Les recrutements de Faux Travailleurs IT Nord-Coréens : Un Nouveau Défi en Cybersécurité

Un schéma inquiétant se répète de plus en plus souvent : des entreprises embauchent par erreur des agents nord-coréens se faisant passer pour des travailleurs IT. Ces faux employés commencent presque immédiatement à exfiltrer des données sensibles avant d'être licenciés pour mauvaise performance. Ensuite, des demandes de rançon à six chiffres, accompagnées de preuves des fichiers volés, apparaissent.

Les enquêteurs de Secureworks ont observé ce modèle lors de nombreuses investigations. Ces escroqueries sont alignées avec le groupe nord-coréen Nickel Tapestry, qui utilise ces stratagèmes pour financer les programmes d'armement illégaux de la RPDC. L'apparition des demandes de rançon marque une évolution notable des tactiques de Nickel Tapestry, qui incluent désormais le vol de propriété intellectuelle pour un gain monétaire supplémentaire par extorsion.

Les tactiques des faux travailleurs incluent la demande de modifications des adresses de livraison pour les ordinateurs portables fournis par l'employeur, qui sont ensuite redirigés vers des fermes d'ordinateurs portables pour masquer l'emplacement du nouvel employé et établir un accès persistant aux systèmes de l'entreprise. Dans certains cas, les escrocs demandent à utiliser un ordinateur personnel au lieu d'un appareil fourni par l'entreprise.

Un cas documenté par Secureworks montre un faux travailleur exfiltrant des informations propriétaires vers un Google Drive personnel en utilisant un PC virtuel d'entreprise. Après le licenciement de l'escroc, l'entreprise a reçu une série d'emails contenant des échantillons des documents volés et une demande de rançon en cryptomonnaie. Les analystes de Secureworks ont également observé l'utilisation de logiciels d'accès à distance comme Chrome Remote Desktop et AnyDesk, malgré le fait que ces outils ne soient pas nécessaires pour le travail. L'analyse des logs d'AnyDesk a révélé des connexions à des adresses IP VPN d'Astrill, indiquant que l'application fait partie de l'arsenal de Nickel Tapestry.

Pour éviter de tomber dans ce piège, Secureworks recommande de vérifier la documentation des candidats et de mener des entretiens en personne si possible. Il est également conseillé de surveiller les comportements financiers suspects et de restreindre l'utilisation de logiciels d'accès à distance non autorisés.

Ces défis soulignent l'importance d'une vigilance accrue dans le processus de recrutement et la nécessité de renforcer les politiques de cybersécurité pour protéger les entreprises contre ces menaces émergentes.

Source : The Register