Sommaire
Introduction
Des hackers nord-coréens ont infiltré le secteur des crypto-monnaies aux États-Unis en établissant des entreprises apparemment légitimes. Grâce à de fausses offres d’emploi, ils ont ciblé des développeurs sans méfiance, jusqu’à ce que le FBI intervienne.
Des façades d’entreprise, des terrains vides, des menaces réelles
Selon la société de sécurité Silent Push, deux entreprises, Blocknovas et Softglide, ont été enregistrées au Nouveau-Mexique et à New York en utilisant des adresses et des identités falsifiées. Ces sociétés fictives servaient d’appâts pour des développeurs de crypto-monnaies à la recherche d’opportunités professionnelles.
Blocknovas, la plus active des deux, affichait une adresse en Caroline du Sud qui s’est révélée être un terrain vacant. Les documents de Softglide étaient liés à un bureau des impôts basé à Buffalo.
Ces fausses entreprises faisaient partie d’une campagne avancée d’un sous-groupe du groupe Lazarus, une unité cybernétique parrainée par l’État, liée au Bureau général de renseignement de la Corée du Nord.
Les hackers utilisaient des annonces d’emploi frauduleuses et des profils de style LinkedIn pour engager des développeurs lors d’entretiens. Au cours de ces interactions, les victimes étaient incitées à télécharger des fichiers déguisés en documents de candidature ou d’intégration.
Le malware pouvait voler des données, fournir un accès arrière aux systèmes et préparer le terrain pour des attaques ultérieures utilisant des logiciels espions ou des ransomware. Silent Push a confirmé qu’au moins trois types de malware nord-coréens connus étaient utilisés dans cette campagne.
Intervention du FBI
Des agents fédéraux ont saisi le domaine Blocknovas, citant son utilisation dans la distribution de malware. Un avis désormais affiché sur le site confirme que cette mesure fait partie d’efforts plus larges des forces de l’ordre contre les acteurs cybernéticiens nord-coréens.
Le FBI n’a pas commenté directement les entreprises impliquées, mais a souligné son attention continue sur l’exposition et la punition des cybercrimes soutenus par la Corée du Nord.
Ce stratagème enfreint à la fois les sanctions des États-Unis et des Nations Unies. La Corée du Nord est interdite de s’engager dans des activités commerciales visant à aider son gouvernement ou son armée. L’OFAC, l’entité d’application des lois du Trésor, interdit aux entités liées à la Corée du Nord d’opérer aux États-Unis.
Cette campagne s’inscrit dans une stratégie plus large de la Corée du Nord pour exploiter l’écosystème des crypto-monnaies. Les unités cybernétiques du pays ont volé des milliards en actifs numériques et envoyés des milliers de professionnels des technologies de l’information à l’étranger pour générer des fonds, des efforts largement considérés comme soutenant le programme d’armement nucléaire de Pyongyang.