Les pirates informatiques de l'État nord-coréen dans le viseur du Trésor états-unien

Les pirates informatiques de l’État nord-coréen dans le viseur du Trésor états-unien

Kim Jong Un facts 2.0

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Droit

25/05/2023 7 minutes
19

Les pirates informatiques de l'État nord-coréen dans le viseur du Trésor états-unien

Les pirates informatiques nord-coréens auraient réussi, l'an passé, à braquer l'équivalent de 630 millions à plus d'un milliard de dollars de cryptoactifs. Ils seraient également des milliers à être envoyés travailler à l'étranger, ou à se faire passer pour des freelances, afin de générer des revenus pour financer les activités du régime dictatorial.

Le Bureau du contrôle des avoirs étrangers (OFAC) du Département du Trésor états-unien vient de sanctionner quatre entités et un individu « impliqués dans la génération de revenus occultes et des cyberactivités malveillantes » en soutien au gouvernement de la République populaire démocratique de Corée (RPDC) du Nord.

Un rapport du groupe d'experts des Nations unies de mars 2023 estime que les pirates informatiques de la RPDC ont volé « plus de monnaie virtuelle en 2022 qu'au cours de toutes les années précédentes », précise l’OFAC, les estimations allant de 630 millions à plus d'un milliard de dollars, ce qui aurait doublé les recettes totales de Pyongyang en matière de cybervol par rapport 2021.

Le Conseil de sécurité de l'ONU a en effet imposé une série de sanctions à la Corée du Nord dans le but d'étouffer le financement des programmes de missiles nucléaires et balistiques de Pyongyang, poussant la RPDC à trouver des sources alternatives de revenus, et faisant de la Corée du Nord l'une des principales cybermenaces mondiales, comme nous l'avions déjà raconté.

L'Université d'automatisation de Pyongyang, l'une des principales institutions de formation en cybernétique de la RPDC, est ainsi accusée d'être responsable de la formation des cyberacteurs malveillants nord-coréens, dont beaucoup travaillent ensuite dans des unités cybernétiques subordonnées au Bureau général de reconnaissance (RGB) – le principal bureau de renseignement de la RPDC et la principale entité responsable des activités cybernétiques malveillantes du pays. 

L'OFAC désigne également le Bureau de reconnaissance technique contrôlé par le RGB et son unité cybernétique subordonnée, le 110e Centre de recherche. Ils dirigeraient le développement par la RPDC des tactiques et outils offensifs liés au Lazarus Group qui, le 23 mars 2022, a réalisé le plus grand vol de monnaie virtuelle à ce jour, dérobant environ 620 millions de dollars en monnaie virtuelle dans un projet de blockchain lié au jeu en ligne Axie Infinity.

En 2013, le 110e Centre de recherche a en outre, sous le nom de DarkSeoul, « détruit des milliers de systèmes du secteur financier et entraîné des pannes dans les trois principales sociétés de médias de la République de Corée », mais également volé à la République de Corée du Sud des informations gouvernementales sensibles relatives à sa défense militaire.

Des milliers d'informaticiens nord-coréens hautement qualifiés...

Ils sont en outre accusés de déployer des « travailleurs informatiques hautement qualifiés » dans le monde entier, « principalement en République populaire de Chine et en Russie », en vue d'obtenir frauduleusement des emplois, notamment dans les secteurs de la technologie et des monnaies virtuelles. 

Leur mission est de générer des revenus, y compris en crypto-monnaies, en vue de soutenir le régime de Kim Jong-un et ses priorités, « telles que ses programmes illégaux d'armes de destruction massive et de missiles balistiques ». 

« Ces travailleurs dissimulent délibérément leur identité, leur localisation et leur nationalité, en utilisant généralement de fausses identités, des comptes proxy, des identités volées et des documents falsifiés ou contrefaits pour postuler à des emplois dans ces entreprises », précise l'OFAC. 

Ils seraient notamment employés par la Chinyong Information Technology Cooperation Company (Chinyong), basée en RPDC mais qui les déploierait en Russie et au Laos. 

Kim Sang Man, l'un de ces représentants du bureau de Chinyong situé à Vladivostok, en Russie, est « présumé impliqué dans le paiement des salaires des membres de la famille des délégations de travailleurs de la RPDC à l'étranger », et par ailleurs accusé d'avoir reçu des transferts de fonds en crypto-monnaie d'équipes informatiques situées en Chine et en Russie, d'une valeur de plus de 2 millions de dollars américains. 

Kim Sang Man n'a pas, pour autant, été rajouté à la liste des « Cyber Most Wanted » du FBI, contrairement à Park Jin Hyok, Kim Il et Jon Chang Hyok, accusés, en décembre 2020, de travailler pour le Bureau général de reconnaissance (RGB) et plus particulièrement de faire partie du groupe Lazarus (ou APT 38).

... envoyés dans le monde entier

Le Trésor, le département d'État et le FBI vont jusqu'à fournir une fiche d’informations synthétisant les « instructions (...) afin de mieux comprendre et de se prémunir contre le recrutement, l'embauche et la facilitation par inadvertance de travailleurs du domaine des technologies de l'information » de la République Populaire Démocratique de Corée, traduite dans une dizaine de langues, dont le français : 

« Ce document fournit des informations détaillées sur le mode de fonctionnement des informaticiens de la RPDC et identifie les indices ainsi que les mesures de vigilance appropriées pour aider les entreprises à ne pas embaucher des développeurs indépendants de la RPDC et pour aider les indépendants et les plateformes de paiement numérique à identifier les informaticiens nord coréens qui abusent de leurs services. »

Corée du Nord

On y apprend que la RPDC aurait « envoyé des milliers d’informaticiens hautement qualifiés dans le monde entier », qu'ils « se présentent dans la plupart des cas sous une fausse identité comme des télétravailleurs étrangers (non nord-coréens) ou basés aux États-Unis, en utilisant surtout des réseaux privés virtuels (VPN), des serveurs privés virtuels (VPS), des adresses IP achetées dans des pays tiers, des comptes proxy et des documents d'identification falsifiés ou volés », et « utilisent l'accès privilégié obtenu en tant que prestataire à des fins illicites pour permettre des cyberintrusions malveillantes par d'autres acteurs de la RPDC ».

Comment reconnaître un informaticien nord-coréen ?

La fiche d'informations fournit plusieurs « indicateurs d’alerte » d'une activité potentielle d'un informaticien de la RPDC :

  • plusieurs connexions à un compte à partir de diverses adresses IP dans un laps de temps relativement court, surtout si les adresses IP sont associées à différents pays ;
  • des transferts fréquents d'argent par le biais de plateformes de paiement, notamment vers des comptes bancaires basés en République populaire de Chine (RPC), ou des demandes de paiement en crypto-monnaie ;
  • des incohérences dans l'orthographe du nom, la nationalité, le lieu de travail déclaré, les coordonnées, le niveau d'études, les expériences professionnelles et d'autres détails sur les profils d'un développeur sur une plateforme de travail en freelance, sur les réseaux sociaux, les sites Internet de portefeuille externes, les plateformes de paiement et les lieux et heures d'évaluation ; et
  • l'impossibilité de mener des activités pendant les heures de travail requises et l'impossibilité de joindre le travailleur en temps voulu, notamment par des méthodes de communication « instantanée ».
Corée du Nord

La fiche d'informations renvoie également à la page du CISA (l'ANSSI états-unien) consacrée à la menace cyber nord-coréenne ; au programme Rewards for Justice, qui propose jusqu'à 5 millions de dollars de récompense en échange d'informations sur la menace nord-coréenne ; ainsi qu'au récapitulatif des sanctions prises par le Trésor à ce sujet.

19

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des milliers d'informaticiens nord-coréens hautement qualifiés...

... envoyés dans le monde entier

Comment reconnaître un informaticien nord-coréen ?

Commentaires (19)


Si même les pirates nord-coréens se mettent à devenir des freelances où va t’on ?



L’image des pirates en prend un coup ! :D


Elle est mariée sa sœur ? (à droite sur la photo) . Je serai le mari, je serrerai les fesses à chaque instant, avec un beau-frère pareil… des fois qu’un pet mot de travers puisse contrarier l’un ou l’autre…



Erwan123 a dit:


Elle est mariée sa sœur ? (à droite sur la photo) . Je serai le mari, je serrerai les fesses à chaque instant, avec un beau-frère pareil… des fois qu’un pet mot de travers puisse contrarier l’un ou l’autre…




La soeur est encore plus tarée que lui, donc bon…



Ils seraient également des milliers à être envoyés travailler à l’étranger, ou à se faire passer pour des freelances, afin de générer des revenus pour financer les activités du régime dictatorial.




“Lorsque l’ennemi vous offre une opportunité, saisissez-en vite l’avantage”
Sun Tzu.


Ils sont supposés être en famine à la limite de manger du savon mais sont capables de former et d’exporter “des milliers d’informaticiens”. Qui, de plus, restent loyaux ensuite visiblement.



C’est un peu contradictoire/paradoxal tout ça quand même…


Quand la famille est prise en otage par ces gens là, vaut mieux rester loyal.


brupala

Quand la famille est prise en otage par ces gens là, vaut mieux rester loyal.


S’ils ont des famines régulièrement, ils devraient avoir plein d’orphelins prêts à partir en toute logique.


yvan

S’ils ont des famines régulièrement, ils devraient avoir plein d’orphelins prêts à partir en toute logique.


les premières victimes des famines sont souvent les enfants, pas les anciens.


brupala

les premières victimes des famines sont souvent les enfants, pas les anciens.


Je pensais à des ados, effectivement des petits…


Bah, quand tes grands parents, tes parents, tes frères et soeurs et tes enfants sont endoctrinés à longueur de journée, déjà, ça limite les prises de décisions contradictoires à la bien pensance locale



Ceci est un détail de l’histoire diront certains :transpi:



yvan a dit:


C’est un peu contradictoire/paradoxal tout ça quand même…




Seulement si on assume à tort que l’informatique est un truc de riche ou de gens éclairés.



Vécu : au fin fond de l’Inde, dans une rue défoncée, sur de vieux poteaux téléphoniques, tu vois des affiches du type “PHP/Java/C++ class !” avec un numéro de téléphone. Et un vieux PC dégueu mais qui s’allume, ça ne coute rien.



Niveau propagande, rappelons nous qu’un pays occidental entier a été convaincu beaucoup trop facilement que leur misère économique était liée à l’existence d’un groupe ethnique spécifique et des homosexuels, et que la “solution” pour améliorer leur vie était de les exterminer. Quand un dictateur parvient à imposer ses délires à la population, les dégâts sont vite catastrophiques.


Des infos que j’ai eues sur la Corée du nord par les médias accessibles en occident ils n’en étaient même pas au stade “vieux pc pourri”.



Et sinon, être prestataire info à un niveau mondial dans des entreprises d’importance nécessite des compétences de bon niveau, donc un cursus scolaire avancé. Et là les américains parlent même de gens de très bon niveau… c’est pas en faisant des tutos d’info de gestion qu’on correspond à ce profil, il faut pouvoir pratiquer un minimum, avoir les savoir être exigés en entreprise donc pouvoir communiquer avec le reste du monde etc.
Je reste très surpris par le fond de l’annonce.


yvan

Des infos que j’ai eues sur la Corée du nord par les médias accessibles en occident ils n’en étaient même pas au stade “vieux pc pourri”.



Et sinon, être prestataire info à un niveau mondial dans des entreprises d’importance nécessite des compétences de bon niveau, donc un cursus scolaire avancé. Et là les américains parlent même de gens de très bon niveau… c’est pas en faisant des tutos d’info de gestion qu’on correspond à ce profil, il faut pouvoir pratiquer un minimum, avoir les savoir être exigés en entreprise donc pouvoir communiquer avec le reste du monde etc.
Je reste très surpris par le fond de l’annonce.

on peut aussi estimer qu’ils s’en donnent les moyens, surtout quand on voit ce que cela leur rapporte ! Mais je serais curieux de savoir qui aurait eu cette idée, et comment s’est incarné & développé ce qui ressemble à un véritable programme dûment organisé.



J’en avais un peu parlé dans mon précédent article à ce sujet (cf notamment le passage Des cracks en maths), et ce, alors qu’une infime fraction des Nord-Coréens (de l’ordre de 1 %) aurait effectivement accès à Internet…


manhack

on peut aussi estimer qu’ils s’en donnent les moyens, surtout quand on voit ce que cela leur rapporte ! Mais je serais curieux de savoir qui aurait eu cette idée, et comment s’est incarné & développé ce qui ressemble à un véritable programme dûment organisé.



J’en avais un peu parlé dans mon précédent article à ce sujet (cf notamment le passage Des cracks en maths), et ce, alors qu’une infime fraction des Nord-Coréens (de l’ordre de 1 %) aurait effectivement accès à Internet…


Intuitivement je dirais formation en Chine et exercice professionnel depuis la Chine aussi… Je vois mal des écoles occidentales prendre des étudiants nord coréens sans que ça ne pose question aux services de sécurité occidentaux.
Leur dictateur a fait une partie de ses études en Suisse de mémoire, peut être certains pays à l’ouest sont moins regardants.



yvan a dit:


Et sinon, être prestataire info à un niveau mondial dans des entreprises d’importance nécessite des compétences de bon niveau, donc un cursus scolaire avancé.




:mdr: si tu savais.



Et même en Inde ou en Corée du Nord, les meilleurs sont bons, comme partout, c’est logique.
De mon expérience, les meilleurs informaticiens n’apprennent pas ou peu en classe, mais surtout en pratiquant eux même. Les cours peuvent donner une méthode de travail indépendamment de la techno (y compris en CdN, si c’est comme en Chine et en Corée du Sud c’est probablement très correct). Mais ceux qui apprennent uniquement par des cours ont toujours du mal ou font toute leur carrière sur une seule techno ; l’informatique évolue trop vite pour pouvoir apprendre comme ça.



Par ailleurs l’économie nord coréenne est tout de même connectée à la Chine.



the_Grim_Reaper a dit:


Bah, quand tes grands parents, tes parents, tes frères et soeurs et tes enfants sont endoctrinés à longueur de journée, déjà, ça limite les prises de décisions contradictoires à la bien pensance locale




Ah oui j’ai bien compris l’argument de brupala mais après plusieurs mois de prestations normalement il y a un début d’ouverture au monde, des bavardages, je ne sais pas, une faille quelconque. La curiosité c’est humain, même si la personne a été endoctrinée au dernier degré.



wagaf a dit:


:mdr: si tu savais.




Oui… mais dans ce cas les mots des services US sont étonnants.




De mon expérience, les meilleurs informaticiens n’apprennent pas ou peu en classe, mais surtout en pratiquant eux même.




C’est vrai dans un monde où tu peux avoir internet à la maison et un ordinateur à toi. Je suis d’accord avec toi mais justement, ça va plutôt dans le sens de mon étonnement qu’ils arrivent à avoir des gens très qualifiés et employables internationalement alors que c’est un des pires régimes rouges, que tout est filtré, restreint, contrôlé par le parti… Historiquement cette fermeture fait partie du retard du bloc de l’est en informatique alors qu’ils avaient un bien meilleur niveau en math/algos que les ingénieurs occidentaux. Ca fait partie des arguments pour la liberté individualiste cette stagnation technologique sinon.




Par ailleurs l’économie nord coréenne est tout de même connectée à la Chine.




Ca me semble un élément plus logique déjà que la chine fasse activement proxy.



yvan a dit:


Ils sont supposés être en famine à la limite de manger du savon mais sont capables de former et d’exporter “des milliers d’informaticiens”. Qui, de plus, restent loyaux ensuite visiblement.



C’est un peu contradictoire/paradoxal tout ça quand même…




Seuls ceux qui sont mariés et ont eu des enfants sont autorisés/forcés à aller travailler à l’étranger, de tel sorte que le gouvernement ait toujours un moyen de pression.



Déserteur = famille fusillée.



des incohérences dans l’orthographe du nom, la nationalité, le lieu de travail déclaré, les coordonnées, le niveau d’études, les expériences professionnelles et d’autres détails sur les profils d’un développeur sur une plateforme de travail en freelance, sur les réseaux sociaux, les sites Internet de portefeuille externes, les plateformes de paiement et les lieux et heures d’évaluation



l’impossibilité de mener des activités pendant les heures de travail requises et l’impossibilité de joindre le travailleur en temps voulu, notamment par des méthodes de communication « instantanée ».




Et bah dis donc c’est pas près d’arriver en France ! Le télétravail est toujours vu avec un regard suspicieux, il faut “pointer” chaque matin au “daily meeting”, ne surtout pas rater un appel Teams dans la journée au risque de devoir justifier ta non-réponse.
Là, ce sont carrément des employés fantômes, on n’est pas près d’en recruter !