Nouveau groupe de hackers nord-coréens sanctionné pour des vols de Crypto aux États-Unis

Aperçus clés :

• Le gouvernement américain vient de sanctionner deux individus et quatre entités russes liées à la campagne cybernétique de cryptomonnaie.
• Les opérateurs de cyberattaque nord-coréens privilégient de plus en plus l'infiltration au lieu du piratage par la force brute.
• Ils ont été responsables du vol de milliards dans l'espace crypto lors de plusieurs événements cette année seulement.

Les États-Unis ont imposé de nouvelles sanctions contre une nouvelle opération cybernétique soutenue par la Corée du Nord. Ce groupe aurait utilisé des candidatures à des emplois à distance pour acheminer des fonds crypto volés vers le programme d'armement nucléaire de Kim Jong Un.

Les derniers développements montrent maintenant que les cyberattaques nord-coréennes s'intensifient, passant d'attaques informatiques brutales à l'infiltration et au vol de fonds de l'intérieur. Voici les détails.

Infiltration par l'emploi, pas seulement le hacking crypto

Les cyberattaques de la Corée du Nord ont fait la une des journaux à de nombreuses reprises en raison de piratages dommageables, y compris l'implication du célèbre groupe Lazarus dans certains des plus grands vols de crypto-monnaies à ce jour.

Cependant, selon des résultats récents du Trésor américain et de la société d'analyse blockchain TRM Labs, le régime investit désormais massivement dans d'autres méthodes. L'une des plus troublantes d'entre elles est l'utilisation de travailleurs informatiques hautement qualifiés se faisant passer pour des sous-traitants à distance.

Ces entrepreneurs sont utilisés pour obtenir des emplois dans des entreprises de blockchain et de crypto aux États-Unis et ne se contentent pas de voler des données :

Au lieu de cela, ils se font passer pour de vrais employés en assumant les identités de citoyens américains. Ils exploitent l'accès à l'entreprise, plantent des logiciels malveillants et perçoivent des salaires qui sont transférés au gouvernement nord-coréen.

Selon des rapports, leur travail couvre des secteurs allant des logiciels d'entreprise, des applications de santé et de fitness, des réseaux sociaux, des sports, du divertissement et des échanges de crypto-monnaies.

Les sanctions visent des individus et des sociétés écran

Le 8 juillet, le Bureau de contrôle des avoirs étrangers du Trésor américain (OFAC) a annoncé des sanctions contre deux individus et quatre entités russes liées à la campagne cybernétique crypto.

Parmi les personnes nommées se trouvait Song Kum Hyok, un agent nord-coréen et membre du groupe de hackers Andariel. Pour contextualiser, le groupe de hackers Andariel fait partie de l'aile de renseignement militaire de Kim Jong Un, connue sous le nom de Bureau général de reconnaissance.

Song est accusé d'avoir orchestré une vaste campagne de vol d'identité dès 2022. Ensuite, il a volé des noms, des numéros de sécurité sociale et d'autres informations personnelles auprès de citoyens américains.

Ces identités volées ont ensuite été utilisées pour déguiser des travailleurs informatiques nord-coréens en véritables candidats à un emploi.

Les travailleurs, une fois embauchés, partageraient les revenus avec Song et d'autres opérateurs. Dans certains cas, ils iraient même jusqu'à insérer des logiciels malveillants dans les systèmes de l'entreprise.

Un autre individu sanctionné était Gayk Asatryan, un ressortissant russe qui aurait signé un accord de 10 ans avec des entreprises commerciales nord-coréennes en 2024.

Il a formé un réseau dans le cadre de cet accord. Il s'appelait le "Réseau des travailleurs informatiques Asatryan" et pouvait accueillir jusqu'à 30 spécialistes informatiques nord-coréens en Russie. Il les a aidés dans plusieurs tâches, notamment à leur trouver des emplois dans des entreprises technologiques occidentales.

Et jusqu'à présent, les quatre individus sanctionnés liés à Asatryan sont désormais interdits d'accéder à tout actif aux États-Unis. Ils encourent également des pénalités criminelles pour toute transaction en cours ou future avec des entreprises américaines.

Tous pour financer des armes de destruction massive

Les responsables américains croient que l'objectif ultime de ce schéma de piratage informatique qui s'étend sur des années est de soutenir le développement des armes de la Corée du Nord. Le sous-secrétaire au Trésor, Michael Faulkender, a déclaré que des milliers de travailleurs informatiques nord-coréens, principalement stationnés en Russie et en Chine, ciblent activement les entreprises de cryptomonnaie dans les nations plus riches.

Leur revenu, souvent obtenu sous de fausses identités, est réinjecté dans le régime pour payer son arsenal et ses ogives nucléaires.

« Le régime Kim est déterminé à éviter les sanctions en utilisant toutes les failles numériques qu'il peut trouver, » a souligné Faulkender. « Du vol d'actifs numériques aux fausses candidatures, leurs tactiques évoluent. Nous utilisons tous les outils disponibles pour perturber ces réseaux. »

Perte massive dans le secteur de la crypto

Bien que les piratages d'échanges restent un risque, d'autres stratégies comme l'infiltration d'employés informatiques deviennent de plus en plus privilégiées. Cela est dû à leur faible visibilité et à leur retour élevé.

De même, le 30 juin, quatre ressortissants nord-coréens ont été accusés de fraude par câble et de blanchiment d'argent. Cela fait suite à des allégations selon lesquelles ils se seraient fait passer pour des travailleurs à distance dans des entreprises de blockchain aux États-Unis et en Serbie.

Plus tôt, le 5 juin, le DOJ a demandé la saisie de 7,74 millions de dollars en crypto-monnaies gelées liées à des travailleurs informatiques nord-coréens. Selon le FBI, l'ensemble de l'opération lucrative pourrait valoir des centaines de millions de dollars. Cela implique que des fonds sont acheminés vers le régime à travers la Russie, la Chine et même les États-Unis.