Les responsables du FBI affirment que les fermes d’ordinateurs portables sont un moyen crucial par lequel les équipes informatiques nord-coréennes font croire aux entreprises américaines que leurs travailleurs à distance se trouvent aux États-Unis – en fournissant à la fois une adresse physique à laquelle envoyer des ordinateurs portables et une connexion Internet aux États-Unis. Une fois équipés de certains logiciels et outils d’accès à distance, les travailleurs peuvent se connecter à distance à ces ordinateurs portables.

Jusqu’à présent, au moins 10 facilitateurs présumés basés aux États-Unis ont été inculpés au niveau fédéral, dont un membre en service actif de l’armée américaine, pour leur rôle présumé dans l’hébergement de fermes d’ordinateurs portables, le blanchiment de paiements et le transfert des bénéfices via des sociétés écrans. Au moins six autres facilitateurs américains présumés ont été identifiés dans des documents judiciaires, mais n’ont pas été nommés.

Dans un cas, un citoyen américain, Kejia « Tony » Wang, s’est rendu en Chine en 2023 pour rencontrer des co-conspirateurs et des informaticiens à Shenyang et Dandong, selon des documents judiciaires. Des ordinateurs portables provenant de plus de 100 entreprises américaines, dont un entrepreneur de défense basé en Californie, ont été envoyés à Wang, qui a également créé des sociétés écrans pour aider à acheminer les salaires gagnés à l’étranger. Wang a plaidé coupable à des accusations liées à la fraude électronique, au blanchiment d’argent et au vol d’identité et attend sa condamnation le mois prochain.

« Nous pensons qu’il y a encore des centaines de personnes qui participent à ces stratagèmes », a déclaré Rozhavsky, directeur adjoint du FBI. « Ils ne pourraient jamais y parvenir s’ils n’avaient pas l’aide de facilitateurs volontaires aux États-Unis. »

Une fois que l’argent illicite a été gagné, il doit être consolidé et converti en monnaie émise par le gouvernement. Les équipes nord-coréennes s’appuient généralement sur un labyrinthe de réseaux chinois pour les blanchir, selon des rapports de l’industrie.

« Tous les méchants auxquels vous pouvez penser utilisent des blanchisseurs d’argent chinois. C’est ainsi que l’argent circule à l’échelle internationale », a déclaré Nick Carlsen, enquêteur principal de l’équipe d’enquête mondiale de la société d’analyse blockchain TRM Labs et ancien analyste du renseignement au FBI spécialisé dans la Corée du Nord.

Depuis que Kim Jong Un a pris le pouvoir en 2011, la Corée du Nord a perfectionné et élargi son portefeuille d’opérations de cybercriminalité au-delà du travail informatique – générant des milliards de dollars grâce aux vols de cryptomonnaies, dont un braquage record de 1,5 milliard de dollars l’année dernière, selon l’organisation. FBI. Les analystes affirment que ces opérations ont rendu Kim plus riche et plus pertinent que jamais sur le plan géopolitique, confirmant ainsi sa vision de longue date des cyberopérations comme un « Épée polyvalente. »

Ces dernières années, le partenariat de la Corée du Nord avec les réseaux chinois de blanchiment d’argent a permis d’atteindre un nouveau niveau de rapidité et d’efficacité que les opérateurs nord-coréens n’étaient pas parvenus à atteindre de manière indépendante.

« L’élément transformateur est l’existence de ces réseaux financiers chinois superliquides », a déclaré Carlsen. « Ils peuvent absorber beaucoup d’argent, le convertir et le transférer dans la monnaie nationale de votre choix. C’est le grand changement. »

La plupart de ces intermédiaires opèrent dans le sud de la Chine et en Asie du Sud-Est, notamment au Myanmar, à Hong Kong, à Macao et dans la province chinoise du Fujian – déplaçant rapidement les crypto-monnaies à travers les blockchains à l’aide de ce que l’on appelle des « mélangeurs » qui divisent les fonds volés en morceaux plus petits pour masquer leur origine. Les revenus des informaticiens sont généralement de plus petites sommes et impliquent moins d’intermédiaires, a déclaré Andrew Fierman, responsable du renseignement de sécurité nationale chez la société de suivi blockchain Chainalysis, tandis que les sommes plus importantes des vols de crypto nécessitent des chaînes de blanchiment complexes et multicouches.

Carlsen a noté que les fonds provenant à la fois des programmes de travailleurs informatiques et des braquages ​​​​de crypto se retrouvent souvent chez des courtiers chinois liés à des syndicats du crime organisé. « Vous voyez des chevauchements avec boucherie porcine « Les escroqueries et les cartels de la drogue », a-t-il déclaré. « Ce sont les mêmes réseaux qui absorbent cet argent. » Les crypto-monnaies ont facilité cette convergence. « C’est le lubrifiant », a-t-il ajouté. « L’huile qui permet à tous ces engrenages d’interagir les uns avec les autres. »

Le gouvernement américain a pris certaines mesures pour lutter contre le projet nord-coréen des travailleurs informatiques, mais les experts préviennent que la menace s’intensifie à mesure que l’utilisation de l’IA par les travailleurs continue de se développer dans le monde entier.

Les analystes de la cybersécurité affirment que les outils américains de contrôle ont du mal à suivre le rythme de l’ampleur et de la sophistication des cyberopérations de Pyongyang. De nombreuses personnes impliquées opèrent dans des pays qui ne disposent pas d’accords d’extradition avec les États-Unis, ce qui les place largement hors de portée des forces de l’ordre américaines.

« C’est un jeu de folie. Il est pratiquement impossible de perturber complètement cela », a déclaré Carlsen. « C’est juste un processus sans fin. »

Selon lui, la stratégie la plus efficace consiste à rendre les stratagèmes moins rentables en empêchant le régime d’encaisser des fonds par l’intermédiaire d’organisations de blanchiment d’argent.

Le gouvernement américain a intensifié ses efforts dans ce sens. Jeudi, le Département du Trésor sanctionné six individus et deux entités pour leurs rôles dans les programmes de travailleurs informatiques orchestrés par le gouvernement de la RPDC, y compris des facilitateurs basés en Corée du Nord, au Vietnam, au Laos et en Espagne.

L’automne dernier, les autorités fédérales ont annoncé une vague d’accusations criminelles, de confiscations, de sanctions et de gels d’avoirs ciblant les cyberactivités illicites de la Corée du Nord.

Dans Octobrele département du Trésor a séparé du système financier américain le groupe Huione, basé au Cambodge, un réseau de garantie financière, alléguant qu’il avait blanchi des milliards de produits illicites, dont au moins 37 millions de dollars en cryptomonnaie liée aux opérations nord-coréennes. Quelques semaines plus tard, huit individus et deux entités, dont des banquiers et des institutions nord-coréens, ont été sanctionné pour le blanchiment de fonds provenant de la cybercriminalité et des stratagèmes de fraude des travailleurs informatiques.

La Corée du Nord, pour sa part, a nié tout acte répréhensible.

L’année dernière, à la suite de l’inculpation par le ministère de la Justice de plusieurs Nord-Coréens pour leur rôle présumé dans ce stratagème, le ministre des Affaires étrangères du pays a condamné les actions américaines comme « une campagne de diffamation absurde » ciblant la « « cybermenace » inexistante de la RPDC », a rapporté l’Agence centrale de presse coréenne.

En réponse aux questions sur l’implication de ressortissants chinois dans ce projet, le porte-parole de l’ambassade chinoise, Liu Pengyu, a déclaré : « Nous nous opposons aux fausses allégations et aux diffamations qui n’ont aucun fondement factuel. »

Le système lui-même devient également plus complexe. Les équipes informatiques nord-coréennes sous-traitent désormais leur travail à des développeurs au Pakistan, au Nigeria et en Inde, et s’étendent à des domaines tels que le service client, le traitement financier, l’assurance et les services de traduction – des rôles bien moins surveillés que le développement de logiciels.

« À moins d’avoir des informations externes, vous ne savez peut-être pas qu’ils sont nord-coréens », a déclaré Michael Barnhart, responsable du renseignement sur les menaces au niveau des États-nations au DTEX. « Ils essaient de devenir des cadres intermédiaires, et cela fonctionne. »

Cette expansion signifie également que les travailleurs nord-coréens pourraient causer des dommages réels en mettant des vies en danger, ce que Barnhart a pu constater de près.

En 2021, dans le cadre d’un vague d’attaques Sur la NASA et sur des bases militaires, une équipe de hackers nord-coréens a infecté les systèmes informatiques d’un hôpital du Kansas avec un ransomware, paralysant les serveurs et exigeant environ 100 000 dollars en bitcoins pour restaurer leur fonctionnement. L’hôpital a payé. Barnhart a aidé à enquêter sur le piratage aux côtés du FBI, et c’est cette affaire qui lui a fait comprendre la manière dont les équipes de piratage malveillantes de Corée du Nord coopèrent parfois avec les équipes informatiques pour soutenir leurs missions, ce qui n’était pas largement connu à l’époque.

Ce qu’il a vu était un opérateur de piratage informatique engagé dans des travaux informatiques, notamment en plaçant d’autres informaticiens à des emplois. Les revenus de ces emplois ont soutenu les principales opérations de piratage informatique de l’unité de piratage informatique visant à commettre des intrusions informatiques contre les gouvernements américains, sud-coréens et chinois ou contre des victimes technologiques.

« Cela a commencé par la génération de revenus, mais les lignes deviennent de plus en plus floues. Le moment venu, ils auront des pièces d’échecs au sein des organisations du monde entier – et ils commenceront à agir de l’intérieur », a-t-il déclaré.

Rozhavsky a exprimé des préoccupations similaires.

« Même si une entreprise s’en débarrasse, nous ne savons pas quelles portes dérobées elle aurait pu laisser pour y accéder à l’avenir », a-t-il déclaré. « Il s’agit donc définitivement d’une bombe à retardement qui pourrait avoir des conséquences négatives à long terme. »

Les législateurs recherchent également des défenses plus solides. Les sénateurs Gary Peters, D-Mich., et Mike Rounds, RS.D., ont présenté le Protecting America from Cyber ​​Threats Act, qui renouvellerait les principales autorités en matière de cybersécurité pour une autre décennie et encouragerait les entreprises privées, comme Nisos, à partager des informations sur les cybermenaces avec le gouvernement fédéral.

Pourtant, des milliers de travailleurs, force motrice des projets informatiques, restent hors de portée, dont la majorité sont basés en Chine.

« Ce sont les gens les plus intelligents de Corée du Nord. C’est un peu la tragédie », a déclaré Carlsen. « Ils ont pris les meilleurs et les plus brillants et en ont fait des criminels. »