Des pirates informatiques nord-coréens utilisent de fausses entreprises américaines pour pirater des développeurs de cryptomonnaies

Des cybercriminels nord-coréens ont discrètement créé deux sociétés à responsabilité limitée aux États-Unis et les ont utilisées pour introduire subrepticement des codes malveillants auprès d'ingénieurs logiciels en recherche d'emploi dans le secteur des cryptomonnaies, selon des documents juridiques américains et des recherches communiquées à Reuters.

Selon Silent Push, une entreprise de cybersécurité, Blocknovas LLC au Nouveau-Mexique et Softglide LLC à New York ont ​​été créées sous de faux noms et avec des adresses louées afin que les pirates puissent se faire passer pour des employeurs légitimes tout en envoyant des logiciels malveillants aux candidats. Une troisième entreprise, Angeloper Agency, présentait des signatures web malveillantesdent, mais n'était enregistrée sur aucun registre du commerce américain.

« Il s'agit d'un rare exemple de pirates informatiques nord-coréens parvenant à créer des entités juridiques aux États-Unis afin de mettre en place des façades d'entreprises utilisées pour attaquer des candidats à l'emploi sans méfiance », a déclaré à Reuters Kasey Best, directrice du renseignement sur les menaces chez Silent Push.

Le FBI n'a pas souhaité commenter directement les deux entreprises. Cependant, jeudi, il a publié un avis de saisie sur le site web de Blocknovas, indiquant que le nom de domaine avait été saisi « dans le cadre d'une opération de police visant des cybercriminels nord-coréens qui utilisaient ce domaine pour tromper des personnes avec de fausses offres d'emploi et diffuser des logiciels malveillants »

Avant le démantèlement, de hauts responsables du FBI ont déclaré que l'agence visait à « imposer des risques et des conséquences, non seulement aux acteurs nord-coréens eux-mêmes, mais aussi à quiconque facilite leur capacité à mener à bien ces projets »

nord-coréennes les unités de piratage informatique de « peut-être l'une des menaces persistantes les plus avancées » auxquelles les États-Unis sont confrontés aujourd'hui.

Silent Push Selon , les attaquants se sont fait passer pour des recruteurs et ont proposé des entretiens qui exigeaient des victimes qu'elles ouvrent des fichiers malveillants.

Blocknovas et Softglide ont utilisé des offres d'emploi pour diffuser des logiciels malveillants auprès de développeurs de cryptomonnaies

Une fois lancés, les fichiers tentaient de récupérer les clés de portefeuilles de cryptomonnaies, les mots de passe et autresdentqui pourraient ensuite permettre de pirater des plateformes d'échange ou des entreprises technologiques.

Le rapport non publié de l'entreprise confirme l'existence de « multiples victimes », la plupart d'entre elles ayant été approchées par l'intermédiaire de Blocknovas, que les chercheurs décrivent comme « de loin le plus actif » des trois fronts.

Les registres de l'État montrent que Blocknovas a été enregistrée au Nouveau-Mexique le 27 septembre 2023. Ses documents indiquent une adresse postale à Warrenville, en Caroline du Sud, que Google Maps représente comme un terrain vague.

L'immatriculation de Softglide à New York tracson origine dans un petit cabinet de préparation fiscale à Buffalo. Aucune tracdes personnes dont les noms figurent sur les deux documents n'a été retrouvée.

Selon des responsables américains, ce schéma s'inscrit dans une stratégie plus large de la Corée du Nord visant à se procurer des devises fortes. Washington, Séoul et des experts des Nations Unies accusent depuis longtemps Pyongyang de voler des cryptomonnaies et d'envoyer des milliers de spécialistes en technologies de l'information à l'étranger pour financer son programme nucléaire et balistique.

L'exploitation d'une entreprise contrôlée par la Corée du Nord aux États-Unis constitue une infraction aux sanctions imposées par l'Office of Foreign Assets Control (OFAC) du département du Trésor. Elle viole également les mesures du Conseil de sécurité des Nations Unies interdisant toute activité commerciale bénéficiant à l'État ou à l'armée nord-coréenne.

Des fichiers d'emploi infectés par des logiciels malveillants sont liés au groupe Lazarus

Le secrétaire d'État du Nouveau-Mexique a indiqué par courriel que Blocknovas avait été enregistrée via le système en ligne des LLC (sociétés à responsabilité limitée) aux États-Unis, par l'intermédiaire d'un agent enregistré, et semblait respecter la réglementation de l'État. « Nos services n'auraient aucun moyen de connaître ses liens avec la Corée du Nord », a écrit un représentant.

Les enquêteurs relient cette activité à un sous-groupe du groupe Lazarus, une équipe de pirates informatiques d'élite qui répond au Bureau général de reconnaissance, principal organe de renseignement extérieur de Pyongyang.

Silent Push adentau moins trois familles de logiciels malveillants déjà connues dans les fichiers malveillants. Ces outils peuvent extraire des données des machines infectées, ouvrir des portes dérobées pour permettre des intrusions supplémentaires et télécharger du code d'attaque additionnel, un mode opératoire fréquemment observé lors des précédentes activités de Lazarus.

Pour l'instant, le domaine de Blocknovas est sous séquestre fédéral, le site web de Softglide est hors ligne et les pages d'Angeloer Agency affichent des erreurs. Mais les enquêteurs préviennent que de nouveaux pseudonymes peuvent apparaître rapidement.

« Cette opération illustre la menace en constante évolution que représentent les cyberacteurs nord-coréens », a déclaré le FBI dans son communiqué, exhortant les professionnels de la technologie à examiner attentivement les offres d'emploi non sollicitées et à signaler toute prise de contact suspecte.