Des autorités fédérales ont arrêté un homme de Nashville, accusé d’avoir hébergé des ordinateurs portables à son domicile dans le cadre d’un stratagème visant à tromper les entreprises américaines pour qu’elles embauchent des travailleurs informatiques étrangers, qui ont transféré des centaines de milliers de dollars de revenus pour financer le programme d’armement de la Corée du Nord.
Selon les procureurs fédéraux, le stratagème consistait à amener les entreprises américaines à embaucher sans le savoir des ressortissants nord-coréens, qui utilisaient l’identité volée d’un homme de Géorgie pour donner l’apparence d’être un citoyen américain. En vertu des sanctions imposées par le gouvernement fédéral, les employeurs américains sont strictement interdits d’embaucher des citoyens nord-coréens. Une fois les travailleurs embauchés, les employeurs envoyaient des ordinateurs portables fournis par l’entreprise à Matthew Isaac Knoot, 38 ans, de Nashville, Tennessee, ont déclaré les procureurs dans des documents judiciaires déposés auprès du tribunal de district des États-Unis pour le district moyen du Tennessee. Les documents judiciaires mentionnent également qu’un ressortissant étranger utilisant l’alias Yang Di était impliqué dans le complot.
Les procureurs écrivent :
Dans le cadre du complot, Knoot a reçu et hébergé des ordinateurs portables fournis par des entreprises américaines à Andrew M. dans ses résidences à Nashville, Tennessee, afin de tromper les entreprises en leur faisant croire qu’Andrew M. se trouvait aux États-Unis. Après avoir reçu les ordinateurs portables et sans autorisation, Knoot s’est connecté aux ordinateurs, a téléchargé et installé des applications de bureau à distance, et a accédé sans autorisation aux réseaux des entreprises victimes. Les applications de bureau à distance ont permis à Yang Di de travailler depuis des endroits hors des États-Unis, en particulier en Chine, tout en apparaissant aux entreprises victimes comme si Andrew M. travaillait depuis les résidences de Knoot. En échange, Knoot facturait à Di des frais mensuels pour ses services, y compris des tarifs fixes pour chaque ordinateur portable hébergé et un pourcentage du salaire de Di pour le travail informatique, s’enrichissant ainsi grâce à cette opération.
L’arrestation intervient deux semaines après que KnowBe4, une entreprise de formation en sécurité, ait déclaré qu’elle avait embauché sans le savoir un ressortissant nord-coréen utilisant une fausse identité pour se faire passer pour un candidat éligible à un poste d’ingénieur logiciel dans une équipe interne de l’IA. L’équipe de sécurité de KnowBe4 a rapidement commencé à soupçonner le nouvel employé après avoir détecté une “activité anormale”, notamment la manipulation de fichiers d’historique de session, le transfert de fichiers potentiellement nuisibles et l’exécution de logiciels non autorisés.
Le ressortissant nord-coréen a été embauché même après que KnowBe4 ait effectué des vérifications de background, vérifié des références et réalisé quatre interviews vidéo alors qu’il était candidat. Le faux candidat a réussi à contourner ces vérifications en utilisant une identité volée et une photo modifiée avec des outils d’IA pour créer une fausse image de profil et imiter son visage pendant les appels vidéo.
En mai, les procureurs fédéraux ont accusé une femme de l’Arizona d’avoir levé 6,8 millions de dollars dans un stratagème similaire pour financer le programme d’armement. La défenderesse dans ce cas, Christina Marie Chapman, 49 ans, de Litchfield Park, Arizona, et ses complices ont compromis les identités de plus de 60 personnes vivant aux États-Unis et utilisé leurs informations personnelles pour obtenir des emplois informatiques pour des ressortissants nord-coréens dans plus de 300 entreprises américaines.
Le FBI et les départements d’État et du Trésor ont publié un avis en mai 2022 avertissant la communauté internationale, le secteur privé et le public d’une campagne en cours visant à placer des ressortissants nord-coréens dans des emplois informatiques en violation des lois de nombreux pays. Les responsables américains et sud-coréens ont publié des directives mises à jour en octobre 2023 et à nouveau en mai 2024. Les avis incluent des signes pouvant indiquer une fraude d’employés informatiques en provenance de Corée du Nord et l’utilisation de fermes d’ordinateurs portables basées aux États-Unis.
Les travailleurs informatiques nord-coréens utilisant la ferme d’ordinateurs portables de Knoot ont généré des revenus de plus de 250 000 dollars chacun entre juillet 2022 et août 2023. Une grande partie des fonds a ensuite été transférée au programme d’armement de la Corée du Nord, qui comprend des armes de destruction massive, ont déclaré les procureurs.
Knoot fait face à des accusations, y compris fraude électronique, dommages intentionnels à des ordinateurs protégés, vol d’identité aggravé et conspiration pour provoquer l’emploi illégal d’étrangers. S’il est reconnu coupable, il risquerait jusqu’à 20 ans de prison.
En tant que journaliste, je suis préoccupé par les implications de ces activités illégales et leur impact sur la sécurité internationale. L’utilisation d’identités volées pour tromper des entreprises met en lumière l’importance de la vigilance en matière de cybersécurité, non seulement pour protéger les intérêts économiques, mais également pour empêcher le financement d’activités nuisibles sur la scène mondiale.