Microsoft supprime 3 000 comptes de messagerie liés à des informaticiens nord-coréens

Microsoft a suspendu 3000 comptes Outlook et Hotmail liés à un stratagème nord-coréen impliquant des ressortissants de la RPDC se faisant passer pour des télétravailleurs sous de faussesdent.

Les autorités américaines alertent depuis longtemps sur le fait que la Corée du Nord utilise les revenus illicites issus du piratage de cryptomonnaies, de la fraude et des opérations informatiques pour contourner les sanctions internationales et financer ses programmes militaires. Elles intensifient désormais la lutte contre ce qu'elles qualifient d'opération criminelle mondiale qui finance secrètement le régime autoritaire de Kim Jong-un en finançant des millions de dollars.

Microsoft ferme 3 000 comptes de messagerie liés à la Corée du Nord

Microsoft a suspendu plus de 3 000 comptes de messagerie dans le cadre d'une vaste opération visant à démanteler un réseau international mis en place par des informaticiens nord-coréens se faisant passer pour des professionnels de l'informatique travaillant à distance.

Les mesures prises par Microsoft font suite à une opération coordonnée menée conjointement par le département de la Justice américain, le FBI et d'autres agences fédérales. Ensemble, ils ont entrepris de démanteler un complot sophistiqué, baptisé « Jasper Sleet » par Microsoft Threat Intelligence. Cette opération exploite les plateformes de travail indépendant et les entreprises technologiques du monde entier.

Cette opération ne se contente pas de frauder les employeurs, mais financerait aussi directement le programme d'armement nucléaire de la Corée du Nord.

Selon l'équipe de renseignement sur les menaces de Microsoft, ce stratagème implique des professionnels de l'informatique formés originaires de la République populaire démocratique de Corée (RPDC) qui utilisent de faussesdentpour obtenir un emploi à distance auprès d'entreprises étrangères, notamment aux États-Unis.

Bon nombre de ces travailleurs sont hautement qualifiés, et certains employeurs les encensent sans le savoir comme des employés très performants.

« Il ne s'agit pas de pirates informatiques qui s'introduisent dans des systèmes », a déclaré le Centre de renseignement sur les menaces de Microsoft (MSTIC). « Ce sont des développeurs qualifiés, des ingénieurs en assurance qualité et des spécialistes du support informatique qui réussissent les entretiens, effectuent un travail concret et se fondent dans la masse, à un détail crucial près : ils travaillent pour la RPDC. »

Dans de nombreux cas, des complices, parfois citoyens américains, facilitent l'accès en louant leursdentou en exploitant ce que les autorités appellent des « fermes d'ordinateurs portables »

Les « fermes d'ordinateurs portables » sont des lieux physiques où sont expédiés et entretenus des ordinateurs portables fournis par des employeurs à leur insu. Au moins 29 de ces sites ont fait l'objet de perquisitions par les forces de l'ordre, qui y ont découvert des ordinateurs portables équipés de logiciels d'accès à distance ou physiquement réacheminés vers la Chine ou la Russie.

Le ministère de la Justice a récemment détaillé le cas d'un employé d'un salon de manucure du Maryland, qui sera condamné en août. Cet homme a été reconnu coupable d'avoir occupé simultanément 13 emplois pour le compte de travailleurs informatiques nord-coréens, empochant près d'un million de dollars en salaires versés à distance.

D'après les estimations des Nations Unies, le programme nord-coréen de travailleurs du secteur informatique génère jusqu'à 600 millions de dollars par an. Ces revenus servent souvent à financer des opérations de cybercriminalité et les ambitions nucléaires du pays.

Microsoft riposte grâce à l'IA et aux outils de détection

Dans un article de blog publié cette semaine, Microsoft a détaillé la suspension de 3 000 comptes de messagerie grand public, principalement Outlook et Hotmail, qui étaient utilisés par des agents nord-coréens.

« Au-delà des 3 000 comptes de messagerie grand public récemment supprimés, dans le cadre de nos efforts pour perturber l’activité des auteurs de ces attaques et protéger nos clients contre cette menace, Microsoft a continué à supprimer les comptes usurpés au fur et àdentde leur identification et tracl’utilisation de l’IA par les auteurs de ces attaques », a déclaré Jeremy Dallman, directeur principal du Centre de renseignement sur les menaces de Microsoft.

Microsoft a constaté que les travailleurs nord-coréens deviennent de plus en plus sophistiqués. Ils utilisent désormais des outils d'IA pour corriger les fautes dematicdans leurs CV et lettres de motivation, améliorer leurs photos pour paraître plus professionnels ou occidentalisés et utiliser la technologie FaceSwap pour superposer leurs images sur des documents d'dentvolés.

Certains expérimentent même des logiciels de modification vocale pour aider les recruteurs à réussir les entretiens d'embauche à leur place. Si Microsoft n'a pas encore observé l'utilisation de deepfakes vocaux et vidéo basés sur l'IA lors d'entretiens en temps réel, l'entreprise prévient que ce n'est peut-être qu'une question de temps.

« Si cette tactique s'avère concluante, elle pourrait permettre aux informaticiens nord-coréens de passer des entretiens directement et de ne plus dépendre d'intermédiaires », a déclaré Microsoft.

Ces tactiques d'IA perfectionnées permettent aux agents de mieux dissimuler leur origine, ce qui complique la tâche des employeurs pourdentles signaux d'alerte. Parmi les méthodes courantes, on retrouve la réutilisation de noms, d'adresses électroniques et de modèles de profils sur diverses plateformes d'emploi comme LinkedIn, GitHub et les plateformes de freelance.

Pour détecter et contrer ces tactiques, Microsoft a déployé une solution d'apprentissage automatique personnalisée qui signale les activités suspectes grâce à ce qu'elle appelle une analyse de « voyage dans le temps impossible », qui consiste notamment à surveiller les connexions à des endroits géographiquement improbables dans des laps de temps très courts, comme un accès depuis les États-Unis suivi de près par la Chine ou la Russie.

Microsoft renforce également ses outils de protectiondentet encourage les entreprises à adopter des protocoles d'authentificationtronet des systèmes de détection des risques en temps réel. L'entreprise technologique a collaboré avec des agences gouvernementales américaines pour partager des renseignements et développer des solutions techniques applicables à l'ensemble du secteur de la cybersécurité.

L'entreprise s'est engagée à maintenir la pression sur cette menace en constante évolution. « Jasper Sleet modifie et fait évoluer sans cesse ses profils », a déclaré Dallman. « Nous surveillons leurs adaptations, notamment en matière d'IA, et nous nous efforçons de garder une longueur d'avance. »