Blog

Qu'est-ce qu'une menace persistante avancée (APT), avec des exemples

APT Security - Qu



Une menace persistante avancée (APT) est une attaques sophistiquées, à long terme et à plusieurs étapes, généralement orchestrées par des groupes étatiques ou des entreprises criminelles bien organisées. Le terme était initialement utilisé pour décrire les groupes à l’origine de ces attaques, mais son usage courant a évolué pour désigner également les styles d’attaque que nous observons de la part de ces types d’acteurs menaçants.

La plupart de ces groupes sont numérotés et reçoivent des noms correspondants. Ils se retrouvent souvent avec plusieurs surnoms, car les grandes organisations de cybersécurité proposent souvent leur propre nom pour chaque APT.



Par exemple, APT 1 est un acteur menaçant chinois également connu sous les noms de PLA Unit 61938, Comment Crew, Byzantine Panda et quelques autres pseudonymes. Un autre est APT 29, un groupe russe appelé Cozy Bear, Cozy Duke, Office Monkeys et plusieurs autres noms. Le groupe nord-coréen APT 38 est souvent appelé, entre autres, Groupe Lazarus, Gardiens de la paix ou HIDDEN COBRA.

Il existe de nombreuses autres APT numérotées et nommées, et de nouvelles sont fréquemment découvertes. En raison de la complexité et du coût du montage d'attaques APT, les groupes à l'origine de ces attaques utilisent généralement leurs techniques avancées. contre des cibles de grande valeur telles que des agences gouvernementales ou de grandes entreprises. Leurs objectifs incluent souvent l'espionnage, le vol de données critiques et le sabotage.



Qu’est-ce qui différencie les menaces persistantes avancées (APT) des autres attaques ?

Les menaces persistantes avancées ont tendance à être complexes et à multiples facettes, ce qui les rend plus délibérées que les menaces opportunistes qui sévissent dans le monde numérique à plus grande échelle. Selon un Rapport NETSCOUT , seulement 16 % des entreprises, des gouvernements ou des établissements d’enseignement ont été confrontés à des APT en 2017.

Cela en fait l’une des menaces les moins courantes, même si leurs impacts peuvent être véritablement dévastateurs. Les raisons qui expliquent le plus petit nombre d'APT et ce qui les distingue des autres attaques sont les suivantes :

Cibles

Construiriez-vous une forteresse avec des murs de 6 mètres de haut, des gardes armés et des chiens d'attaque pour protéger la tirelire d'un enfant ? Bien sûr que non – cela vous coûterait plus cher en sécurité que ne vaut la tirelire. Mais et si vous deviez protéger le trésor d’or d’une nation entière ?

Le fait est que pour assurer la sécurité des choses, nous devons augmenter les mesures de protection proportionnellement à la valeur ou à l'importance de tout ce que nous protégeons . Il est impossible de rendre quelque chose absolument impénétrable – tout ce que nous pouvons faire, c’est rendre l’entrée par effraction suffisamment difficile, pour que les tentatives en ce sens ne soient pas financièrement viables.

Cela s’applique à l’or, aux bijoux, aux peintures et à toute une série d’autres trésors physiques. Mais c’est également valable dans le monde de l’information, des systèmes et des actifs numériques. Certaines entités, telles que les gouvernements et les grandes entreprises, disposent d'informations extrêmement précieuses que beaucoup aimeraient voler. .

Mais les organisations qui contrôlent ces données ne sont pas stupides (pour la plupart). Ils connaissent la valeur de l'information, que de nombreuses parties aimeraient mettre la main dessus et que ils doivent mettre en place des mesures de protection solides afin de le sauvegarder.

Mais que se passerait-il si vous vouliez quand même obtenir ces informations ? Lorsque des mécanismes de défense aussi robustes sont en place, une attaque sophistiquée est nécessaire pour avoir l’espoir de s’introduire par effraction et de voler les données ou d’atteindre d’autres objectifs. Ce sont les scénarios qui nécessitent des attaques avancées par menaces persistantes.

Lorsque les données et les systèmes ne sont pas protégés à ce niveau, une attaque aussi élaborée, coûteuse et longue n’est tout simplement pas nécessaire. Si un cybercriminel peut voler les données qu’il recherche avec un simple e-mail de phishing, pourquoi ferait-il un effort supplémentaire ?

Par conséquent, nous ne constatons réellement des menaces persistantes avancées que dans les situations où se trouvent des données ou des systèmes extrêmement précieux et lorsque de nombreux efforts ont été déployés pour les protéger. Ce chevauchement des cibles APT comprend :

  • Organismes gouvernementaux – comme les ministères de la Défense, les bureaux d’espionnage, les services fiscaux, etc.
  • Universités, collèges et programmes de recherche.
  • Grandes entreprises et institutions – couvrant des secteurs tels que la finance, l’industrie manufacturière, la technologie, l’armement, etc.
  • Infrastructures essentielles – comme les réseaux électriques, les transports, les programmes nucléaires, les télécommunications, les services publics, etc.

Objectifs

Si une APT est une attaque complexe, hautement organisée et bien financée, conçue pour contourner des défenses rigoureuses, alors les objectifs de l’attaque doivent être extrêmement précieux pour qu’elle en vaille la peine pour l’attaquant. S’ils ne peuvent rien tirer de substantiel d’un engagement aussi important, pourquoi se donneraient-ils la peine de lancer l’attaque ?

Pour la plupart, les acteurs malveillants qui utilisent des tactiques APT visent des informations ou des systèmes précieux, notamment :

  • Bases de données d'informations personnelles – Tels que les détails financiers, les dossiers de santé et d’autres données pouvant être utilisées dans toute une série de délits.
  • Propriété intellectuelle – L’espionnage industriel implique souvent de cibler la propriété intellectuelle, les projets, les secrets commerciaux et d’autres informations clés susceptibles d’être utiles aux concurrents, aux États-nations et à d’autres parties intéressées.
  • Information confidentielle , y compris les documents gouvernementaux, les plans militaires et les dossiers financiers.
  • Communication continue entre des cibles de grande valeur – Cela pourrait impliquer des plans, des informations personnelles qui pourraient être utilisées à des fins d’extorsion, et bien plus encore.
  • Sabotage – Comme la suppression d’un site Web et la suppression de données critiques.
  • Pirater un site Web – Cela peut être fait pour des raisons telles que l’activisme politique, le cyberterrorisme ou le gain financier.

Dans certaines de ces situations, l’objectif principal peut simplement être de gagner de l’argent, comme dans les cas où les attaquants volent et vendent des bases de données contenant des informations personnelles. Dans d’autres circonstances, la campagne APT peut servir à nuire activement aux concurrents, à permettre aux États-nations de se bousculer pour le pouvoir et à faire une démonstration de force. En fin de compte, les APT sont des techniques qui permettent à ceux qui les dirigent d’atteindre des objectifs qui ne seraient pas possibles avec des types de cyberattaques plus simples.

Sophistication

La plupart des menaces les plus courantes auxquelles nous sommes confrontés sont automatisées et se comportent de manière cohérente, recherchant les mêmes faiblesses pour en tirer parti. Bien qu’ils soient souvent réutilisés pour pénétrer de nouvelles organisations et de nouveaux systèmes, ils manquent généralement de l’analyse, de la planification et de l’orchestration minutieuses qui entrent dans les APT.

Comme nous en avons discuté, Les APT sont généralement réservées aux situations dans lesquelles des attaques plus simples ne suffisent pas pour atteindre les objectifs et où quelque chose de plus avancé est requis. . Les attaques APT impliquent souvent de passer beaucoup de temps à enquêter sur une cible et à rechercher ses faiblesses, avant d'élaborer un plan personnalisé pour surmonter les mesures de sécurité, échapper aux mécanismes de détection et atteindre l'objectif ultime.

Les agents derrière les APT sont très compétents et possèdent un large éventail de compétences. Ils exploitent également une variété d’outils et de stratégies avancés dans leurs attaques. Leur sophistication comprend :

  • Avant-gardiste techniques de surveillance et de collecte de renseignements .
  • Maîtrise des outils d'intrusion open source et propriétaires . Ceux-ci peuvent inclure des logiciels de tests d’intrusion commerciaux, ainsi que des logiciels obtenus sur les marchés du darknet. Ils développent également souvent leur propre code à partir de zéro ou modifient le code existant lorsque le besoin s'en fait sentir. Cette adaptation peut être essentielle pour pénétrer dans les organisations dotées de défenses solides.
  • Cibler plusieurs points d'une organisation à la fois dans la pénétration initiale et dans l'élévation de leurs attaques . Un exemple consiste à obtenir l’accès en harponnant avec succès un certain nombre de personnes clés au sein d’une entreprise. Une autre solution consiste à cibler une série de systèmes internes et externes distincts à mesure que l’acteur malveillant intensifie son attaque. Attaquer depuis de nombreux points différents peut également distraire les équipes de sécurité.
  • Éviter les outils de détection . Les auteurs de menaces utilisent des techniques d’obscurcissement et des tactiques sournoises comme les logiciels malveillants sans fichier. Ceux-ci permettent de contourner les mécanismes de surveillance et de détection déployés par les organisations cibles. Celles-ci s'appuient souvent sur des signatures pour reconnaître les activités malveillantes, ce qui signifie que les méthodes d'attaque qui peuvent masquer des signatures ou avoir des signatures inédites peuvent souvent passer inaperçues. Rester caché pendant une longue période est crucial dans les APT, c'est pourquoi les attaquants déploient des efforts importants pour les contourner.

Pour illustrer la complexité des APT, ces attaques impliquent souvent une combinaison d’ingénierie sociale, tirant parti des vulnérabilités logicielles, déployant des rootkits, du tunneling DNS et un large éventail d’autres approches. Certaines des stratégies individuelles utilisées dans une APT peuvent ne pas sembler trop avancées, mais la planification, l’ampleur et la cohésion de l’attaque dans son ensemble sont ce qui les rend sophistiquées.

Un élément essentiel d’une APT peut impliquer la simple duperie d’un dirigeant avec un message de phishing. Presque n'importe qui avec un peu de temps libre, une grammaire à moitié correcte et Google peut le faire. Mais ce sont tous les autres éléments conjugués qui font d’une attaque une APT. C’est cette sophistication globale qui est hors de portée pour vos hackers de jardin.

Chronologie

De nombreux cybercriminels ne s’intéressent qu’aux cibles faciles, cherchant à entrer et sortir le plus rapidement possible, sans trop se soucier de savoir si leur attaque sera rapidement repérée une fois qu’ils ont obtenu ce qu’ils recherchaient.

En revanche, Les APT ont tendance à être des attaques à long terme , parce que les systèmes qu’ils ciblent sont tout simplement trop complexes et bien protégés pour être pénétrés avec des techniques simples ou automatisées. Comme nous l’avons évoqué ci-dessus, ils impliquent l’observation, la planification et de nombreuses étapes avant que l’objectif ultime ne soit atteint.

Effectuer correctement chacune de ces étapes prend du temps, surtout lorsqu’un attaquant cherche à ne pas être détecté. Après une telle dépense de ressources et d'efforts, ils doivent faire attention à chaque mouvement qu'ils effectuent s'ils veulent éviter de déclencher des alarmes et de voir leur attaque bloquée.

Même une fois qu'un plan a été lancé, il peut impliquer plusieurs séries d'e-mails de phishing, la création de faux sites Web, le chargement de logiciels malveillants sur des cibles, l'élévation de privilèges, l'exfiltration de données et bien d'autres tactiques avant que l'acteur malveillant ne soit sur le point d'atteindre son objectif.

Dans de nombreuses situations, il est logique que l’attaquant conserve l’accès aux systèmes de la victime le plus longtemps possible. C'était peut-être l'objectif initial, sinon, Une fois que toutes les démarches coûteuses et fastidieuses ont été effectuées pour atteindre l'objectif principal, il est tout simplement logique de rester là-dedans et de ramasser tous les autres restes qui pourraient avoir de la valeur.

Surveillance à long terme peut fournir à l’attaquant des informations sur les derniers développements et projets de la cible, lui accorder l’accès à des bases de données plus précieuses et lui permettre de participer aux communications entre les personnes clés.

Le temps entre la pénétration initiale d’une APT et sa découverte est appelé le temps de séjour . La durée pendant laquelle un acteur menaçant peut dissimuler sa présence dépend d’une grande variété de facteurs, notamment de ses propres compétences et des défenses de la cible.

Au fil du temps, de nombreuses organisations ont amélioré leur capacité à découvrir les APT. Cependant, certains sont encore à la traîne. Oeil de feu constaté qu'en 2019, le temps de séjour moyen pour la détection interne était de 30 jours, contre 50 jours en 2018. Cela contraste avec le temps de séjour moyen pour la détection externe, qui était de 141 jours en 2019 et de 184 l'année précédente.

Le rapport indique que 41 pour cent des compromissions enquêtées ont été détectées dans les 30 jours. un nombre alarmant de 12 pour cent n’ont été découverts qu’après 700 jours ou plus. Même si près de deux ans constituent un délai exceptionnel pour qu’un attaquant puisse accéder au réseau d’une entreprise, Mandiant a un jour signalé une APT qui avait compromis une organisation pendant quatre ans et dix mois.

Dans certaines situations, les acteurs malveillants peuvent voler des données incroyablement précieuses ou causer d’énormes dégâts en quelques minutes. Imaginez les problèmes qu'une APT peut causer si elle conserve son accès, non pas pendant un ou deux mois, mais près de cinq ans. Avec des périodes d'accès aussi longues, les acteurs malveillants pourraient voler tout ce qu'une organisation cible a à offrir, ou le détruire par d'autres moyens.

Ressources

La sophistication et la durée des attaques avancées à base de menaces persistantes rendent leur mise en place incroyablement coûteuse. Commencer, ils nécessitent de grandes équipes de hackers hautement qualifiés. Les personnes ayant l’expérience et le savoir-faire nécessaires pour lancer ces attaques peuvent gagner des sommes énormes en tant que testeurs d’intrusion et ingénieurs travaillant pour des entreprises légitimes. Les entités à l’origine de ces attaques peuvent donc avoir besoin de budgets de main-d’œuvre importants si elles veulent les attirer dans des activités illicites.

Mais les APT nécessitent bien plus que du personnel et du temps. Les auteurs de la menace devront peut-être payer pour des bureaux, des infrastructures, un hébergement et bien plus encore. Le prix des outils à lui seul peut être vertigineux. Technologies positives a créé un aperçu détaillé du coût des différents éléments des campagnes APT, dont tout ou partie pourrait faire partie d'un plan d'attaque unique et sophistiqué :

  • Hameçonnage
    • 300 $+ – Outil pour créer des fichiers malveillants
    • 2 500 $/mois – Frais d'abonnement pour un service qui crée des documents avec un contenu malveillant
    • 1 500 $+ – Code source du chargeur
    • 10 000 $ – Générateur d’exploits
  • Attaque d'un point d'eau
    • 10 000 $+ – Piratage d’un site Web et installation de logiciels malveillants
  • Vulnérabilités du jour zéro
    • 30 000 $ à 70 000 $ – Windows LPE
    • 1 million de dollars et plus – Windows One Click RCE
    • 100 000 $ à 500 000 $ – Chrome RCE + LPE
  • Outils de tests d'intrusion (outils de piratage essentiellement légitimes,lorsqu'il est utilisé avec autorisation)
    • 30 000 $ à 40 000 $/an – Prix du marché noir pour Cobalt Strike
    • 15 000 $/an – Metasploit Pro
  • Outils d'administration à distance
    • 100 $ – Version modifiée de TeamViewer depuis le darknet
    • 3 000 $ – VNS cachés sur le darknet
  • Malware bancaire
    • 1 750 $ – Smoke Bot du darknet
  • Exploits
    • 10 000 $ – Pour l'augmentation des privilèges du système d'exploitation
    • 130 000 $ – Pour un outil permettant de tirer parti d'une vulnérabilité Zero Day dans Adobe Acrobat
  • Espionnage de logiciels malveillants
    • 1,6 million de dollars – Cadre de logiciel espion FinSpy
  • Certificats
    • 1 700 $ – Faux certificat de validation étendu
  • Outils faits maison
    • 30 000 $ à 35 000 $ – Logiciel personnalisé pour le retranchement et le mouvement latéral

La plupart de ces prix concernent des outils et des services haut de gamme qui n’ont jamais été utilisés en masse par les pirates informatiques. Cela les rend plus susceptibles de contourner les solutions antivirus et les méthodes de détection, ce qui augmente les chances de succès.

Au total, une tentative d’attaque APT pourrait facilement coûter des centaines de milliers de dollars. Tout le monde ne dispose pas de l’argent nécessaire pour s’introduire dans des entités ou des entreprises gouvernementales. Cela limite donc les personnes pouvant réellement lancer ce type d’attaques.

L'auteur

Même si votre pirate informatique ordinaire rêve de réaliser une attaque APT sophistiquée, cela est tout simplement hors de sa portée. Ils ont besoin d’une équipe derrière eux et de ressources importantes.

Historiquement, le terme menace persistante avancée a principalement été utilisé pour désigner des groupes liés aux États-nations. Rares sont ceux qui disposaient du soutien financier nécessaire, de la capacité organisationnelle et de l’impunité pour travailler au nom de leur gouvernement (et donc sous sa protection), à l’exception de ceux liés aux États-nations.

Les premiers APT nommés étaient les groupes soutenus par l’État chinois PLA 61398 (APT 1) et PLA 61486 (APT 2). Leurs activités étaient souvent axées sur l'espionnage industriel, ciblant notamment des nucléaire et aérospatial entreprises.

Des groupes liés à d'autres pays furent bientôt également nommés, notamment Ours fantaisie (APT 28), Chaton Hélix (APT 34), le Lazare Groupe (APT 38) et le Groupe d'équations . Ceux-ci ont respectivement des liens avec la Russie, l’Iran, la Corée du Nord et les États-Unis.

Si les groupes liés aux États-nations dominent la scène des APT, il existe également des acteurs de menace sophistiqués qui semblent agir uniquement dans un but lucratif et ne semblent pas avoir de liens avec un État.

Ceux-ci inclus Silence , qui a ciblé les banques du monde entier, volant des millions de dollars. Un autre exemple est le Groupe Carbonak , qui, selon Kaspersky, aurait volé plus d'un milliard de dollars.

Étapes d’attaque avancées contre les menaces persistantes (APT)

Les menaces persistantes avancées suivent généralement les mêmes schémas. Une fois que l’acteur malveillant a choisi sa cible, il commence par s’engager dans une reconnaissance minutieuse, déterminant les meilleurs moyens de pénétrer dans les systèmes, d’élargir son accès et d’atteindre son objectif, tout en échappant à la détection.

apt-4

Les étapes d’une menace persistante avancée. Cycle de vie avancé des menaces persistantes par Secureworks sous licence CC0 .

Définir la cible

La cible d’une APT dépend généralement de la nature du groupe qui la sous-tend. S’il s’agit d’un acteur malveillant uniquement motivé par des raisons financières, le groupe peut commencer le processus en analysant les institutions financières, les grandes entreprises et d’autres organisations à la recherche de faiblesses qu’il peut exploiter. puis choisir une cible en fonction de celle qui semble la plus simple, qui présente la plus grande récompense potentielle ou qui est la plus susceptible d'entraîner un retour sur investissement important. .

Les groupes liés aux États-nations peuvent se voir confier un objectif spécifique, comme « voler les plans de l'avion de nouvelle génération, afin que nous puissions procéder à une ingénierie inverse », ou « infiltrer le ministère de la Défense et surveiller les communications entre des individus de haut niveau ». '. Dans de telles situations, l’acteur menaçant devra examiner de près la cible, à la recherche des moindres faiblesses, et déterminer les tactiques qui l’aideront à réussir sa mission.

Alternativement, les APT peuvent se voir attribuer des objectifs plus larges, tels que « saboter des sites Web gouvernementaux critiques en réponse aux sanctions que le pays X vient d'annoncer à notre encontre », ou « infiltrer les agences gouvernementales et les grandes entreprises et voler toute information que nous pouvons utiliser à des fins de chantage ». .

Cette approche donne au groupe un peu plus de liberté, car il peut examiner plusieurs cibles et se concentrer ensuite sur celle qui semble la plus viable, ou envoyer des messages de spear phishing à des personnes appartenant à diverses entités, puis cibler celles qui réussissent.

Reconnaissance, planification et tests

Une fois la cible définie, l’étape suivante consiste à rechercher des informations qui aideront à planifier l’attaque. Plus un acteur malveillant en sait sur la cible, ses systèmes, ses défenses, ses méthodes de détection, ses actifs, ses employés et d’autres facteurs clés, mieux il peut planifier les étapes futures.

Si les acteurs malveillants connaissent les faiblesses du système, les mesures de sécurité, les outils de surveillance et même les éléments susceptibles de mécontenter les employés, cela leur donne un avantage qu’ils peuvent utiliser pour échapper à la détection et atteindre leurs objectifs.

Ces enquêtes initiales peuvent impliquer des recherches fondamentales telles que la consultation des sites Web des entreprises, des articles de presse et des pages LinkedIn ; jusqu'à l'analyse de la cible à la recherche de vulnérabilités. Elles pourraient également impliquer l’insertion d’agents dans l’organisation cible pour en extraire des informations, ou le renversement de ceux qui occupent déjà des postes clés au sein de l’organisation. Ceux qui ont une connaissance interne des systèmes et des faiblesses d’une organisation peuvent être une ressource extrêmement précieuse à ce stade. .

Une fois que l’acteur malveillant a suffisamment de connaissances sur sa cible, il peut commencer à planifier son attaque. Il peut utiliser les informations recueillies pour déterminer les meilleurs moyens d'infiltrer la cible, d'élargir son accès et d'atteindre son objectif, tout en restant indétectable.

Le processus de planification peut inclure :

  • Décider du vecteur d’attaque initial et de la manière dont il se déroulera pour atteindre l’objectif principal.
  • Constituer une équipe avec les compétences nécessaires.
  • Mise en place de toute infrastructure requise.
  • Acquérir tous les outils nécessaires, développer des logiciels personnalisés si nécessaire, acheter des vulnérabilités zero-day auprès d'autres groupes si nécessaire.

Avant le début de l’attaque, l’APT teste généralement ses outils et techniques pour s’assurer de leur efficacité. Ils peuvent également tenter de contourner les méthodes de détection de la cible pour voir si les différentes étapes de leur attaque pourront passer inaperçues.

Infiltrer la cible

Une fois qu’un acteur malveillant a élaboré un plan et jeté les bases, il est temps pour lui de passer aux étapes suivantes de l’attaque. Il convient de noter que, parfois, l’infiltration initiale peut même ne pas viser la cible principale.

L'acteur malveillant peut choisir d'infiltrer d'abord les fournisseurs, les partenaires commerciaux ou d'autres entités proches de sa cible, et d'utiliser cet accès pour se frayer un chemin vers son objectif global. .

Que ce soit la cible finale ou un intermédiaire qui soit attaqué en premier, le processus d’infiltration commence souvent par l’une des techniques suivantes, qui peuvent permettre à l’acteur menaçant de prendre pied :

  • Phishing et autres campagnes d'ingénierie sociale contre des personnes clés pour obtenir leurs qualifications.
  • Exploiter les failles de sécurité dans les réseaux, les applications ou les fichiers pour implanter des logiciels malveillants sur les systèmes cibles. Les cibles auront souvent de solides défenses en place, de sorte que l'APT devra peut-être utiliser des vulnérabilités zero-day.
  • Attirer les employés vers un site Web hébergeant des logiciels malveillants . S’ils visitent le site Web, cela peut déclencher des téléchargements de logiciels malveillants au sein du réseau de la cible.
  • Laisser les clés USB chargées de logiciels malveillants au bureau . Si un employé en branche un par curiosité, la clé USB peut automatiquement charger les fichiers malveillants.

L'un des points de départ les plus courants consiste à hameçonnage attaques qui ciblent des personnes importantes au sein de l’organisation. Ceux-ci sont généralement loin des e-mails de phishing que vous voyez parfois dans votre dossier spam.

N’oubliez pas qu’il s’agit d’attaques coûteuses qui visent à passer inaperçues. L’acteur malveillant ne va pas envoyer à tout le monde un message mal formulé et grammaticalement discutable et mettre la cible en état d’alerte. Plutôt, ces e-mails de phishing cibleront des individus spécifiques dont l'accès peut être utile dans les étapes ultérieures de l'attaque .

Les messages sont adaptés à chaque individu, utilisant les informations obtenues lors de la phase de reconnaissance pour rendre la tentative de phishing beaucoup plus crédible. L’objectif est souvent d’inciter la personne à remettre ses informations d’identification, et l’une des tactiques les plus courantes consiste à lui envoyer une alerte de sécurité frauduleuse l’invitant à modifier son mot de passe.

Lorsque la cible souhaite modifier son mot de passe, elle sera invitée à saisir ses coordonnées. Cependant, ils enverront simplement leurs informations d’identification directement à l’acteur menaçant. Une fois que l’APT dispose des informations d’identification d’une ou de plusieurs personnes, elle dispose de points d’accès par lesquels elle peut infiltrer la cible.

Extension de l'attaque

Prendre pied grâce à des logiciels malveillants ou au phishing n’est que la première étape. Il permet à l'attaquant de mettre en place un canal de communication depuis le réseau cible vers le serveur de commande et de contrôle, via lequel il peut envoyer des instructions supplémentaires et des logiciels malveillants supplémentaires qui intensifient l'attaque.

À partir de ce moment, l’acteur malveillant installera généralement un logiciel d’accès à distance au sein du réseau de la cible. Cela donne à l’APT une porte dérobée qui lui permet d’aller et venir à sa guise.

A ce stade, l’APT n’aura qu’un accès limité et ne pourra toujours pas se rendre là où elle doit être pour accomplir sa mission. Pour y arriver, il lui faut étendre son attaque. Cela implique plusieurs tactiques différentes :

  • Augmentation des privilèges – L’infiltration initiale ne peut donner à l’acteur menaçant qu’un accès de bas niveau. S'il a besoin d'accéder à d'autres comptes spécifiques ou à des privilèges d'administrateur, il peut commencer par collecter toutes les données dont il dispose, y compris les identifiants et les mots de passe. Si les mots de passe sont hachés, l'attaquant peut tenter de les déchiffrer en les forçant brutalement ou en utilisant tables arc-en-ciel . Alternativement, l'APT peut utiliser des exploits pour obtenir les niveaux d'accès plus élevés dont elle a besoin. Ces techniques permettent à l’acteur malveillant de pénétrer plus profondément dans le réseau, progressant lentement vers son objectif ultime.
  • Enquêter le réseau interne – Une fois que l’APT aura pénétré dans le réseau, elle se déplacera également latéralement, collectant des données et des informations sur l’infrastructure environnante. Il prendra le contrôle des serveurs, ordinateurs et autres infrastructures et collectera toutes les données qui pourraient être utiles. Il sonde le réseau à la recherche de davantage de vulnérabilités et installe d'autres portes dérobées pour lui permettre d'accéder facilement à diverses parties du réseau. Ces tunnels lui permettent également d'exfiltrer les données si nécessaire et garantissent que l'attaquant peut conserver l'accès, même si ses autres points d'entrée sont fermés par la cible.

Éviter la détection

Depuis les premières étapes de la détection d’une cible jusqu’à la finalisation d’une attaque, l’une des principales préoccupations d’une APT est d’échapper à la détection. Si la cible devient suspecte, elle peut renforcer sa sécurité, rendant la pénétration beaucoup plus difficile. Alternativement, il peut découvrir l’acteur menaçant au milieu de l’attaque et réussir à y mettre un terme, anéantissant potentiellement des mois de travail.

Les attaquants développent leurs techniques d'évasion en étudiant le réseau et ses outils de détection, puis en testant des moyens de les contourner sans sonner l'alarme. Certaines des façons les plus courantes par lesquelles ils cachent divers aspects de leur attaque comprennent :

  • Fragmentation paquets – Les auteurs de menaces peuvent transmettre des paquets de données en les regroupant dans des protocoles de paquets moins suspects, leur permettant ainsi de contourner les pare-feu et les systèmes de détection d'intrusion. Les paquets sont reconstruits après avoir traversé les mécanismes de sécurité.
  • Stéganographie – Cacher des données ou des logiciels malveillants dans des images et autres fichiers apparemment banals.
  • Évasion PHP – Réorganisation des caractères pour intégrer des portes dérobées dans le code des sites Web ou des applications Web.
  • Examen de l'activité de la souris – En recherchant des clics ou d'autres activités, les logiciels malveillants peuvent déterminer s'ils ont été ouverts dans l'environnement d'exploitation ciblé ou dans des systèmes virtualisés. Cela peut indiquer au logiciel malveillant s'il est exécuté dans un système d'analyse de logiciels malveillants, un bac à sable antivirus ou par un opérateur humain, et lui permettre d'agir en conséquence.
  • Obscurcir les origines de l'attaque – En masquant l’origine d’une attaque ou en donnant l’impression qu’elle provient d’un faux emplacement, l’attaquant peut contribuer à dissimuler son identité et ses intentions.
  • Utiliser d’autres attaques comme écrans de fumée – Il est beaucoup plus facile pour une APT de faire passer diverses parties de son attaque à l’équipe de sécurité de la cible si celle-ci est distraite par autre chose. Les auteurs de menaces lancent souvent des attaques DDoS et d’autres attaques contre leurs cibles, uniquement pour empêcher l’équipe de sécurité de remarquer ce qu’ils font réellement.

Remplir l’objectif initial

Une fois qu’un attaquant a sondé le réseau et obtenu l’accès dont il a besoin, l’étape suivante consiste à atteindre son objectif. À ce stade, il peut endommager ou prendre le contrôle de sites Web, détruire des données ou saboter d'autres infrastructures et actifs critiques .

Dans de nombreux cas, l’objectif est le vol de données. L’APT collectera donc chacune des bases de données précieuses identifiées lors de l’exploration du réseau, puis les transférera vers un endroit sécurisé à l’intérieur du réseau. Ces données seront généralement compressées et cryptées, prêtes à être exfiltrées. Les données sont ensuite secrètement envoyées vers un serveur sous le contrôle de l'APT , souvent au moment où une attaque par écran de fumée se déroule pour distraire l'équipe de sécurité.

Une fois les données transférées hors du réseau, la cible ne peut plus les garder hors de portée de l’APT. L’auteur de la menace éliminera généralement toute preuve de l’attaque, ce qui rendra plus difficile pour la cible de détecter la compromission ou de déterminer qui était l’attaquant. Une fois l’opération terminée, les acteurs malveillants conservent souvent leur accès au réseau, afin de pouvoir continuer à surveiller la cible et éventuellement lancer de nouvelles attaques à l’avenir.

Exemples de menaces persistantes avancées (APT)

Les menaces persistantes avancées sont principalement liées aux États-nations, mais certains groupes criminels bien organisés disposent également de capacités similaires. Il existe des dizaines d’APT nommées, mais nous nous en tiendrons à quelques exemples d’États-nations.

Même s’il peut sembler que ce type de menaces émane uniquement de pays perçus comme adversaires de l’Occident – ​​l’Iran, la Chine, la Corée du Nord, la Russie – ce n’est pas tout à fait vrai. Ce ne sont là que les acteurs menaçants dont nous avons tendance à entendre parler dans les médias occidentaux. Il existe également des APT dans Israël , France et bien d'autres pays.

Pour garder les choses relativement équilibrées, nous discuterons de l’unité PLA 61398 de la Chine et de l’Equation Group lié aux États-Unis.

Unité PLA 61398

Le premier groupe de menaces persistantes avancées numérotées était Unité PLA 61398 , connu sous le nom d'APT 1 et Comment Crew, parmi ses autres surnoms. L'APT est liée au gouvernement chinois, et en 2012, la société de cybersécurité Oeil de feu on estime qu'il a déjà attaqué plus de 1 000 organisations.

Ses victimes comprennent des acteurs des secteurs de la technologie, de la finance, des mines, des télécommunications, de l’industrie manufacturière, du transport maritime, de l’armement, de l’énergie et d’autres secteurs. Il a également ciblé les infrastructures critiques aux États-Unis, notamment les réseaux d’adduction d’eau et d’électricité. Certains de ses plus grand nom les victimes comprennent Coca Cola, la société de sécurité RSA, Lockheed Martin et Telvent.

L'unité PLA 61398 est active depuis au moins 2002. Même si la plupart de ses victimes étaient originaires des États-Unis, ses cibles comprenaient également organismes gouvernementaux au Vietnam, en Corée du Sud, à Taiwan et au Canada. Selon Mandiant , il volait souvent des informations sur les processus de fabrication, les résultats des tests cliniques, les stratégies de négociation, les plans technologiques, les documents de tarification et d'autres informations exclusives.

Un exemple du modus operandi du groupe a été discuté par le New York Times . Coca-Cola était au milieu d'une offre d'acquisition sur le China Huiyuan Juice Group, d'une valeur de 2,4 milliards de dollars. Durant le processus de négociation, L'unité PLA 61398 fouillait dans les ordinateurs des dirigeants de Coca-Cola pour tenter de découvrir la stratégie de l'entreprise. .

L’attaque a débuté par une tentative de spearphishing, qui a conduit l’un des dirigeants de Coca-Cola à cliquer sur un lien malveillant. Cela donne au groupe sa porte d’entrée dans le réseau de Coca-Cola. Une fois installé, il a réussi à collecter et à renvoyer des fichiers confidentiels en Chine chaque semaine, sans se faire remarquer.

Il peut être complexe d’attribuer des attaques à un acteur menaçant particulier. Malgré cela, il est presque certain que l'unité PLA 61398 est à l'origine de l'attaque de Coca-Cola et de nombreuses autres attaques qui y sont liées. Après avoir suivi les attentats pendant plus de six ans, Mandiant a constaté que les adresses IP et d'autres preuves pointaient vers le district de Pudong à Shanghai, où se trouve le siège de l'unité PLA 61398.

Le rapport de la société ne laissait guère de doute dans ses conclusions quant à l’identité de la partie responsable. Bien qu’il admette « une autre possibilité improbable » :

Une organisation secrète dotée de ressources et composée de locuteurs de chinois continental ayant un accès direct à l’infrastructure de télécommunications basée à Shanghai est engagée dans une campagne d’espionnage informatique à l’échelle de l’entreprise sur plusieurs années juste devant les portes de l’unité 61398, accomplissant des tâches similaires à la mission connue de l’unité 61398.

Bien sûr, une telle idée est fantaisiste, et de nombreuses autres confirment les conclusions de Mandiant :

  • Sénateur Mike Rogers , l’ancien président de la commission du renseignement de la Chambre des représentants a déclaré que le rapport Mandiant était « tout à fait cohérent avec le type d’activité à laquelle la commission du renseignement est confrontée depuis un certain temps ».
  • Le Institut Projet 2049 , une ONG qui se concentre sur les questions de sécurité et de politique asiatiques, a décrit l'unité PLA 61398 comme la « première entité du Troisième Département [une branche de l'armée chinoise chargée de surveiller les communications étrangères] ciblant les États-Unis et le Canada, se concentrant très probablement sur les questions politiques, économiques, et le renseignement militaire ».

Les États-nations ont tendance à être un peu timides lorsqu’ils admettent leurs cyber-fraudes, et responsables chinois Dans un premier temps, ils ont balayé ces accusations avec des déclarations telles que : « La Chine s’oppose résolument aux actions de piratage informatique, a établi des lois et réglementations pertinentes et a pris des mesures strictes d’application de la loi pour se défendre contre les activités de piratage en ligne. »

APT-3

F BI — Cinq pirates informatiques militaires chinois accusés de cyberespionnage contre les États-Unis par le FBI sous licence CC0 .

Bien que le gouvernement chinois n’ait toujours admis aucune attaque individuelle, il a reconnu en 2015 l’existence d’attaques individuelles. existence d'unités de cyberguerre . Bien entendu, cela n'a pas été une surprise pour les autorités américaines, qui avaient déjà a inculpé cinq officiers de l'unité 61398 de l'APL par rapport aux attentats.

Groupe d'équations

Si jamais vous doutez à quel point les APT peuvent être secrètes, ne cherchez pas plus loin que le groupe Equation qui s'est caché dans l'ombre pendant plus de 14 ans avant qu'il ne soit révélé publiquement. Non, il ne s’agissait pas d’une petite entreprise hétéroclite volant quelques milliers de numéros de carte de crédit à la fois, il s’agissait d’un acteur malveillant décrit par Kaspersky comme surpassant « tout ce qui est connu en termes de complexité et de sophistication des techniques ».

Selon Le rapport de Kaspersky , le groupe pourrait avoir infecté des dizaines de milliers de victimes à travers le monde, et ce depuis au moins 2001. Ses cibles incluent des agences et institutions gouvernementales, des militants et des universitaires islamiques, des entreprises qui développent des technologies de cryptage, des sociétés de télécommunications, pétrolières et gazières, des organisations de masse. les médias, les infrastructures de transport, l’armée, les institutions financières et autres.

Même si la société de sécurité a caché de nombreux détails pour protéger les victimes, elle a révélé à quel point le groupe était puissant. Le groupe Equation a eu accès à plusieurs vulnérabilités Zero Day avant que les acteurs de la menace derrière Stuxnet et Flamme .

Non seulement cela implique que le groupe Equation collabore avec certaines des organisations de piratage les plus puissantes au monde, mais cela suggère également que le groupe Equation est supérieur.

En tant que l’une des principales organisations de piratage informatique, Equation Group disposait d’une grande variété de techniques à sa disposition. Certaines de ses astuces les plus intéressantes incluent :

  • Interception de CD envoyés par les organisateurs d'une conférence scientifique et installation de logiciels malveillants dessus. Lorsque les participants ont reçu leurs CD, ils ont supposé qu'il s'agissait simplement de photos de la conférence. Cependant, une fois qu'ils ont exécuté ces CD apparemment inoffensifs sur leurs ordinateurs, ils ont installé l’implant DoubleFantasy d’Equation Group, donnant à l’acteur menaçant une ouverture sur les systèmes de la cible .
  • Le ver Fanny a utilisé deux exploits Zero Day pour cartographier les réseaux isolés, tels que ceux situés dans des environnements très sensibles tels que les systèmes informatiques financiers et militaires. Lorsqu’une clé USB infectée était branchée sur un PC interconnecté infecté par Fanny, le groupe Equation pouvait enregistrer les commandes sur la zone de stockage cachée de la clé USB. Lorsque la même clé USB était rebranchée sur un ordinateur isolé, Fanny exécutait les commandes.
  • Le module nls_933w.dll a permis à Equation Group de reprogrammer le micrologiciel de disque dur dans plus d'une douzaine de marques courantes . Il s'agissait notamment de Toshiba, IBM, Seagate, Maxtor et Western Digital.

On pense que l’Equation Group est lié à la National Security Agency (NSA) des États-Unis. Plus précisement, F-Secure estime qu’il est associé au Bureau des opérations d’accès sur mesure (TAO) de l’agence, qui a depuis été rebaptisé Computer Network Operations.

En effet, Der Spiegel a publié des extraits de la NSA affirmant que le TAO avait accès à un outil connu sous le nom d'IRATEMONK. Le module micrologiciel du disque dur d’Equation Group comporte de nombreux composants similaires, ce qui a conduit F-Secure à conclure le lien entre les deux entités.

Une autre preuve d’association est le lien entre les attaques du groupe Equation et Stuxnet, qui est largement attribué aux États-Unis. Il existe également des horodatages analysés par Kaspersky cela implique que le groupe à l'origine des attaques avait des horaires de travail du lundi au vendredi conformes à ceux de la côte est des États-Unis. Il existe plusieurs autres indicateurs de liens entre les deux, mais la politique empêche souvent les entreprises de cybersécurité de nommer directement les responsables.

Comment savoir si votre organisation est attaquée par une menace persistante avancée (APT) ?

Les APT sont des attaques complexes soigneusement conçues pour atteindre leurs objectifs sans être détectées. Il est donc incroyablement difficile de savoir quand ces attaques se produisent réellement. Cependant, certains événements courants peuvent vous alerter sur la présence d’une APT. Ceux-ci inclus:

E-mails de spearphishing sophistiqués

Les APT démarrent souvent leurs attaques par des e-mails de spearphishing, donc une légère augmentation de ces messages peut être un signe. Si les e-mails de spearphishing ciblent des employés ayant un accès de haut niveau aux systèmes de votre organisation, cela peut constituer un indicateur encore plus fort.

Des e-mails de phishing plus génériques ne sont pas nécessairement le signe d’une menace persistante avancée. Si l'e-mail dit simplement « Hé, regarde cette vidéo sympa ! » et vous relie à un site Web malveillant, votre organisation n’a probablement pas trop à s’inquiéter. Les e-mails comme celui-ci sont trop évidents et ont peu de chances de succès, ce qui représente un risque important pour un attaquant qui tente de garder discrètes ses tentatives de pénétration.

Au lieu de cela, vous devriez être à l’affût de messages plus sophistiqués. Accordez une attention particulière à ceux qui sont individualisés en fonction du destinataire ciblé. S’ils contiennent des informations internes à l’entreprise qui ne sont pas accessibles au public, cela indique que celui qui les envoie a investi beaucoup de temps et d’argent dans l’enquête sur votre organisation et ses faiblesses. Cela peut être le signe qu’une APT tente de pénétrer votre réseau.

Vous devez être particulièrement prudent lorsque vous rencontrez des messages de spearphishing adressés aux administrateurs système, aux PDG, aux RSSI et à d’autres personnes clés. Si votre organisation remarque des messages comme celui-ci, vous devez être à l’affût d’autres signes d’une APT déjà présente ou tentant de pénétrer dans votre réseau.

Connexions nocturnes

Les APT ciblent souvent des pays éloignés situés dans des fuseaux horaires différents. Malgré cela, de nombreux pirates informatiques impliqués dans ces campagnes travaillent à des horaires relativement normaux dans leur propre pays. Le décalage horaire entre le pays ciblé et l’origine de l’APT peut amener les pirates informatiques à tenter d’y accéder à des heures étranges, souvent tard dans la nuit ou tôt le matin.

Si votre entreprise commence à remarquer une augmentation inhabituelle des tentatives de connexion à ces heures-là, cela pourrait être un autre indice qu'une APT tente d'infiltrer votre réseau. Bien entendu, ces mêmes signes pourraient simplement indiquer que des employés travaillent tard pour respecter les délais ou qu'un attaquant aux moyens plus modestes tente de se frayer un chemin. Néanmoins, les organisations doivent toujours se méfier, surtout si les connexions nocturnes sont combinées à d'autres facteurs. indicateurs.

chevaux de Troie

Les APT installent souvent plusieurs chevaux de Troie dans différentes parties du réseau d’une organisation pour faciliter l’accès à différentes parties. Ils les utilisent également comme redondances, juste au cas où d'autres formes d'accès au réseau seraient bloquées. S’ils ne disposaient que d’un seul point d’entrée, des mois de leur travail pourraient être facilement annulés si l’équipe de sécurité de la cible le découvre.

Même si un seul cheval de Troie ne signifie certainement pas que vous êtes attaqué par une APT (après tout, la plupart d'entre nous en ont probablement rencontré quelques-uns lorsque nous maîtrisions moins Internet), plusieurs points d'entrée dans des parties disparates de votre réseau pourraient être un autre indicateur. .

Flux de données et agrégats inattendus

Les APT transfèrent souvent de grandes quantités de données au sein d’un réseau ciblé, mais également en externe afin de pouvoir les voler. Les organisations doivent faire attention à ces flux de données inattendus et y mettre un terme si elles remarquent quelque chose de néfaste. Ces gros volumes de données peuvent voyager entre les clients, les serveurs ou les réseaux, et ils doivent se distinguer des transferts de données de base de votre organisation. .

Si les organisations veulent pouvoir détecter ces transferts de données non autorisés, elles doivent savoir à quoi ressemblent leurs transferts de données dans des circonstances normales.

Avant qu’une APT ne vole des données sur le réseau de votre organisation, elle les regroupe souvent en interne dans des bundles. Ils placeront des gigaoctets de données là où ils ne sont normalement pas censés se trouver en vue de leur exfiltration. Si vous remarquez ces grandes réserves de données dans des endroits étranges, vous avez peut-être un APT entre les mains.

Comment se défendre contre les menaces persistantes avancées (APT)

Se défendre contre les menaces persistantes avancées est aussi difficile que possible. Ils sont bien financés, possèdent des compétences sophistiquées, d’énormes capacités organisationnelles et les outils les plus récents. Oui ous devez faire preuve d’une diligence incroyable pour protéger votre organisation contre ces menaces.

Comme tous les plans de défense en matière de cybersécurité, la protection de votre organisation contre une APT commence par une analyse. Vous devez faire le point sur les atouts de votre entreprise, ses défenses actuelles, ses principales faiblesses et les cibles les plus probables.

Vous devez également examiner les incidents APT antérieurs, en particulier ceux de votre secteur et ceux qui ciblent des organisations ayant des configurations similaires à la vôtre. Comprendre certaines des techniques et menaces les plus courantes du passé peut vous aider à déterminer un système de défense plus approprié pour l’avenir.

Une fois que vous avez fait le point sur la situation actuelle de votre entreprise et sur les menaces les plus probables, vous pouvez commencer à mettre en œuvre un plan complet de protection contre ces menaces. De nombreux concepts de cybersécurité les plus élémentaires restent essentiels pour se défendre contre ces attaques.

Voici comment vous défendre contre les APT :

  • Mettez à jour tous les logiciels dès que possible .
  • Implémentez l’authentification à deux facteurs partout . Les jetons physiques et les applications d'authentification sont bien plus sécurisés que la vérification par SMS.
  • Utiliser le principe du moindre privilège lors de la configuration de l’accès des employés . Autorisez-les uniquement à accéder aux ressources dont ils ont réellement besoin pour leurs tâches quotidiennes et pas plus. Augmentez ou diminuez leur accès à mesure que leurs rôles changent, et supprimez l'accès aux sous-traitants et aux anciens employés dès que cela n'est plus nécessaire.
  • Appliquer une solution forte et unique les mots de passe pour chacun des comptes de vos employés . Les gestionnaires de mots de passe sont probablement le meilleur moyen pour vos employés de les suivre tous en toute sécurité.
  • Mettre en œuvre des systèmes de détection d'intrusion ou des systèmes de prévention des intrusions .
  • Configurez votre pare-feu en toute sécurité.
  • Exécutez des solutions antivirus appropriées.
  • Conservez des sauvegardes sécurisées des données hors site.
  • Utilisez un système de journalisation qui envoie des alertes lorsqu'il détecte des éléments suspects comportement.
  • Éduquez vos employés sur les plus grandes menaces et sur leur rôle pour s'en défendre. L’une des plus importantes consiste à les former contre les attaques d’ingénierie sociale, y compris les escroqueries avancées par phishing que nous avons mentionnées dans la section précédente.

Ces principes de base contribueront grandement à protéger votre organisation contre les menaces moins sophistiquées, et ils gêneront certainement les APT. Cependant, ils ne suffisent pas à vous protéger complètement contre des attaques aussi avancées.

Les APT ont de fortes capacités OPSec et, parallèlement à des techniques telles que des formes de malware inédites et des exploits Zero Day, ces acteurs malveillants peuvent être incroyablement difficiles à détecter et à arrêter.

Cependant, le trafic entre leurs logiciels malveillants et le serveur de commande et de contrôle a tendance à rester cohérent. Cela signifie que l’un des meilleurs moyens de détecter et de se défendre contre les APT consiste à détecter le réseau. L'identification des indicateurs réseau provenant des APT nécessite des renseignements préalables sur les menaces, mais en extrapolant sur les caractéristiques et les méthodes des auteurs de menaces connus, cela peut également aider à se protéger contre les menaces inconnues.

Minimiser le temps de pause

En fin de compte, les organisations souhaitent pouvoir détecter les APT le plus rapidement possible. Plus ils persistent, plus ils peuvent infliger de dégâts et plus l'attaque finira par coûter cher à votre entreprise. Le délai entre le moment où un attaquant effectue son intrusion dans le réseau et le moment où une attaque est stoppée est appelé le temps d'évasion .

Une fois que l’APT a fait son chemin, elle se déplace latéralement et augmente ses privilèges jusqu’à atteindre son objectif. Chaque instant est donc critique. Si votre organisation souhaite se protéger contre les APT, elle doit limiter autant que possible le temps d’évasion.

Cela signifie qu’il faut mettre en place des systèmes d’alerte précoce, tels que la détection de réseau mentionnée ci-dessus, ainsi qu’une gamme d’autres outils de surveillance. Elle doit disposer d’équipes hautement qualifiées et coordonnées, capables d’enquêter rapidement et de répondre aux menaces dès qu’elles sont détectées.

Même s’il est impossible pour votre organisation d’être protégée à 100 % contre les APT, des pratiques de sécurité complètes, des méthodes de détection avancées et une équipe de réponse rapide aux menaces contribueront grandement à réduire les risques.

^