Des hackers nord-coréens utilisent LinkedIn pour voler des millions

Imaginez que votre prochain investisseur ou recruteur sur LinkedIn soit en réalité... un pirate informatique nord-coréen ! C'est la surprenante découverte partagée par les chercheurs en cybersécurité de Microsoft lors de la conférence Cyberwarcon. Leurs travaux révèlent qu'un groupe de menace baptisé "Sapphire Sleet", affilié à la Corée du Nord, s'est fait passer pendant des années pour des professionnels sur le célèbre réseau social afin de piéger des entreprises et dérober des millions de dollars, principalement en cryptomonnaies.

De faux profils pour des attaques bien réelles

La méthode est aussi simple que redoutable. Les pirates nord-coréens créent de toutes pièces des profils LinkedIn crédibles, se faisant passer tantôt pour des capital-risqueurs à la recherche d'investissements, tantôt pour des recruteurs en quête de talents. Une fois le contact établi avec leurs cibles, ils déploient un arsenal d'ingénierie sociale et de malwares pour infiltrer les systèmes et mettre la main sur les précieux portefeuilles de cryptomonnaies.

En seulement six mois, Sapphire Sleet aurait ainsi amassé un butin dépassant les 10 millions de dollars. Les attaques suivent généralement le même schéma :

• Prise de contact via un faux profil d'investisseur ou recruteur
• Organisation d'une réunion en ligne piégée
• Déploiement d'un malware par ingénierie sociale
• Vol des accès aux portefeuilles de cryptomonnaies

Contourner les sanctions internationales

Mais au-delà de l'appât du gain, ces cyberattaques servent un objectif stratégique bien précis pour le régime de Pyongyang. En dérobant des sommes colossales, atteignant des centaines de millions de dollars, la Corée du Nord cherche à contourner les lourdes sanctions économiques qui lui sont imposées sur la scène internationale, notamment par les États-Unis.

La Corée du Nord a envoyé des milliers de travailleurs informatiques à l'étranger pour gagner de l'argent pour le régime.

Microsoft Threat Intelligence

Moscou, Pékin, mais aussi d'autres pays accueillent ainsi une armée de travailleurs informatiques nord-coréens, épaulés par des "facilitateurs" locaux qui les aident à accéder aux plateformes qui leur sont autrement interdites, leur fournissent une couverture bancaire ou de fausses identités virtuelles.

Des pirates dotés d'une longueur d'avance

Pour parfaire leurs faux profils, certains n'hésitent pas à recourir aux dernières avancées en intelligence artificielle, comme l'a découvert Microsoft en mettant la main sur une base de données appartenant à ces hackers. CV et portfolio GitHub savamment falsifiés, photos retouchées par IA, comptes sur les principaux réseaux et messageries : tout est mis en oeuvre pour construire une identité numérique capable de tromper les plus vigilants.

Face à un tel degré de sophistication, les entreprises se retrouvent souvent démunies. Les experts recommandent de renforcer les protocoles de vérification des identités, en demandant par exemple d'activer régulièrement sa webcam ou d'expliquer son code lors des échanges avec des informaticiens. Cependant, force est de constater que les pirates nord-coréens ont souvent une longueur d'avance. Derrière la façade d'un banal profil LinkedIn peut se cacher une redoutable menace venue de Pyongyang, prête à tout pour financer son programme cyber-militaire, quitte à plonger ses mains dans les poches des entreprises du monde entier.