Le ministère de la Justice a annoncé lundi une répression majeure du programme de fraude des travailleurs informatiques de la Corée du Nord, avec deux nouveaux actes d’accusation nommés plus d’une douzaine de co-conspirateurs accusés d’avoir volé des millions d’au moins 100 entreprises au cours des quatre dernières années.
Selon le premier acte d’accusation majeur de la région du Massachusetts, les équipages des travailleurs informatiques nord-coréens se sont associés à des conspirateurs à New York, au New Jersey, en Californie et à l’étranger pour voler l’identité de plus de 80 Américains et acquérir des emplacements éloignés avec plus de 100 entreprises. La deuxième accusation affirme qu’une équipe de quatre travailleurs informatiques nord-coréens s’est rendue aux EAU, se faisait passer pour des travailleurs informatiques éloignés en utilisant leur identité volée, a acquis des emplois dans des entreprises américaines, des co-conspirateurs sans nom et a systématiquement volé la monnaie numérique pour financer les programmes d’armes nucléaires et nucléaires de la Corée du Nord.
L’acte d’accusation détaille comment les programmes de travailleurs informatiques reposent simplement sur des identités fausses et manufacturées avant de compter sur le réseau complexe de sociétés avant des États-Unis. Les entreprises de première ligne sont fondées par des complices payants, ce qui donne l’impression que les travailleurs informatiques sont affiliés à des entreprises américaines légitimes. Le Front Runner cache les travailleurs informatiques nord-coréens derrière l’identité américaine volée et fournit notre adresse pour recevoir des expéditions d’ordinateurs portables envoyées par des entreprises pour un travail de logiciel distant. Les revenus volés générés dans le programme de fraude auraient été transférés aux dirigeants nord-coréens pour financer la destruction massive du régime autoritaire et les armes du programme de missiles balistiques.
« Alors que la Corée du Nord a l’intention de financer le programme d’armes en escamitant les entreprises américaines et en exploitant des victimes américaines pour le vol d’identité, le FBI est également destiné à perturber cette campagne massive et à traduire en justice ses auteurs. » «Alors que les travailleurs informatiques nord-coréens engagent frauduleusement les citoyens américains pour obtenir un emploi avec des entreprises américaines, des centaines de millions de dollars peuvent être versés dans le régime autoritaire de la Corée du Nord. Le FBI fera tout ce qui est en notre pouvoir pour protéger leurs villes natales et empêcher les Américains d’être victimes du gouvernement nord-coréen.
La direction autoritaire de la République démocratique de Corée (RPDC) a déclaré lundi qu’elle avait déployé des milliers de travailleurs informatiques formés du monde entier pour s’assurer que les entreprises les embauchent pour des emplois éloignés. Une fois embauchés, les travailleurs informatiques sont chargés de gagner de l’argent et de recueillir des renseignements pour aider les cyber-voleurs. Des centaines de sociétés technologiques du Fortune 500 ou inférieures connues comme le « programme de travailleurs informatiques nord-coréen » ont en fait combattu le tsunami de faux demandeurs d’emploi formés des travailleurs informatiques nord-coréens. Les Nations Unies estiment que le programme sera généré entre 200 et 600 millions de dollars par an, sans compter le montant des codes qui prétendument volés lors de vols en utilisant des renseignements recueillis par des milliards de travailleurs informatiques nord-coréens.
Selon l’acte d’accusation, l’homme du New Jersey a transformé le roi « Danny » en Zenkin et a créé une société de développement de logiciels appelée Independent Lab en tant que société avant pour le programme. Grâce à des laboratoires indépendants, les entreprises ont expédié des ordinateurs portables pour faire face à ce qu’ils pensaient que les entreprises avaient embauché des travailleurs informatiques, mais en réalité, il y avait des gens dont l’identité avait été volée. Wang aurait hébergé l’ordinateur portable de son domicile, connu sous le nom de «ferme des ordinateurs portables» et a installé un logiciel d’accès à distance pour permettre aux travailleurs nord-coréens d’accéder à des emplacements à l’étranger. Le Wang aurait également accepté l’argent payé en compensation d’une société américaine et l’aurait transféré sur un compte géré par un conspirateur à l’étranger.
Selon l’acte d’accusation, plusieurs défendeurs et complices agissent en utilisant des sociétés de front, notamment d’autres co-conspirateurs sans nom à New York et en Californie, ainsi que des membres actifs de l’armée américaine. Les autorités auraient accueilli une ferme d’ordinateurs portables à la maison en échange de frais de centaines de milliers de dollars. Le front aurait escroqué au moins quatre grandes entreprises, chacune causant au moins 100 000 $ en dommages et pertes salariales. Un complice serait Kejia Wang, et on dit que les travailleurs savaient qu’ils agissaient au nom de la Corée du Nord.
En plus de Danny Wang, le gouvernement a inculpé huit autres défendeurs, affirmant que la fraude comprenait un entrepreneur de défense basé en Californie. D’autres sociétés touchées par le programme de fraude se trouvent en Californie, au Massachusetts, à New York, au New Jersey, au New Jersey, en Floride, au Nouveau-Mexique, en Géorgie, au Maryland et en Caroline du Nord. Utah, Colorado, district de Columbia.
Michael « Barni » Burnhart, un enquêteur des risques clés de la société de sécurité DTEX, a déclaré que les arrestations annoncées cette semaine rappellent que les menaces de la RPDC, les travailleurs informatiques ne se contentent pas de générer des revenus.
« Lorsqu’ils entrent, ils peuvent mener des activités malveillantes à partir de leurs réseaux de confiance, présentent de sérieux risques pour la sécurité nationale et les entreprises du monde entier », a déclaré Burnhart dans un communiqué. « Les acteurs de la RPDC utilisent des entreprises frontales et des tiers de confiance pour glisser les sauvegardes traditionnelles d’emploi traditionnelles, y compris les cas observés de secteurs sensibles tels que le gouvernement et la Fondation de l’industrie de la défense. »
Barnhart suggère que compte tenu de la façon dont les menaces informatiques de la RPDC se sont adaptées, cela souligne l’idée que les entreprises doivent regarder au-delà du portail des candidats typiques et réévaluer l’ensemble du pipeline talentueux.
« Ces régimes sont conçus pour cibler et voler des entreprises américaines, éviter les sanctions et financer les programmes illégaux du régime nord-coréen, y compris le programme d’armes », a déclaré John A. Eisenberg, procureur général de l’agence nationale de sécurité du ministère dans un communiqué. « Le ministère de la Justice, ainsi que nos agences d’application de la loi, le secteur privé et les partenaires internationaux, poursuivront en permanence et démanteront ces réseaux de génération de revenus cyberlativés. »
Le deuxième acte d’accusation décrit comment une délégation de quatre personnes peut utiliser une combinaison d’identité et d’alias volés pour acquérir des emplois pour deux développeurs de travailleurs informatiques nord-coréens dans une société de technologie de recherche et développement à Atlanta, en Géorgie, dans une autre société de jeton virtuelle.
Le duo a volé Crypto, un cabinet d’avocats américain pour le district nord de Géorgie, d’une valeur de près d’un million de dollars. Les deux travailleurs informatiques ont ensuite pu cacher leurs origines avant de renvoyer l’argent à la maison au leader nord-coréen, car ils auraient en amener d’autres et laver la monnaie.
« Ce n’est pas moi !! »
Comme le prétend dans le deuxième acte d’accusation, le programme dans cette affaire a commencé en octobre 2019 lorsque quatre travailleurs informatiques nord-coréens se sont rendus aux EAU en utilisant des documents nord-coréens et se sont imposés en équipe. L’équipage a systématiquement exploité l’identité volée, le mélangeant avec leurs propres photographies, remettant les employés légitimes et accédant aux informations confidentielles de l’entreprise. L’objectif, selon l’acte d’accusation, était de gagner suffisamment de confiance pour accéder aux crypto-monnaies que nous avons contrôlées, ce qui lui permet de transférer au gouvernement de la RPDC dirigée par le dictateur autoritaire Kim Jong-un.
En décembre 2020, la défenderesse Kim Kwan Jim aurait donné à la société sans nom un faux identifiant portugais contenant la date de naissance réelle de la victime et une photo de Kim avec le numéro d’identification du gouvernement. Kim aurait utilisé son identité volée comme alias pour obtenir un emploi en développant le code source d’une entreprise américaine sans nom basée à Atlanta. L’acte d’accusation a nommé la victime de l’ID volé « PS » et ne nomme pas la société qui aurait embauché des travailleurs informatiques en Corée du Nord.
En mars 2022, Kim aurait changé le code source de l’entreprise à laquelle il a été embauché. Ses modifications ont changé les codes de deux contrats intelligents détenus et contrôlés par l’entreprise. Kim a provoqué un changement dans les règles lorsque la devise pourrait être retirée du pool de financement contrôlé par la société.
On dit que le 29 mars et le 30 mars 2022, Kim a été nommé avec 4 millions de jetons d’élixir, 229 051 jetons Matic et 110 846 partants. Selon l’acte d’accusation, la crypto-monnaie valait environ 740 000 $ au moment du vol. Kim aurait transféré la devise vers une autre adresse de devise qu’il contrôlait.
Les autorités disent que Kim fournira au fondateur une justification pour le travail de chien à domicile pour expliquer le transfert de devises.
Le 30 mars, le fondateur de la société a envoyé un message sur Telegram pour accuser Kim d’avoir volé la crypto-monnaie à la piscine de collecte de fonds de l’entreprise. Kim utilise un compte télégramme configuré avec une identité volée PS et dit: « Combien de fois dois-je vous dire?
« Brian Cho »
Un autre cas présumé décrit dans l’acte d’accusation a commencé en mai 2021. Les autorités auraient obtenu un emploi pour fournir des services informatiques dans une entreprise sans un autre nom, en utilisant un nom différent.
Après avoir été embauché, John aurait eu accès à la crypto-monnaie de l’entreprise. Plus tard cette année-là, en octobre 2021, John aurait recommandé que « Peter Shao » soit un grand développeur en utilisant un compte télégramme créé à l’aide de l’alias « Brian Cho ». Les autorités ont allégué que Peter Xiao était en fait un autre accusé, Jang Nam IL. Le fondateur, sur la recommandation de John, a embauché Peter Ciao pour travailler sur le développement frontal. Chang, qui a travaillé comme Peter Xiao, aurait travaillé pour l’entreprise d’octobre 2021 à janvier 2022.
En janvier 2022, le fondateur de la société a cherché une vidéo confirmant l’identité des autorités revendiquait « Brian Chou » (en fait John) avant que John n’accorde un accès supplémentaire aux actifs cryptographiques de la société. Le 25 janvier 2022, John aurait envoyé la vidéo au fondateur via Telegram en utilisant l’alias de Brian Chou et un permis de conduire malaisien. Le fondateur aurait ensuite donné à John un accès supplémentaire.
Le mois suivant, John aurait été volé un jeton cryptographique, d’une valeur d’environ 60 éther (d’une valeur à l’époque de 175 680 $) en gagnant cet accès et en le transférant à une autre adresse cryptographique gérée par John. John a ensuite envoyé un message aux fondateurs de l’entreprise en utilisant son compte Bryan Cho Telegram.
Le fondateur a ensuite demandé où le « fichier .env » avait été téléchargé, et John (comme Brian Cho) lui a remis « Github ».
« L’accusé utilisera sa fausse identité personnelle pour cacher sa nationalité nord-coréenne, se présentera en tant que travailleur informatique éloigné, exploitant la confiance des victimes et volant des centaines de milliers de dollars », a déclaré l’avocat américain Theodore S. Hertzberg dans un communiqué. « L’acte d’accusation met en évidence les menaces uniques que la Corée du Nord pose aux entreprises qui emploient des travailleurs informatiques éloignés, et sa détermination à inculper les acteurs américains ou étrangers qui volent des entreprises de Géorgie. »
Ce n’était pas la fin. De là, il est dit que les travailleurs informatiques nord-coréens ont dû laver les fonds volés.
Chang, Jong, Kim et le quatrième défendeur Kang Taebok auraient utilisé un alias supplémentaire et un mélangeur de crypto-monnaie connu sous le nom de « Tornado Cash » pour laver les actifs volés. Tornado Cash est un mélangeur crypto qui obscurcit essentiellement les sentiers des transactions cryptographiques.
Les autorités affirment que Kang utilisera l’alias « Wong Shao Onn » pour ouvrir un compte dans un échange de crypto sans nom en utilisant l’ID malaisien du médecin sur sa propre photo. De même, Chang a ouvert un compte en utilisant l’alias « Bong Chee Shen » en utilisant l’ID malaisien forgé.
John a envoyé des devises en espèces de tornade pour les accusations après avoir été volé 60 éther, selon l’acte d’accusation. Kim aurait envoyé le jeton volé en espèces de tornade. Le fonds de mix a ensuite été retiré pour que Kang et Chang soient gérés à l’aide d’alias Wong et Bong.
Tornado Cash n’a pas répondu aux demandes de commentaires. Les tentatives pour atteindre le roi ont échoué.
