent un chevauchement important avec les CV accessibles au public ou sont largement rutiliss dans plusieurs personas d’UNC5267.

Pour accomplir ses tches, UNC5267 accde souvent distance aux ordinateurs portables de l’entreprise victime situs dans une ferme d’ordinateurs portables. Ces fermes d’ordinateurs portables sont gnralement dotes d’un seul facilitateur qui est pay mensuellement pour hberger de nombreux appareils au mme endroit. Mandiant a identifi des preuves que ces ordinateurs portables sont souvent connects un dispositif KVM (Keyboard Video Mouse) bas sur IP, bien qu’un thme rcurrent dans ces incidents soit l’installation de plusieurs outils de gestion distance sur les ordinateurs portables de l’entreprise victime immdiatement aprs l’envoi la ferme. Ces outils indiquent que la personne se connecte distance au systme de son entreprise via l’internet et qu’elle n’est peut-tre pas gographiquement situe dans la ville, l’tat ou mme le pays o elle dclare rsider. Voici une liste des outils d’administration distance identifis lors des missions de Mandiant :

  • GoToRemote / LogMeIn
  • GoToMeeting
  • Chrome Remote Desktop
  • AnyDesk
  • TeamViewer
  • RustDesk

Les connexions ces solutions de gestion distance provenaient principalement d’adresses IP associes Astrill VPN, probablement de Chine ou de Core du Nord. Enfin, les commentaires des membres de l’quipe et des responsables qui se sont entretenus avec Mandiant au cours des enqutes ont systmatiquement mis en vidence des modles de comportement, tels que la rticence s’engager dans une communication vido et une qualit de travail infrieure la moyenne affiche par l’informaticien de la RPDC qui utilisait les ordinateurs portables distance.

Une autre caractristique commune identifie dans les missions de Mandiant est que les informaticiens de la RPDC prtendent gnralement vivre un endroit, mais demandent l’envoi des ordinateurs portables un autre endroit (ferme d’ordinateurs portables ou entit d’habilitation externe). Mandiant a observ que les informaticiens de la RPDC utilisaient le lieu associ l’identit vole utilise pour l’emploi, y compris le permis de conduire vol, qui ne correspond souvent pas au lieu o l’ordinateur portable est finalement expdi et stock.

Mthodes de dtection

Mandiant a mis en vidence un certain nombre de stratgies que les organisations peuvent utiliser pour identifier et entraver les oprations des informaticiens de la RPDC, sur la base d’informations provenant de sources fiables et d’avis gouvernementaux. Pour contrer la menace pose par les cyberacteurs nord-corens, une approche multiples facettes est ncessaire, combinant des dfenses techniques, une formation de sensibilisation des utilisateurs et une chasse aux menaces proactive. Les principales recommandations de Mandiant sont les suivantes :

Vrification des antcdents des candidats l’emploi

  • Exiger des vrifications rigoureuses des antcdents, y compris la collecte d’informations biomtriques pour les comparer des identits connues par l’intermdiaire de services spcialiss de vrification des antcdents, peut dcourager l’utilisation de faux.
  • Mettre en place des procdures d’entretien rigoureuses, par exemple en exigeant l’utilisation de camras pendant les entretiens pour s’assurer que l’apparence visuelle correspond aux profils en ligne, en vrifiant que la personne interroge correspond la pice d’identit fournie et en posant des questions pour tablir la cohrence des rponses d’un candidat par rapport ses antcdents supposs.
    • Des avis du gouvernement amricain et des tiers de confiance ont galement not la rticence des informaticiens allumer les camras et leur utilisation de faux antcdents lors des entretiens.
  • Former les services des ressources humaines reprer les incohrences de manire gnrale et apprendre les tactiques, techniques et procdures (TTP) des informaticiens.
  • Contrler l’utilisation de l’intelligence artificielle (IA) pour modifier les photos de profil d’emploi.
    • Mandiant a observ de multiples cas o les informaticiens de la RPDC ont utilis l’IA pour modifier les photos de profil.
    • Les organisations concernes ont utilis des outils libres pour dterminer si l’image avait t cre l’aide de l’intelligence artificielle.
  • Exiger une preuve d’identit notarie avant l’embauche.

Observations des indicateurs techniques potentiels

  • Vrifier les numros de tlphone pour identifier les numros de tlphone VoIP (Voice over Internet Protocol). L’utilisation de numros de tlphone VoIP est une tactique couramment employe par l’UNC5267.
  • Vrifier que l’ordinateur portable de l’entreprise est expdi et ensuite golocalis l’endroit o l’individu dclare rsider lors de l’intgration. Mandiant a observ des cas o l’ordinateur portable de l’entreprise dploy n’a jamais t golocalis l’endroit o la personne a dclar rsider.
  • Contrler et restreindre l’utilisation et l’installation d’outils d’administration distance :
    • Empcher toute connexion distance des ordinateurs fournis par l’entreprise qui pourraient par la suite accder au rseau de l’entreprise.
    • Contrler les outils d’administration distance peu courants.
    • Contrler si plusieurs outils d’administration distance sont installs sur un mme systme.
  • Contrler l’utilisation de services VPN pour se connecter l’infrastructure de l’entreprise. Les adresses IP associes aux services VPN, tels qu’Astrill VPN, devraient faire l’objet d’un examen plus approfondi.
  • Contrler l’utilisation de logiciels de mouse jiggling . Mandiant a observ des cas o des informaticiens de la RPDC utilisent le logiciel Caffeine pour rester actifs sur plusieurs ordinateurs portables et profils. Cela facilite l’utilisation sur les sites des facilitateurs, o il est essentiel que les ordinateurs portables restent allums et fonctionnent, et pour les informaticiens de la RPDC qui ont souvent plusieurs emplois la fois et doivent apparatre en ligne.
  • Demander la vrification du numro de srie de l’ordinateur portable au moment de l’intgration des informaticiens. Cette information doit tre facilement accessible toute personne en possession physique de l’appareil de l’entreprise.
  • Utiliser un systme d’authentification multifactorielle bas sur le matriel pour garantir l’accs physique aux appareils de l’entreprise.
  • Surveiller et restreindre l’utilisation des dispositifs KVM bass sur IP. Les KVM IP sont frquemment utiliss par les informaticiens de la RPDC pour maintenir un accs distance permanent aux appareils de l’entreprise.

Stratgies de mitigation en cours

  • Envisager d’effectuer des contrles ponctuels obligatoires priodiques au cours desquels les employs distance doivent tre films.
  • Proposer aux utilisateurs et aux employs une formation continue sur les menaces et les tendances actuelles, ce qui est essentiel pour identifier les activits potentiellement malveillantes. Fournir une formation supplmentaire sur le signalement des activits suspectes.
  • Collaborer avec les communauts de partage d’informations et les fournisseurs de scurit pour se tenir au courant des dernires menaces et stratgies de mitigation.
  • Exiger l’utilisation de banques amricaines pour les transactions financires afin d’entraver les efforts des informaticiens, car l’acquisition de comptes bancaires amricains est plus difficile et implique une vrification d’identit plus stricte que dans de nombreux autres pays.

Pour les clients de Google SecOps Enterprise+, des rgles ont t ajoutes au pack de rgles Emerging Threats, et les indicateurs de compromission (IOC) rpertoris dans le rapport de Mandiant sont disponibles pour tre classs par ordre de priorit avec Applied Threat Intelligence.

Mandiant propose galement des services Custom Threat Hunt bass sur le renseignement et pilots par des humains pour rvler les activits en cours ou passes des acteurs de la menace dans les environnements cloud et sur site. Ce service comprend une analyse adapte aux particularits de la pile technologique et aux menaces ciblant les utilisateurs.

Perspectives et implications

Les informaticiens nord-corens, bien que soumis des contraintes importantes, reprsentent une cybermenace persistante et croissante. La double motivation qui sous-tend leurs activits – la ralisation des objectifs de l’tat et la recherche de gains financiers personnels – les rend particulirement dangereux. Leurs comptences techniques, associes des tactiques d’vasion sophistiques, constituent un formidable dfi, en particulier pour les quipes de RH et de recrutement charges d’identifier les menaces potentielles au cours du processus d’embauche.

Compte tenu de leurs succs passs et de la dpendance du rgime de la RPDC l’gard des cyberoprations pour ses revenus et ses objectifs stratgiques, Mandiant prvoit une augmentation continue des attaques et des intrusions sophistiques ciblant les entreprises du monde entier. Les informaticiens continuent d’avoir un impact particulier sur les organisations occidentales, avec un nombre croissant d’organisations europennes cibles. Ces attaques peuvent entraner des violations de donnes, des pertes financires, des vols de proprit intellectuelle et l’interruption de services essentiels.

Les activits des informaticiens nord-corens soulignent la ncessit d’une vigilance soutenue et d’une attitude proactive en matire de cyberscurit. Bien que la menace soit complexe, une combinaison de mesures de scurit robustes, de sensibilisation des employs et d’efforts de collaboration peut considrablement amliorer la rsilience d’une organisation face ces acteurs malveillants. En outre, l’utilisation d’outils avancs de dtection des menaces et le maintien de solides plans de rponse aux incidents sont essentiels pour minimiser l’impact des violations potentielles. La collaboration avec les pairs du secteur et les agences de cyberscurit pour partager les informations sur les menaces peut encore renforcer les dfenses contre cette menace en constante volution.

Mandiant a dclar participer avec succs cet effort en s’appuyant sur des partenariats publics ou privs avec des organisations cls et des victimes. Si une organisation a t touche ou si des informations sont disponibles concernant les cyber-oprations de la RPDC, Mandiant a indiqu qu’il peut aider transmettre ces informations aux personnes qui ont besoin d’tre protges ou informes. Cela concerne tout le monde.

Une collection de renseignements sur les menaces de Google comprenant des IOC lis l’activit de l’UNC5267 est maintenant disponible pour les utilisateurs enregistrs.

propos de Mandiant

Mandiant est une socit amricaine de cyberscurit, leader reconnu en matire de cyberdfense dynamique, de renseignements sur les menaces et de services de rponse aux incidents. En mettant profit des dcennies d’exprience en premire ligne, Mandiant protge les organisations des cyberattaques et leur donne confiance dans leur tat de prparation. Mandiant combine une expertise, une CTI et des technologies leaders du march pour crer des services et produits garants d’une cyberdfense dynamique.

Source : Mandiant

Et vous ?

Quelle lecture faites-vous de cette situation ?

Trouvez-vous que les recommandations de Mandiant pour identifier et entraver les oprations des informaticiens nord-corens sont crdibles ou pertinentes ?

Voir aussi :

Le FBI affirme que la Core du Nord a dploy des milliers de faux informaticiens US pour financer son programme d’armement, ce stratagme nord-coren aurait gnr des millions de dollars

Le FBI met en garde contre l’embauche accidentelle d’un pirate nord-coren, car ils utiliseraient leurs salaires pour soutenir les programmes d’armes nuclaires de la Core du Nord



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.