Comment des hackers nord-coréens utilisent LinkedIn pour voler des millions de dollars

À l'occasion de la conférence américaine Cyberwarcon, les chercheurs en cybersécurité de Microsoft Threat Intelligence ont publié leurs conclusions sur la manière dont des acteurs malveillants de Corée du Nord se sont fait passer pour des salariés étrangers avant de piéger les entreprises avec qui ils échangeaient.

Ces pratiques visaient surtout à voler de l'argent dans le but de générer des revenus pour financer les programmes d'armement informatique du pays. Mais aussi d'obtenir des données relatives aux sanctions internationales, avant que ces dernières n'entrent en vigueur.

Les cybercriminels se font passer pour des investisseurs et des recruteurs

Créer de faux profils sur LinkedIn pour piéger les organisations du monde entier : telle est la tactique employée pendant plusieurs années par un groupe de menace affilié à la Corée du Nord, dénommé "Sapphire Sleet". En l'espace de six mois, il aurait mené plusieurs campagnes d'attaques par ingénierie sociale, volant au passage plus de 10 millions de dollars en cryptomonnaies.

La méthode utilisée ces derniers temps par "Sapphire Sleet" consiste à se faire passer pour un capital-risqueur, intéressé pour investir dans la société cible. L'acteur malveillant tente ensuite d'organiser une réunion en ligne. Au moment de se connecter, la victime voit apparaître un message d'erreur indiquant qu'il doit contacter l'administrateur ou les services d'assistance. L'acteur malveillant caché derrière cette supposée assistance envoie alors un script à sa cible, qui entraîne le déploiement d'un malware sur sa cible. Le cybercriminel n'a plus qu'à obtenir un portefeuille de cryptomonnaies et les identifiants liés pour dérober de l'argent à sa victime.

Le groupe de menace s'est aussi fait passer à maintes reprises pour un recruteur, sur des applications telles que LinkedIn. Il démarche ses victimes avant de leur demander de remplir un formulaire d'évaluation de compétences, à partir d'un site web qu'il contrôle. En téléchargeant le code lié à cette évaluation, la victime télécharge également un malware.

Des sociétés russes et chinoises visées

Microsoft note qu'en plus d'exploiter les réseaux informatiques, via le déploiement de malwares, “la Corée du Nord a envoyé des milliers de travailleurs informatiques à l’étranger pour gagner de l’argent pour le régime”. Le géant de l'informatique assure que les pirates ont ainsi volé “des centaines de millions de dollars”, opérant en Russie, en Chine et dans d'autres pays. Ceci leur permet d'échapper aux sanctions internationales imposées au pays, notamment de la part des États-Unis.

Très concrètement, ces “faux informaticiens” ont fait appel à des “facilitateurs” à l'étranger pour les aider à accéder à des plateformes indisponibles en Corée du Nord et leur permettre de postuler à un emploi à distance. Ces tiers ont leur ont ainsi créé et loué des comptes bancaires et acheté des cartes SIM en leur nom. Les faux candidats inventent ensuite un CV, sur GitHub et LinkedIn.

Des CV améliorés par IA

Le mois dernier, Microsoft a découvert un référentiel public contenant des données appartenant à ces faux travailleurs. Figuraient notamment des CV et comptes de messagerie, des comptes VPN et adresses IP spécifiques, des images réelles modifiées par IA, ainsi que des comptes LinkedIn, GitHub, Skype, TeamViewer et Telegram. “L'analyse du référentiel indique que les informaticiens nord-coréens se livrent à des vols d'identité et utilisent des outils d'intelligence artificielle tels que Faceswap pour transférer leur photo vers des documents qu'ils ont volés à leurs victimes”, explique Microsoft Threat Intelligence.

Le groupe d'informaticiens repéré par Microsoft aurait à lui seul perçu 370 000 dollars rien qu'en paiement reçus. Pour éviter tout risque d'infiltration, les chercheurs recommandent une meilleure sensibilisation auprès des responsables des ressources humaines, ou d'effectuer de simples vérifications pour les personnes embauchées. Microsoft préconise ainsi de demander à activer périodiquement la caméra, mais aussi de demander aux informaticiens d'expliquer le code qu'ils ont écrit.