Les Nord-Coréens utilisent de faux noms et des scripts pour obtenir du travail informatique à distance contre de l’argent

LONDRES, 21 novembre (Reuters) – En utilisant de faux noms, de faux profils LinkedIn, des documents de travail contrefaits et des scénarios d’entretien simulés, des informaticiens nord-coréens à la recherche d’un emploi dans des entreprises technologiques occidentales déploient des subterfuges sophistiqués pour être embauchés.

Décrocher un emploi en dehors de la Corée du Nord afin de gagner secrètement des devises fortes pour ce pays isolé nécessite des stratégies très développées pour convaincre les responsables du recrutement occidentaux, selon des documents examinés par Reuters, un entretien avec un ancien informaticien nord-coréen et des chercheurs en cybersécurité.

La Corée du Nord a envoyé des milliers d’informaticiens à l’étranger, un effort qui s’est accéléré au cours des quatre dernières années, pour réunir des millions de dollars pour financer le programme de missiles nucléaires de Pyongyang, selon les États-Unis, la Corée du Sud et les Nations Unies.

« Les gens sont libres d’exprimer leurs idées et leurs opinions », lit-on dans un script d’interview utilisé par des développeurs de logiciels nord-coréens qui propose des suggestions sur la façon de décrire une « bonne culture d’entreprise » lorsqu’on leur demande. Exprimer librement ses pensées peut être passible d’emprisonnement en Corée du Nord.

Les scripts, totalisant 30 pages, ont été découverts par des chercheurs de Palo Alto Networks (PANW.O), une société américaine de cybersécurité qui a découvert en ligne une cache de documents internes détaillant le fonctionnement du personnel informatique à distance de la Corée du Nord.

Les documents contiennent des dizaines de CV frauduleux, de profils en ligne, de notes d’entretien et de fausses identités que les travailleurs nord-coréens ont utilisés pour postuler à des emplois dans le développement de logiciels.

Reuters a trouvé d’autres preuves dans les données divulguées sur le darkweb qui ont révélé certains des outils et techniques utilisés par les travailleurs nord-coréens pour convaincre les entreprises de les employer dans des emplois aussi loin que le Chili, la Nouvelle-Zélande, les États-Unis, l’Ouzbékistan et les Émirats arabes unis.

Les documents et les données révèlent les efforts intenses et les subterfuges entrepris par les autorités nord-coréennes pour assurer le succès d’un projet qui est devenu une bouée de sauvetage en devises étrangères pour le régime à court d’argent.

La mission nord-coréenne de l’ONU n’a pas répondu à une demande de commentaires.

Les travailleurs informatiques à distance peuvent gagner plus de dix fois ce qu’un ouvrier nord-coréen conventionnel travaillant à l’étranger dans la construction ou d’autres travaux manuels, a déclaré le ministère américain de la Justice (DOJ) en 2022, et leurs équipes peuvent gagner collectivement plus de 3 millions de dollars par an.

Reuters n’a pas été en mesure de déterminer combien ce projet a généré au fil des ans.

Certains scripts, conçus pour préparer les travailleurs aux questions d’entretien, contiennent des excuses pour justifier la nécessité de travailler à distance.

« Richard », un développeur senior de logiciels embarqués, a déclaré : « J’ai (volé) pour Singapour il y a plusieurs semaines. Mes parents ont attrapé le Covid et j’ai (décidé) d’être avec des membres de ma famille pendant un certain temps. Maintenant, je prévois de retourner à Los Angeles. Angeles dans trois mois. Je pense que je pourrais commencer à travailler à distance dès maintenant, puis je serai à bord à mon retour à Los Angeles.

Un informaticien nord-coréen qui a récemment fait défection a également examiné les documents et confirmé leur authenticité à Reuters : « Nous créions 20 à 50 faux profils par an jusqu’à ce que nous soyons embauchés », a-t-il déclaré.

Il a examiné les scripts, les données et les documents et a déclaré que c’était exactement la même chose qu’il faisait parce qu’il reconnaissait les tactiques et les techniques utilisées.

« Une fois embauché, je créerais un autre faux profil pour obtenir un deuxième emploi », a déclaré l’employé, qui s’est exprimé sous couvert d’anonymat, invoquant des problèmes de sécurité.

En octobre, le DOJ et le Federal Bureau of Investigation (FBI) ont saisi 17 domaines de sites Web qui auraient été utilisés par des informaticiens nord-coréens pour frauder des entreprises et 1,5 million de dollars en fonds.

Les développeurs nord-coréens travaillant dans des entreprises américaines s’étaient cachés derrière des comptes de messagerie et de réseaux sociaux pseudonymes et généraient des millions de dollars par an au nom d’entités nord-coréennes sanctionnées grâce à ce système, a indiqué le ministère de la Justice.

« Il existe un risque pour le gouvernement nord-coréen, car ces travailleurs privilégiés sont exposés à des réalités dangereuses du monde et au retard imposé de leur pays », a déclaré Sokeel Park of Liberty in North Korea (LINK), une organisation qui travaille avec les transfuges.

espèces sonnantes et trébuchantes

L’année dernière, le gouvernement américain a déclaré que les travailleurs informatiques nord-coréens étaient principalement basés en Chine et en Russie, avec certains en Afrique et en Asie du Sud-Est, et pouvaient chacun gagner jusqu’à 300 000 dollars par an.

Selon son expérience, l’ancien informaticien a déclaré que tous devraient gagner au moins 100 000 dollars, dont 30 à 40 % sont rapatriés à Pyongyang, 30 à 60 % sont consacrés aux frais généraux et 10 à 30 % sont empochés par les travailleurs.

Il estime qu’il y en avait environ 3 000 autres comme lui à l’étranger et 1 000 autres basés en Corée du Nord.

« J’ai travaillé pour gagner des devises étrangères », a-t-il déclaré à Reuters. « Cela diffère selon les personnes, mais en gros, une fois que vous avez obtenu un emploi à distance, vous pouvez travailler aussi peu que six mois, voire trois à quatre ans. »

« Quand vous ne trouvez pas de travail, vous êtes indépendant. »

Les chercheurs, qui font partie de la division de cyber-recherche de l’Unité 42 de Palo Alto, ont fait cette découverte en examinant une campagne menée par des pirates informatiques nord-coréens ciblant les développeurs de logiciels.

L’un des pirates a laissé les documents exposés sur un serveur, a déclaré l’unité 42, indiquant qu’il existe des liens entre les pirates nord-coréens et ses informaticiens, bien que le transfuge ait déclaré que les campagnes d’espionnage étaient réservées à quelques privilégiés : « Les pirates sont formés séparément. Ces missions sont pas donné à des gens comme nous », a-t-il déclaré.

Pourtant, il y a un croisement. Le DOJ et le FBI ont averti que les informaticiens nord-coréens pourraient utiliser cet accès pour pirater leurs employeurs, et certains des CV divulgués faisaient état d’une expérience dans des sociétés de cryptomonnaie, un secteur ciblé depuis longtemps par les pirates nord-coréens.

Fausses identités

Les données de Constella Intelligence, une société d’enquête sur l’identité, ont montré que l’un des travailleurs possédait des comptes sur plus de 20 sites Web indépendants aux États-Unis, en Grande-Bretagne, au Japon, en Ouzbékistan, en Espagne, en Australie et en Nouvelle-Zélande.

Le travailleur n’a pas répondu à une demande de commentaires envoyée par courrier électronique.

Les données, rassemblées à partir de fuites sur le darkweb, ont également révélé un compte sur un site Web vendant des modèles numériques pour créer de faux documents d’identité d’aspect réaliste, notamment des permis de conduire, des visas et des passeports américains, a découvert Reuters.

Les documents découverts par l’Unité 42 comprenaient des curriculum vitae pour 14 identités, une fausse carte verte américaine, des scripts d’entretien et des preuves que certains travailleurs avaient acheté l’accès à des profils en ligne légitimes afin de paraître plus authentiques.

Le « Richard » de Singapour qui cherchait un travail informatique à distance semblait faire référence à un faux profil du nom de « Richard Lee » – le même nom sur la carte verte. Le département américain de la Sécurité intérieure n’a pas répondu à une demande de commentaires.

Reuters a trouvé un compte LinkedIn pour un certain Richard Lee avec la même photo de profil qui mentionnait son expérience chez Jumio, une société de vérification d’identité numérique.

« Nous n’avons aucune trace de Richard Lee ayant été un employé actuel ou ancien de Jumio », a déclaré un porte-parole de Jumio. « Jumio ne dispose d’aucune preuve suggérant que l’entreprise ait jamais eu un employé nord-coréen parmi ses effectifs. »

Reuters a envoyé un message au compte LinkedIn pour solliciter des commentaires, mais n’a reçu aucune réponse. LinkedIn a supprimé le compte après avoir reçu des demandes de commentaires de Reuters.

« Notre équipe utilise des informations provenant de diverses sources pour détecter et supprimer les faux comptes, comme nous l’avons fait dans ce cas », a déclaré un porte-parole.

Nos normes : les principes de confiance de Thomson Reuters.