Les États-Unis ont détaillé un dispositif permettant aux travailleurs informatiques nord-coréens d’obtenir des emplois à distance dans des entreprises américaines en utilisant des identités volées et fabriquées. Selon le ministère de la Justice, quatre citoyens américains et un ressortissant ukrainien ont plaidé coupable à des rôles dans l’opération, qui a permis à des travailleurs nord-coréens d’infiltrer au moins 136 entreprises dans des domaines tels que la technologie, la finance, l’éducation et le divertissement. Les documents judiciaires indiquent que le dispositif a généré plus de deux millions de dollars pour la Corée du Nord, en violation des sanctions américaines.
Les procureurs ont indiqué que le réseau a opéré entre 2019 et 2022 et s’est appuyé sur des facilitateurs basés aux États-Unis qui ont aidé les travailleurs nord-coréens à passer les procédures de vérification des employeurs. Les facilitateurs ont fourni des identités volées, effectué des tâches d’intégration et effectué des tests de dépistage de drogues pour le compte des travailleurs étrangers. Ils hébergeaient également des ordinateurs portables fournis par l’entreprise chez eux, de sorte que les connexions réseau semblaient provenir des États-Unis. Des outils d’accès à distance ont été installés sur ces appareils, permettant aux travailleurs à l’étranger d’effectuer leur travail sans attirer l’attention sur leur véritable localisation.
Le ressortissant ukrainien a admis avoir fourni des informations d’identité volées que des travailleurs nord-coréens ont utilisées pour accéder à au moins 40 entreprises. Selon le gouvernement, il gérait des parties importantes du réseau, gérait les communications et transférait ses revenus via divers canaux financiers. Il a plaidé coupable de complot de fraude électronique et de vol d’identité aggravé, et a accepté de confisquer plus d’un million de dollars en cryptomonnaies et autres actifs. Les procureurs ont indiqué que la confiscation reflète des recettes directement liées à la fraude.
L’un des accusés américains, ancien militaire militaire, a reconnu avoir reçu plus de cinquante mille dollars pour héberger des appareils, accomplir les démarches d’emploi des travailleurs et les aider à contourner les procédures de sécurité des entreprises. D’autres défendeurs ont accompli des tâches similaires, notamment recevoir des salaires au nom des travailleurs et transférer des fonds via des comptes bancaires américains. Le ministère de la Justice a noté que ces activités permettaient aux travailleurs de rester indétectables pendant de longues périodes.
Selon des responsables américains, l’opération a fourni à la Corée du Nord des revenus pouvant soutenir des programmes gouvernementaux, y compris les opérations cybernétiques. Les autorités ont déjà averti que le pays déploie des travailleurs informatiques à l’étranger pour gagner des devises étrangères et accéder aux réseaux d’entreprises. Ces travailleurs se présentent généralement comme des freelances et utilisent des services VPN, des outils d’accès à distance et des informations d’identité achetées sur les marchés criminels pour éviter d’être détectés. Le ministère de la Justice a déclaré que le démantèlement de ce réseau reflète les efforts continus pour perturber ces pratiques.
Les analystes en sécurité rapportent que les dispositifs impliquant le travail informatique à distance posent des défis pour les employeurs, car les personnes concernées possèdent souvent de véritables compétences techniques et peuvent réussir les filtres d’embauche standards. Une fois à l’intérieur des systèmes d’une entreprise, ils peuvent accéder à des dépôts de code, des outils d’infrastructure ou des données opérationnelles sensibles. Les analystes recommandent aux entreprises de renforcer les étapes de vérification d’identité, de revoir les privilèges d’accès des travailleurs à distance et de surveiller les signes de partage d’appareils ou de routages réseau inhabituels.
Le ministère de la Justice a déclaré qu’il poursuivait l’enquête sur les activités connexes et partageait des informations avec les entreprises concernées. Les responsables américains ont encouragé les organisations suspectant un recrutement frauduleux ou un usage abusif d’identité à signaler l’affaire aux forces de l’ordre. Ils ont souligné que cette affaire souligne l’importance de vérifier les identités du travail à distance et de revoir les protocoles de sécurité pour les équipes distribuées.