Les sociétés Blocknovas LLC et Softglide LLC ont été créées dans les États du Nouveau-Mexique et de New York à l'aide de fausses identités et adresses, ont déclaré à Reuters des chercheurs de Silent Push, une société américaine de cybersécurité. Une troisième entreprise, Angeloper Agency, est liée à cette campagne, mais ne semble pas être enregistrée aux États-Unis.
« Il s'agit d'un exemple rare où des pirates informatiques nord-coréens ont réussi à créer des entités juridiques aux États-Unis afin de créer des sociétés écrans utilisées pour attaquer des candidats à l'emploi peu méfiants », a déclaré Kasey Best, directeur du renseignement sur les menaces chez Silent Push.
Les pirates informatiques font partie d'un sous-groupe du Lazarus Group, une équipe d'élite de pirates informatiques nord-coréens qui fait partie du Bureau général de reconnaissance, la principale agence de renseignement étranger de Pyongyang, a déclaré Silent Push.
Le FBI a refusé de commenter spécifiquement Blocknovas ou Softglide. Mais jeudi, un avis de saisie du FBI publié sur le site web de Blocknovas indiquait que le domaine avait été saisi « dans le cadre d'une action répressive contre des cyberacteurs nord-coréens qui utilisaient ce domaine pour tromper des personnes avec de fausses offres d'emploi et distribuer des logiciels malveillants ».
Avant la saisie, des responsables du FBI ont déclaré à Reuters que le bureau continuait « à se concentrer sur les risques et les conséquences, non seulement pour les acteurs de la RPDC eux-mêmes, mais aussi pour toute personne qui facilite leur capacité à mener à bien ces stratagèmes ».
Un responsable du FBI a déclaré que les cyberopérations nord-coréennes constituent « peut-être l'une des menaces persistantes les plus avancées » auxquelles sont confrontés les États-Unis.
La mission nord-coréenne auprès des Nations unies à New York n'a pas immédiatement répondu à une demande de commentaire.
« Ces attaques utilisent de fausses identités proposant des entretiens d'embauche, qui conduisent au déploiement de logiciels malveillants sophistiqués afin de compromettre les portefeuilles de cryptomonnaies des développeurs. Elles ciblent également les mots de passe et les identifiants des développeurs, qui pourraient être utilisés pour mener d'autres attaques contre des entreprises légitimes », a déclaré M. Best.
Silent Push a pu confirmer plusieurs victimes de cette campagne, « en particulier via Blocknovas, qui est de loin la plus active des trois sociétés écrans », ont déclaré les chercheurs dans un rapport partagé avec Reuters avant sa publication.
SANCTIONS
Reuters a examiné les documents d'enregistrement de Blocknovas et Softglide déposés respectivement au Nouveau-Mexique et à New York. Reuters n'a pas été en mesure de localiser les personnes nommées dans les documents d'enregistrement.
L'enregistrement de Blocknovas mentionnait une adresse physique à Warrenville, en Caroline du Sud, qui apparaît sur Google Maps comme un terrain vague. Softglide semble avoir été enregistrée par un petit bureau des impôts à Buffalo, dans l'État de New York.
Cette activité témoigne de l'évolution constante des efforts déployés par la Corée du Nord pour cibler le secteur des cryptomonnaies afin de lever des fonds pour le gouvernement nord-coréen.
Outre le vol de devises étrangères par le biais de piratages informatiques, la Corée du Nord a envoyé des milliers de travailleurs informatiques à l'étranger afin de rapporter des millions de dollars pour financer le programme de missiles nucléaires de Pyongyang, selon les États-Unis, la Corée du Sud et les Nations unies.
La présence aux États-Unis d'une société contrôlée par la Corée du Nord et enregistrée par la RGB constitue une violation des sanctions imposées par l'Office of Foreign Assets Control (OFAC), qui fait partie du département du Trésor américain. Elle enfreint également les sanctions des Nations unies qui interdisent toute activité commerciale nord-coréenne visant à aider le gouvernement ou l'armée de ce pays isolé.
Le département d'État de New York a déclaré à Reuters qu'il ne commentait pas les entreprises enregistrées dans l'État. Le bureau du secrétaire d'État du Nouveau-Mexique n'a pas immédiatement répondu à une demande de commentaire.
Les pirates informatiques ont cherché à infecter les candidats à de faux emplois avec au moins trois souches de logiciels malveillants connus, précédemment liés à des cyberopérations nord-coréennes. Les logiciels malveillants liés à la campagne de Silent Push peuvent être utilisés pour voler des informations, faciliter l'accès aux réseaux et charger d'autres formes de logiciels malveillants. (Reportage d'A.J. Vicens à Detroit, Anton Zverev et James Pearson à Londres ; reportage supplémentaire de Raphael Satter à Washington, Andrew Hay au Nouveau-Mexique et Michelle Nichols à New York ; édité par Chris Sanders et Daniel Wallis)
