Les pirates informatiques de la RPDC se font passer pour des recruteurs technologiques et des demandeurs d’emploi
Les acteurs nord-coréens se font passer pour des recruteurs et des demandeurs d’emploi sur le Web, trompant les entreprises et les candidats pour obtenir un gain financier et, éventuellement, avoir accès aux organisations occidentales.
L’unité 42 de Palo Alto Networks a publié cette semaine les détails de deux de ces campagnes en cours il s’appelle “Contagious Interview” et “Wagemole”.
Pour Contagious Interview, des acteurs menaçants de la République populaire démocratique de Corée (RPDC) agissent en tant qu’employeurs, publient de fausses offres d’emploi et interagissent avec des candidats involontaires. Ensuite, pendant le processus de vérification, ils incitent les candidats à installer des infostealers sophistiqués et multiplateformes.
Dans Wagemole, les méchants changent de rôle, endossant de faux personnages pour postuler à des emplois dans des organisations établies basées aux États-Unis et ailleurs.
Comme l’explique Michael Sikorski, directeur de la technologie et vice-président d’Unit 42, ces ruses élaborées produisent une ingénierie sociale beaucoup plus crédible qu’un e-mail de phishing classique.
“Les gens sont bombardés d’e-mails à longueur de journée – la plupart d’entre eux sont jetés à la poubelle, ou même signalés comme spam. Il s’agit donc d’un effort pour s’éloigner et rendre cela beaucoup plus réaliste”, dit-il.
Tromper les demandeurs d’emploi
La RPDC est depuis longtemps une source d’espionnage créatif et de cybercriminalité financière. Outre les cybervols traditionnels – pour lesquels elle est prolifique – l’armée de Kim Jong Un, leader du pays, s’est également aventurée hors des sentiers battus, dans des domaines et avec des tactiques largement inédites ailleurs dans le monde.
Par exemple, ses pirates informatiques parrainés par l’État se font passer pour des recruteurs pour des emplois de haute technologie, attirant les développeurs dans des engagements parfois de plusieurs semaines ou mois avec des logiciels malveillants qui attendent à la fin. Un cas de ce type l’année dernière a conduit à le braquage d’Axie Infinityun jeu payant Web3 populaire, totalisant plus d’un demi-milliard de dollars.
Depuis, il semble que les hackers tentent de répéter ce succès.
Depuis au moins mars, l’acteur menaçant derrière Contagious Interview a publié de vagues offres d’emploi pour les développeurs de logiciels ou des emplois spécifiquement adaptés aux domaines de l’IA et du Web3. Après avoir établi un premier contact via les réseaux sociaux, les forums en ligne ou d’autres moyens, le groupe invite les candidats à un entretien en ligne.
C’est lors de l’entretien que l’acteur malveillant envoie au candidat un package basé sur npm hébergé sur GitHub. Ce paquet contient « Beavertail », un voleur d’informations et un chargeur fortement obscurcis, basés sur JavaScript. Il cible les informations de base du système ainsi que les détails des cartes de crédit et des portefeuilles de crypto-monnaie stockés dans le navigateur d’une victime. Il récupère et exécute également une deuxième charge utile, « InvisibleFerret ».
InvisibleFerret est une porte dérobée basée sur Python capable de prendre des empreintes digitales, d’enregistrer des frappes, de collecter des informations d’identification, d’exfiltrer des données, de contrôler à distance et, si nécessaire, de télécharger AnyDesk RMM pour un contrôle plus approfondi sur un ordinateur compromis.
Conformément à la tendance récente parmi les APT performantes, Beavertail et InvisibleFerret fonctionnent sur tous les systèmes d’exploitation : Windows, Linux et macOS.
Il est intéressant de noter que voler de l’argent et espionner la cible n’est peut-être pas l’objectif principal de l’un ou l’autre des logiciels malveillants. “En les amenant à installer des logiciels malveillants, [the attackers] puis prenez pied sur ce système. Maintenant, si cette personne va travailler ailleurs à l’avenir – elle trouvera probablement un vrai travail ailleurs – alors tout d’un coup, cela pourrait conduire à une infection dans la chaîne d’approvisionnement de cette entreprise », suggère Sikorski.
Tromper les employeurs
Les Nord-Coréens se font également depuis des années passer pour des candidats cherchant du travail à distance dans le secteur technologique. Grâce à un labyrinthe de faux CV, de courriers électroniques, de réseaux sociaux, de sites Web, etc., de vrais candidats utilisant de faux personnages gagnent du travail, puis reverser leurs revenus au régime de Kim.
En enquêtant sur l’infrastructure GitHub derrière Contagious Interview, les chercheurs ont découvert des preuves de ces stratagèmes : des comptes détaillés de longue date sur GitHub, LinkedIn, des marchés indépendants, des scripts pour des entretiens téléphoniques, des cartes de résident permanent américaines volées, et bien plus encore.
On ne sait pas exactement combien de ces ersatz informaticiens ont développé des relations réelles et durables avec les entreprises. Mais juste le mois dernier le ministère américain de la Justice a noté que “ce système est si répandu que les entreprises doivent être vigilantes pour vérifier qui elles embauchent”.
Les entreprises qui embauchent des employés sous de fausses identités ne courent pas seulement un risque d’embarras, prévient Sikorski. “Pensez simplement à l’énorme risque que représente la présence d’un acteur parrainé par l’État dans votre environnement”, dit-il. “Et n’oubliez pas : ce sont des développeurs de logiciels, ce qui signifie qu’ils ont accès au code source.”
