Les cyber-agents nord-coréens ont tranquillement formé deux sociétés à responsabilité limitée aux États-Unis et les ont utilisés pour glisser du code nuisible aux ingénieurs logiciels en quête d'emploi dans le monde de la crypto-monnaie, selon les dépôts juridiques et les recherches américaines partagées avec Reuters.
Silent Push, une entreprise de cybersécurité, indique que Blocknovas LLC au Nouveau-Mexique et Softglide LLC à New York a été construit avec des noms inventés et des adresses louées afin que les pirates puissent ressembler à des employeurs légitimes tout en envoyant des logiciels malveillants aux candidats. Une troisième entreprise, Angeloper Agency, a porté des empreintes digitales malveillantesdent, mais n'a apparu dans aucun registre d'entreprise américain.
"Il s'agit d'un rare exemple de pirates nord-coréens qui réussissent réellement à créer des entités d'entreprise légales aux États-Unis afin de créer des fronts d'entreprise utilisés pour attaquer les candidats sans méfiance", a déclaré à Reuters Kasey Best, le directeur du renseignement des menaces de Silent Push.
Le Federal Bureau of Investigation américain ne discuterait pas directement des deux sociétés. Cependant, jeudi, le Bureau a publié un avis de crise sur le site Web de Blocknovas qui a déclaré que le domaine avait été pris «dans le cadre d'une action en application de la loi contre les cyber-acteurs nord-coréens qui ont utilisé ce domaine pour tromper les personnes ayant de fausses postes d'emploi et distribuer des logiciels malveillants.»
Avant le retrait, des hauts responsables du FBI ont déclaré que l'agence vise à «imposer des risques et des conséquences, non seulement aux acteurs de la RPDC eux-mêmes, mais à toute personne qui facilite leur capacité à mener ces schémas».
Un responsable a appelé les unités de piratage «peut-être l'une des menaces persistantes les plus avancées» aux États-Unis aujourd'hui.
Silent Push indique que les assaillants se sont fait passer pour des recruteurs et ont proposé des entretiens qui ont exigé des cibles pour ouvrir des fichiers malveillants.
Blocknovas et Softglide ont utilisé des annonces de travail pour glisser les logiciels malveillants aux développeurs cryptographiques
Une fois lancés, les fichiers ont tenté de récolter les clés de portefeuille de crypto-monnaie, les mots de passe et d'autresdentqui pourraient plus tard aider à pénétrer dans les échanges ou les entreprises technologiques.
Le rapport non publié de la société confirme «plusieurs victimes», la plupart d'entre elles ont approché par le biais de Blocknovas, que les chercheurs décrivent comme «de loin les plus actifs» des trois fronts.
Les dossiers d'État montrent que Blocknovas a été enregistré au Nouveau-Mexique le 27 septembre 2023. Ses documents répertorie une adresse postale à Warrenville, en Caroline du Sud, que Google Maps montre comme un terrain vide.
L'incorporation de Softglide dans tracde New York à un petit bureau de préparation fiscale à Buffalo. Il n'y avait pas tracdes personnes dont les noms apparaissent dans l'un ou l'autre des dépôts.
Les responsables américains disent que le modèle correspond à une poussée plus large nord-coréenne pour augmenter la monnaie dure. Les experts de Washington, Séoul et des Nations Unies ont longtemps accusé Pyongyang d'avoir volé la crypto et d'envoyer des milliers de travailleurs de la technologie de l'information à l'étranger pour financer le programme de missiles nucléaires du pays.
La gestion d'une entreprise contrôlée par la Corée du Nord à l'intérieur des États-Unis brise les sanctions imposées par le Bureau du Contrôle des actifs étrangers du Département du Trésor (OFAC). Il viole les mesures du Conseil de sécurité de l'ONU que les activités commerciales interdites au profit de l'État ou de l'armée nord-coréen.
Les fichiers de travail à base de logiciels malveillants sont liés au groupe Lazare
Le secrétaire d'État du Nouveau-Mexique a déclaré dans un e-mail que Blocknovas avait été déposé via le système domestique-LLC en ligne à l'aide d'un agent enregistré et a semblé respecter les règles de l'État. "Il n'y aurait aucun moyen que notre bureau connaisse son lien avec la Corée du Nord", a écrit un représentant.
Les enquêteurs relient l'activité à un sous-groupe du groupe Lazare, une équipe de piratage d'élite qui répond au Bureau général de reconnaissance, le principal bras de l'intelligence étrangère de Pyongyang.
Poussière silencieuse, jedentlancé au moins trois familles de logiciels malveillants auparavant connues dans les fichiers d'emploi malveillants. Les outils peuvent extraire des données des machines infectées, ouvrir des portes pour une intrusion supplémentaire et télécharger un code d'attaque supplémentaire, un livre de jeu souvent vu dans les activités passées de Lazare.
Pour l'instant, le domaine de Blocknovas se situe sous les crises fédérales, le site Web de Softglide est hors ligne et les pages de l'Ageloper Agency Retourt les erreurs. Mais les enquêteurs préviennent que de nouveaux alias peuvent apparaître rapidement.
"Cette opération illustre la menace en constante évolution posée par les cyber-acteurs de la RPDC", a déclaré le FBI dans son communiqué, exhortant les professionnels de la technologie à examiner les offres d'emploi non sollicitées et à signaler toute sensibilisation suspecte.
Clai de différence de fil : l'outil secret que les projets de crypto utilisent pour obtenir une couverture médiatique garantie
