COMMENT UNE ENTREPRISE SPéCIALISéE DANS LA SéCURITé A RECRUTé UN FAUX INGéNIEUR NORD-CORéEN
Knowbe4, une entreprise spécialisée dans la sécurité, a embauché un pirate nord-coréen
Qu’est-ce qu’un pirate nord-coréen faisait dans les effectifs d’une entreprise spécialisée dans la sécurité ? On pourrait penser à une blague mais il s’agit de l’histoire de Knowbe4 qui a raconté les grandes lignes de cette mésaventure sur son blog. En préambule, l’article prévient « qu’aucun accès illégal n’a été obtenu ni aucune donnée n’a été perdue, compromise ou exfiltrée sur les systèmes KnowBe4 ».
Un pirate nord-coréen a bel et bien réussi à s’infiltrer, décrochant le poste d’ingénieur logiciel après plusieurs entretiens et même une vérification de son profil par les ressources humaines. « Il s’agissait d’une personne réelle utilisant une identité américaine valide mais volée. L’image a été "améliorée" par l’intelligence artificielle », explique le billet de blog.
Un faux informaticien
C’est d’ailleurs ce qui l’a trahi. « Le logiciel EDR [technologie de détection des menaces de sécurité informatique sur les équipements numériques] l’a détecté et a alerté notre centre des opérations de sécurité qui a appelé la nouvelle recrue et lui a demandé s’il pouvait aider à démêler l’affaire. C’est à ce moment-là que c’est rapidement devenu douteux », poursuit l’article. L’entreprise a partagé les données récupérées avec un expert mondial en cybersécurité et le FBI. « Il s’agissait d’un faux informaticien originaire de Corée du Nord », explique-t-il.
Après investigations sur cet ingénieur, une série d’activités suspectes ont été détectées. « Le pirate a réalisé diverses actions pour manipuler les fichiers d’historique de session, transféré des fichiers potentiellement dangereux et exécuté des logiciels non autorisés », peut-on lire sur le blog. Le faux salarié avait par ailleurs demandé que son poste de travail soit envoyé à une adresse, qui s’est avérée être celle d’une « ferme d’ordinateurs portables ». C’est cette technique qui lui a permis de donner l’impression de travailler depuis les Etats-Unis.
Quatre ressortissants nord-coréens recherchés
« Ils se connectent ensuite par VPN depuis l’endroit où ils se trouvent réellement (Corée du Nord ou de l’autre côté de la frontière chinoise) et travaillent de nuit afin de donner l’impression de travailler pendant la journée aux États-Unis », détaille l’article.
Au mois de mai, le ministère de la Justice des États-Unis avait publié un avis de recherche contre quatre ressortissants nord coréens accusés d’avoir dérobé des informations et généré des revenus pour le programme d’armement nucléaire de la Corée du Nord. Ces trois ressortissants nord-coréens n’ont pas eu besoin d’infiltrer des réseaux avec des méthodes avancées de piratage. De la même façon, ils ont été embauchés par des grandes entreprises américaines en tant qu’informaticiens.