Les pirates informatiques de l’État nord-coréen dans le viseur du Trésor états-unien

Les pirates informatiques nord-coréens auraient réussi, l'an passé, à braquer l'équivalent de 630 millions à plus d'un milliard de dollars de cryptoactifs. Ils seraient également des milliers à être envoyés travailler à l'étranger, ou à se faire passer pour des freelances, afin de générer des revenus pour financer les activités du régime dictatorial.

Le Bureau du contrôle des avoirs étrangers (OFAC) du Département du Trésor états-unien vient de sanctionner quatre entités et un individu « impliqués dans la génération de revenus occultes et des cyberactivités malveillantes » en soutien au gouvernement de la République populaire démocratique de Corée (RPDC) du Nord.

Un rapport du groupe d'experts des Nations unies de mars 2023 estime que les pirates informatiques de la RPDC ont volé « plus de monnaie virtuelle en 2022 qu'au cours de toutes les années précédentes », précise l’OFAC, les estimations allant de 630 millions à plus d'un milliard de dollars, ce qui aurait doublé les recettes totales de Pyongyang en matière de cybervol par rapport 2021.

Le Conseil de sécurité de l'ONU a en effet imposé une série de sanctions à la Corée du Nord dans le but d'étouffer le financement des programmes de missiles nucléaires et balistiques de Pyongyang, poussant la RPDC à trouver des sources alternatives de revenus, et faisant de la Corée du Nord l'une des principales cybermenaces mondiales, comme nous l'avions déjà raconté.

• La Corée du Nord, ses pirates d'élite et son cybercrime organisé

L'Université d'automatisation de Pyongyang, l'une des principales institutions de formation en cybernétique de la RPDC, est ainsi accusée d'être responsable de la formation des cyberacteurs malveillants nord-coréens, dont beaucoup travaillent ensuite dans des unités cybernétiques subordonnées au Bureau général de reconnaissance (RGB) – le principal bureau de renseignement de la RPDC et la principale entité responsable des activités cybernétiques malveillantes du pays. 

L'OFAC désigne également le Bureau de reconnaissance technique contrôlé par le RGB et son unité cybernétique subordonnée, le 110e Centre de recherche. Ils dirigeraient le développement par la RPDC des tactiques et outils offensifs liés au Lazarus Group qui, le 23 mars 2022, a réalisé le plus grand vol de monnaie virtuelle à ce jour, dérobant environ 620 millions de dollars en monnaie virtuelle dans un projet de blockchain lié au jeu en ligne Axie Infinity.

En 2013, le 110e Centre de recherche a en outre, sous le nom de DarkSeoul, « détruit des milliers de systèmes du secteur financier et entraîné des pannes dans les trois principales sociétés de médias de la République de Corée », mais également volé à la République de Corée du Sud des informations gouvernementales sensibles relatives à sa défense militaire.

Des milliers d'informaticiens nord-coréens hautement qualifiés...

Ils sont en outre accusés de déployer des « travailleurs informatiques hautement qualifiés » dans le monde entier, « principalement en République populaire de Chine et en Russie », en vue d'obtenir frauduleusement des emplois, notamment dans les secteurs de la technologie et des monnaies virtuelles. 

Leur mission est de générer des revenus, y compris en crypto-monnaies, en vue de soutenir le régime de Kim Jong-un et ses priorités, « telles que ses programmes illégaux d'armes de destruction massive et de missiles balistiques ». 

« Ces travailleurs dissimulent délibérément leur identité, leur localisation et leur nationalité, en utilisant généralement de fausses identités, des comptes proxy, des identités volées et des documents falsifiés ou contrefaits pour postuler à des emplois dans ces entreprises », précise l'OFAC. 

Ils seraient notamment employés par la Chinyong Information Technology Cooperation Company (Chinyong), basée en RPDC mais qui les déploierait en Russie et au Laos. 

Kim Sang Man, l'un de ces représentants du bureau de Chinyong situé à Vladivostok, en Russie, est « présumé impliqué dans le paiement des salaires des membres de la famille des délégations de travailleurs de la RPDC à l'étranger », et par ailleurs accusé d'avoir reçu des transferts de fonds en crypto-monnaie d'équipes informatiques situées en Chine et en Russie, d'une valeur de plus de 2 millions de dollars américains. 

Kim Sang Man n'a pas, pour autant, été rajouté à la liste des « Cyber Most Wanted » du FBI, contrairement à Park Jin Hyok, Kim Il et Jon Chang Hyok, accusés, en décembre 2020, de travailler pour le Bureau général de reconnaissance (RGB) et plus particulièrement de faire partie du groupe Lazarus (ou APT 38).

... envoyés dans le monde entier

Le Trésor, le département d'État et le FBI vont jusqu'à fournir une fiche d’informations synthétisant les « instructions (...) afin de mieux comprendre et de se prémunir contre le recrutement, l'embauche et la facilitation par inadvertance de travailleurs du domaine des technologies de l'information » de la République Populaire Démocratique de Corée, traduite dans une dizaine de langues, dont le français : 

« Ce document fournit des informations détaillées sur le mode de fonctionnement des informaticiens de la RPDC et identifie les indices ainsi que les mesures de vigilance appropriées pour aider les entreprises à ne pas embaucher des développeurs indépendants de la RPDC et pour aider les indépendants et les plateformes de paiement numérique à identifier les informaticiens nord coréens qui abusent de leurs services. »

On y apprend que la RPDC aurait « envoyé des milliers d’informaticiens hautement qualifiés dans le monde entier », qu'ils « se présentent dans la plupart des cas sous une fausse identité comme des télétravailleurs étrangers (non nord-coréens) ou basés aux États-Unis, en utilisant surtout des réseaux privés virtuels (VPN), des serveurs privés virtuels (VPS), des adresses IP achetées dans des pays tiers, des comptes proxy et des documents d'identification falsifiés ou volés », et « utilisent l'accès privilégié obtenu en tant que prestataire à des fins illicites pour permettre des cyberintrusions malveillantes par d'autres acteurs de la RPDC ».

Comment reconnaître un informaticien nord-coréen ?

La fiche d'informations fournit plusieurs « indicateurs d’alerte » d'une activité potentielle d'un informaticien de la RPDC :

• plusieurs connexions à un compte à partir de diverses adresses IP dans un laps de temps relativement court, surtout si les adresses IP sont associées à différents pays ;
• des transferts fréquents d'argent par le biais de plateformes de paiement, notamment vers des comptes bancaires basés en République populaire de Chine (RPC), ou des demandes de paiement en crypto-monnaie ;
• des incohérences dans l'orthographe du nom, la nationalité, le lieu de travail déclaré, les coordonnées, le niveau d'études, les expériences professionnelles et d'autres détails sur les profils d'un développeur sur une plateforme de travail en freelance, sur les réseaux sociaux, les sites Internet de portefeuille externes, les plateformes de paiement et les lieux et heures d'évaluation ; et
• l'impossibilité de mener des activités pendant les heures de travail requises et l'impossibilité de joindre le travailleur en temps voulu, notamment par des méthodes de communication « instantanée ».

La fiche d'informations renvoie également à la page du CISA (l'ANSSI états-unien) consacrée à la menace cyber nord-coréenne ; au programme Rewards for Justice, qui propose jusqu'à 5 millions de dollars de récompense en échange d'informations sur la menace nord-coréenne ; ainsi qu'au récapitulatif des sanctions prises par le Trésor à ce sujet.