Une fuite révèle le quotidien des escrocs informatiques nord-coréens

La recherche d'emploi est un véritable enfer. On perd des heures à éplucher les offres d'emploi, à peaufiner les lettres de motivation, à gérer des recruteurs peu scrupuleux – et tout cela avant même de se lancer dans les entretiens potentiels. Parmi les candidats les plus prolifiques au monde – ou du moins les plus persistants – figurent sans doute ceux issus des vastes programmes de recrutement de travailleurs informatiques de Corée du Nord . Pendant des années, le régime répressif de Kim Jong-un a réussi à envoyer des codeurs qualifiés à l'étranger, où ils ont pour mission de trouver du travail à distance et de rapatrier de l'argent dans ce pays lourdement sanctionné et isolé. Chaque année, des milliers de travailleurs informatiques rapportent entre 250 et 600 millions de dollars, selon les estimations des Nations Unies .

Une nouvelle mine de données, apparemment colossale, obtenue par un chercheur en cybersécurité, jette un nouvel éclairage sur la gestion des opérations d'un groupe de prétendus informaticiens nord-coréens et sur la planification méticuleuse de leurs combines lucratives. L'argent gagné par ces escrocs informatiques contribue aux efforts de développement d'armes de destruction massive et aux programmes de missiles balistiques de la Corée du Nord, a déclaré le gouvernement américain. Des courriels, des feuilles de calcul, des documents et des messages de chat provenant de comptes Google, GitHub et Slack prétendument liés aux présumés escrocs nord-coréens montrent comment ils suivent les offres d'emploi, enregistrent les candidatures en cours et comptabilisent leurs revenus avec une minutie méticuleuse.

La cache de données, qui offre un aperçu du quotidien de certains informaticiens nord-coréens, contiendrait également de fausses pièces d'identité pouvant servir à postuler à un emploi, ainsi que des exemples de lettres de motivation, des informations sur des parcs d'ordinateurs portables et des manuels utilisés pour créer des comptes en ligne. Cela renforce la dépendance des travailleurs nord-coréens à l'égard des services technologiques basés aux États-Unis, tels que Google, Slack et GitHub.

« Je pense que c'est la première fois que nous découvrons leur fonctionnement interne », explique le chercheur en sécurité, qui utilise le pseudonyme SttyK et a requis l'anonymat pour des raisons de confidentialité et de sécurité. SttyK, qui présente ses conclusions aujourd'hui à la conférence sur la sécurité Black Hat à Las Vegas, affirme qu'une source confidentielle anonyme lui a fourni les données des comptes en ligne. « Il y a plusieurs dizaines de gigaoctets de données. Il y a des milliers d'e-mails », précise SttyK, qui a montré sa présentation à WIRED avant la conférence.

Ces dernières années, les informaticiens nord-coréens ont infiltré d'énormes entreprises du Fortune 500, de nombreuses entreprises technologiques et cryptographiques, ainsi que d'innombrables petites entreprises. Si toutes les équipes informatiques n'utilisent pas les mêmes approches, elles utilisent souvent de fausses identités ou des identités volées pour obtenir du travail et font appel à des intermédiaires qui les aident à dissimuler leurs traces numériques . Ces informaticiens sont souvent basés en Russie ou en Chine et bénéficient de plus de libertés – on les a vus profiter de fêtes au bord de la piscine et dîner au restaurant avec des steaks onéreux – que des millions de Nord-Coréens privés des droits humains fondamentaux. Un transfuge nord-coréen travaillant comme informaticien a récemment déclaré à la BBC que 85 % de ses revenus mal acquis étaient envoyés en Corée du Nord. « C'est quand même bien mieux que lorsque nous étions en Corée du Nord », a-t-il déclaré.

Plusieurs captures d'écran de feuilles de calcul issues des données obtenues par SttyK montrent un groupe d'informaticiens apparemment divisé en 12 groupes, chacun comptant une douzaine de membres, et un « chef d'équipe ». Les feuilles de calcul sont élaborées de manière méthodique pour suivre les tâches et les budgets : elles comportent des onglets de synthèse et d'analyse qui permettent d'explorer en détail les données de chaque groupe. Les lignes et les colonnes sont soigneusement remplies ; elles semblent être mises à jour et entretenues régulièrement.

Les tableaux présentent les emplois potentiels pour les informaticiens. Une feuille, apparemment mise à jour quotidiennement, répertorie les descriptions de poste (« recherche nouveau développeur React et Web3 »), les entreprises qui les publient et leurs emplacements. Elle renvoie également vers les offres d'emploi sur les sites web de freelance ou les coordonnées des recruteurs. Une colonne « Statut » indique si le poste est « en attente » ou s'il a été « contacté ».

Des captures d'écran d'une feuille de calcul consultées par WIRED semblent indiquer les noms réels potentiels des informaticiens. À côté de chaque nom figure un registre indiquant la marque et le modèle de l'ordinateur qu'ils possèdent, ainsi que les écrans, les disques durs et les numéros de série de chaque appareil. Le « chef », dont le nom n'est pas indiqué, utilise apparemment un écran de 34 pouces et deux disques durs de 500 Go.

Une page d'« analyse » des données consultées par SttyK, le chercheur en sécurité, présente une liste des types d'activités du groupe de fraudeurs : IA, blockchain, web scraping, développement de bots, développement d'applications mobiles et web, trading, développement de CMS, développement d'applications de bureau, et « autres ». Chaque catégorie est associée à un budget potentiel et à un champ « total rémunéré ». Une douzaine de graphiques, regroupés dans une feuille de calcul, indiquent le montant des rémunérations, les régions les plus lucratives et la rémunération hebdomadaire, mensuelle ou fixe la plus rentable.

« C'est géré de manière professionnelle », explique Michael « Barni » Barnhart, éminent chercheur nord-coréen en piratage et menaces informatiques , qui travaille pour DTEX, une société spécialisée dans la sécurité des menaces internes. « Chacun doit respecter ses quotas. Tout doit être consigné. Tout doit être noté », précise-t-il. Le chercheur ajoute avoir constaté des niveaux similaires de tenue de registres chez les groupes de piratage sophistiqués nord-coréens , qui ont volé des milliards de cryptomonnaies ces dernières années et qui sont largement distincts des réseaux de travailleurs informatiques. Barnhart a consulté les données obtenues par SttyK et affirme qu'elles recoupent celles que lui et d'autres chercheurs suivaient.

« Je pense que ces données sont bien réelles », déclare Evan Gordenker, consultant senior au sein de l'équipe de renseignement sur les menaces Unit 42 de l'entreprise de cybersécurité Palo Alto Networks, qui a également consulté les données obtenues par SttyK. Gordenker affirme que l'entreprise avait suivi plusieurs comptes dans les données et que l'un des comptes GitHub les plus importants avait déjà rendu publics les fichiers des informaticiens. Aucune des adresses e-mail liées à la RPDC n'a répondu aux demandes de commentaires de WIRED.

GitHub a supprimé trois comptes de développeurs après que WIRED a pris contact avec Raj Laud, responsable de la cybersécurité et de la sécurité en ligne de l'entreprise, déclarant qu'ils avaient été suspendus conformément à ses règles relatives au spam et aux activités non authentiques. « La prévalence de telles menaces étatiques constitue un défi pour l'ensemble du secteur et une question complexe que nous prenons au sérieux », a déclaré Laud.

Google a refusé de commenter les comptes spécifiques fournis par WIRED, invoquant des politiques relatives à la confidentialité et à la sécurité des comptes. « Nous avons mis en place des processus et des politiques pour détecter ces opérations et les signaler aux forces de l'ordre », explique Mike Sinno, directeur de la détection et de la réponse chez Google. « Ces processus incluent la prise de mesures contre les activités frauduleuses, la notification proactive des organisations ciblées et la collaboration avec des partenariats publics et privés pour partager des renseignements sur les menaces afin de renforcer les défenses contre ces campagnes. »

« Nous avons mis en place des politiques strictes interdisant l'utilisation de Slack par des personnes ou entités sanctionnées, et nous agissons rapidement lorsque nous identifions une activité qui enfreint ces règles », explique Allen Tsai, directeur principal de la communication d'entreprise chez Salesforce, société mère de Slack. « Nous coopérons avec les forces de l'ordre et les autorités compétentes comme l'exige la loi et ne commentons pas les comptes spécifiques ni les enquêtes en cours. »

Une autre feuille de calcul répertorie également les membres comme faisant partie d'une « unité » appelée « KUT », une abréviation potentielle de l'Université de technologie Kim Chaek de Corée du Nord, citée dans les avertissements du gouvernement américain concernant les travailleurs informatiques liés à la RPDC. Une colonne de la feuille de calcul indique également que la « propriété » est « Ryonbong », faisant probablement référence à l'entreprise de défense Korea Ryonbong General Corporation, sanctionnée par les États-Unis depuis 2005 et l'ONU depuis 2009. « La grande majorité d'entre eux [les travailleurs informatiques] sont subordonnés et travaillent pour le compte d'entités directement impliquées dans les programmes d'armes de destruction massive et de missiles balistiques interdits par l'ONU de la RPDC, ainsi que dans ses secteurs de développement et de commerce d'armes conventionnelles avancées », a déclaré le département du Trésor américain dans un rapport de mai 2022 .

Parmi la multitude de comptes GitHub et LinkedIn, de CV et de sites web de portfolios liés aux informaticiens que les chercheurs ont identifiés ces dernières années, on observe souvent des schémas distincts. Les adresses e-mail et les comptes utilisent les mêmes noms ; les CV peuvent se ressembler. « La réutilisation du contenu des CV est également un phénomène que nous observons fréquemment sur leurs profils », explique Benjamin Racenberg, chercheur senior qui a suivi les profils d'informaticiens nord-coréens au sein de l'entreprise de cybersécurité Nisos. Racenberg indique que les escrocs adoptent de plus en plus l'IA pour la manipulation d'images , les appels vidéo et les scripts qu'ils utilisent. « Pour les sites web de portfolios, nous les avons vus utiliser des modèles et réutiliser le même modèle à maintes reprises », précise Racenberg.

Tout cela témoigne d'un quotidien fastidieux pour les informaticiens chargés de gérer les opérations criminelles du régime de Kim. « C'est beaucoup de copier-coller », explique Gordenker de l'Unité 42. Un informaticien suspecté, suivi par Gordenker, a été repéré sous 119 identités. « Il recherche des générateurs de noms japonais sur Google – mal orthographiés, bien sûr – et, en quatre heures environ, remplit des feuilles de calcul remplies de noms et de lieux potentiels [à cibler]. »

Cette documentation détaillée sert également un autre objectif : suivre les employés informatiques et leurs actions. « De nombreux éléments entrent en jeu une fois que l'argent parvient aux dirigeants, ils auront donc besoin de chiffres précis », explique Barnhart de DTEX. Des logiciels de surveillance des employés ont été aperçus sur les ordinateurs des escrocs dans certains cas, et des chercheurs affirment que les Nord-Coréens refusent de répondre aux questions concernant Kim lors des entretiens d'embauche.

SttyK affirme avoir vu des dizaines d'enregistrements d'écran sur les canaux Slack montrant l'activité quotidienne des employés. Dans les captures d'écran d'une instance Slack, le compte « Boss » envoie le message suivant : « @channel : Tout le monde devrait essayer de travailler plus de 14 heures par jour. » Le message suivant indique : « Ce suivi du temps inclut le temps d'inactivité, comme vous le savez. »

« Il est intéressant de noter que leurs communications se faisaient exclusivement en anglais, et non en coréen », explique SttyK. Le chercheur, comme d'autres, suppose que cela pourrait s'expliquer par plusieurs raisons : premièrement, pour se fondre dans une activité légitime ; deuxièmement, pour améliorer leurs compétences en anglais en vue des candidatures et des entretiens. Selon SttyK, les données de leur compte Google montrent qu'ils utilisaient fréquemment la traduction en ligne pour traiter leurs messages.

Au-delà d'un aperçu de la façon dont les informaticiens suivent leurs performances, les données obtenues par SttyK donnent quelques indications sur le quotidien des escrocs. Une feuille de calcul répertorie un tournoi de volley-ball que les informaticiens avaient apparemment planifié ; sur les chaînes Slack, ils ont fêté des anniversaires et partagé des mèmes inspirants tirés d'un compte Instagram populaire. Dans certains enregistrements d'écran, SttyK explique qu'on les voit jouer à Counter-Strike . « J'ai senti une forte cohésion entre les membres », confie SttyK.