Technologie
Le département de la Justice des États-Unis a arrêté un homme de Nashville, accusé d’avoir aidé des travailleurs informatiques nord-coréens à obtenir des emplois à distance dans des entreprises américaines, tout en gérant une ferme de portables qu’ils utilisaient pour se faire passer pour des individus basés aux États-Unis.
Matthew Isaac Knoot, âgé de 38 ans, a facilité l’utilisation d’une identité volée pour que des Nord-Coréens se fassent passer pour Andrew M., un citoyen américain. Il a également fourni un logement pour les ordinateurs portables fournis par les entreprises et a aidé à blanchir les paiements pour le travail informatique à distance vers des comptes nord-coréens et chinois.
Selon un communiqué de presse du DOJ, « les entreprises victimes ont expédié des ordinateurs portables adressés à ‘Andrew M.’ aux résidences de Knoot. Après avoir reçu les ordinateurs, et sans autorisation, Knoot s’est connecté aux ordinateurs, a téléchargé et installé des applications de bureau à distance non autorisées, et a accédé aux réseaux des entreprises victimes, causant des dommages aux ordinateurs. »
Ces applications de bureau à distance ont permis aux travailleurs informatiques nord-coréens de travailler depuis la Chine, tout en donnant l’impression aux entreprises victimes qu’Andrew M. travaillait depuis les résidences de Knoot à Nashville.
Les travailleurs informatiques nord-coréens utilisant la ferme de portables de Knoot ont généré des revenus pour le programme d’armement nucléaire de la Corée du Nord, chacun d’eux étant payé plus de 250 000 dollars pour leur travail entre juillet 2022 et août 2023.
Knoot fait face à plusieurs accusations, notamment fraude électronique, dommages intentionnels à des ordinateurs protégés, vol d’identité aggravé et complot pour provoquer l’emploi illégal d’étrangers. S’il est reconnu coupable, il pourrait être condamné à une peine maximale de 20 ans de prison.
En mars 2024, la Division de la sécurité nationale et les divisions Cyber et Contre-espionnage du FBI ont lancé l’initiative « DPRK RevGen: Domestic Enabler Initiative », qui vise à identifier et à fermer les « fermes de portables » basées aux États-Unis, ainsi qu’à poursuivre les individus qui les hébergent.
Deuxième Américain accusé de gérer une ferme de portables nord-coréenne
Knoot est le deuxième Américain arrêté et accusé d’avoir aidé les hackers nord-coréens à obtenir des emplois dans des entreprises américaines, illustrant davantage comment la Corée du Nord vole à la fois des emplois et des fonds aux citoyens ordinaires.
Le département de la Justice des États-Unis a également arrêté et accusé Christina Marie Chapman, une femme de l’Arizona, pour avoir géré une autre ferme de portables chez elle, afin de donner l’impression que les appareils des travailleurs nord-coréens se trouvaient aux États-Unis.
Cette affaire souligne le danger persistant posé par les acteurs menaçants nord-coréens qui se font passer pour du personnel informatique basé aux États-Unis, un sujet d’alerte pour le FBI depuis 2023.
Comme l’a maintes fois averti l’agence de la loi, la Corée du Nord dispose d’une armée bien organisée de travailleurs informatiques qui cachent leur véritable identité pour obtenir des emplois dans des centaines d’entreprises américaines.
« Au vu du volume et de l’ampleur des activités que nous avons observées, les travailleurs informatiques nord-coréens sont répandus dans les entreprises du Fortune 500, utilisant leurs gains pour inciter d’autres à soutenir leurs opérations, » a déclaré Michael Barnhart, analyste principal chez Mandiant, à BleepingComputer.
« En neutralisant ces fermes de portables et en arrêtant les facilitateurs, cela porte un coup significatif à leurs opérations et démantèle des mois de travail acharné de la part de ces acteurs menaçants nord-coréens. »
Le mois dernier, la société américaine de cybersécurité KnowBe4 a révélé qu’elle avait embauché un ingénieur logiciel principal qui s’est avéré être un acteur malveillant nord-coréen, tentant immédiatement d’installer un logiciel de vol d’informations sur les appareils fournis par l’entreprise.
Cela s’est produit malgré le fait que KnowBe4 ait effectué des vérifications de fond, vérifié des références et réalisé quatre entretiens vidéo avant d’embaucher cette personne. Cependant, l’entreprise a ensuite découvert que l’individu avait utilisé une identité volée pour contourner ces vérifications et des outils d’IA pour créer une photo de profil falsifiée et imiter son visage lors des appels vidéo.
