Menace persistante avancée (APT)

Fonctionnement d'une attaque APT

Les pirates perpétrant des attaques APT suivent les étapes majeures ci-dessous, dans l'ordre, pour obtenir un accès permanent à un réseau ciblé :

• Accéder au réseau : pour atteindre une cible, les groupes APT visent les systèmes via Internet, en envoyant un message d'hameçonnage électronique ciblé ou en exploitant une faille de sécurité qui leur permet d'insérer un logiciel malveillant.
• Etablir un point d'ancrage : une fois l'accès à la cible établi, les pirates peuvent approfondir leur exploration et commencer à exploiter le logiciel malveillant qu'ils ont installé pour créer des réseaux de portes dérobées et de tunnels qui les aideront à passer inaperçus lors de leurs déplacements. Les APT peuvent s'appuyer sur des techniques malveillantes de pointe, telles que la réécriture de code pour effacer leurs traces.
• Etendre l'attaque : une fois infiltrés dans le réseau ciblé, les acteurs APT peuvent notamment percer un mot de passe pour obtenir des droits d'administration qui leur permettront de mieux contrôler le système et d'accéder à d'autres niveaux.
• Se déplacer latéralement : après violation des systèmes cibles et obtention des droits d'administration, ils peuvent alors se déplacer à volonté dans le réseau d'entreprise. De plus, ils peuvent tenter d'accéder à d'autres serveurs ou à d'autres zones sécurisées du réseau.
• Déployer l'attaque : à ce stade, les pirates centralisent, chiffrent et compressent les données de façon à les exfiltrer.
• Exfiltrer les données : les pirates recueillent les données et les transfèrent vers leur propre système.
• Conserver l'accès sans se faire repérer : les cybercriminels peuvent répéter ce processus sur de longues périodes tout en restant invisibles, ou ils peuvent créer une porte dérobée afin d'accéder de nouveau au système à leur gré.

Contrairement aux cyberattaques plus ordinaires, les campagnes APT ont recours à des méthodes personnalisées en fonction de la cible à atteindre, plutôt qu'à des outils plus génériques conçus pour toucher un maximum de victimes. Les campagnes APT sévissent généralement sur de plus longues périodes que les attaques ordinaires, celles-ci étant plus évidentes et donc plus faciles à contrecarrer.

Exemples d'attaques persistantes avancées

Les campagnes APT portent généralement le nom de ceux qui les ont découvertes. Cependant, bon nombre d'entre elles ayant été détectées par plusieurs chercheurs, il arrive qu'elles soient connues sous différents noms.

Voici quelques exemples :

• Sykipot fait référence à une série d'attaques malveillantes de type APT exploitant des failles d'Adobe Reader et Acrobat. Détectées pour la première fois en 2006, les attaques se sont poursuivies jusqu'en 2013. Les nombreuses cyberattaques menées visaient principalement les entreprises américaines et britanniques, en particulier les organismes gouvernementaux, les entreprises de défense et les sociétés de télécommunications. Les pirates recouraient à l'hameçonnage électronique de façon à inclure des liens et des pièces jointes contenant des attaques zéro jour dans des messages ciblés.
• GhostNet est le nom d'une opération de cyber-espionnage découverte en 2009. Lancées depuis la Chine, les attaques reposaient sur des messages d'hameçonnage électronique accompagnés de pièces jointes malveillantes. Des ordinateurs de plus de 100 pays en ont été les victimes. Les hackers cherchaient principalement à accéder aux réseaux des ministères et des ambassades. Ces attaques leur permettaient de commander les dispositifs piratés et de les transformer en systèmes d'écoute et d'enregistrement en activant à distance leurs caméras et leurs capacités audio.
• Le ver Stuxnet, dont le but était de contaminer le programme nucléaire iranien, a été détecté en 2010 par des experts en cybersécurité. A l'heure actuelle, il est reconnu comme l'un des malwares les plus sophistiqués détectés à ce jour. Il visait les systèmes SCADA (Supervisory Control and Data Acquisition) et se propageait par le biais de clés USB infectées. Les États-Unis et Israël ont tous deux été impliqués dans le développement de Stuxnet. Si aucune des deux nations n'a officiellement reconnu son rôle dans le développement du ver, des confirmations officieuses attestent de leur responsabilité.
• APT29, dit également Cozy Bear, est un groupe de hackers russes impliqués dans un grand nombre d'attaques, notamment une attaque par hameçonnage électronique visant le Pentagone en 2015, et une autre en 2016 dirigée à l'encontre du Comité national démocrate.
• APT28, groupe de hackers russes connu également sous les noms de Fancy Bear, Pawn Storm, Sofacy Group et Sednit, a été identifié pour la première fois par les chercheurs en sécurité de Trend Micro en 2014. APT28 a été lié à des attaques menées contre des cibles militaires et gouvernementales d'Europe de l'Est, notamment en Ukraine et en Géorgie. Ce groupe a également été à l'origine de campagnes visant des organisations de l'OTAN et des entreprises de défense américaines.
• APT34, groupe de cyber-espions iraniens, n'a été identifié qu'en 2017 par les chercheurs en sécurité de FireEye, alors qu'il était actif depuis au moins 2014. Les attaques se sont essentiellement concentrées sur des pays du Moyen-Orient, dans des secteurs aussi variés que la finance, les pouvoirs publics, l'énergie, les télécommunications ou encore l'industrie chimique.
• APT37, connu également sous les noms de Reaper, StarCruft et Group 123, est un groupe de pirates d'élite à la solde de la Corée du Nord qui serait actif depuis environ 2012. Ce groupe a perpétré plusieurs attaques d'hameçonnage électronique en exploitant une vulnérabilité zéro jour dans Adobe Flash.

Les menaces persistantes avancées n'ont rien de nouveau, et bon nombre d'entre elles ont été détectées dès le début des années 2000. Elles remontent à 2003, lorsque des pirates basés en Chine ont lancé l'opération Titan Rain contre des cibles des pouvoirs publics américains dans le but de dérober des secrets d'Etat hautement confidentiels. Les cyber-espions visaient des données militaires ciblées et ont lancé des attaques APT à l'encontre de systèmes très pointus des agences gouvernementales, dont la NASA et le FBI. Les experts en cybersécurité ont attribué ces attaques à l'armée de libération du peuple chinois.

Caractéristiques des menaces persistantes avancées

Les attaques APT partagent souvent des caractéristiques communes, symboles du haut degré de planification et de coordination nécessaires à la violation de cibles de haute valeur.

Par exemple, ces attaques sont pour la plupart perpétrées en plusieurs phases : il faut accéder au réseau, s'y implanter et étendre l'accès, puis tout faire pour rester le plus discret possible jusqu'à ce que l'objectif de l'attaque soit atteint.

Les menaces APT se distinguent également par la multitude de leurs points d'attaque. Elles tendent en principe à établir plusieurs points d'entrée sur les réseaux ciblés, de façon à pouvoir conserver l'accès, même en cas de détection de l'activité malveillante et de déclenchement de mesures de réaction face à l'incident. Les défenseurs de la cybersécurité ne barrent alors qu'un seul axe d'attaque.

Détection des APT

Certains signes avant-coureurs, bien que difficiles à détecter, peuvent laisser présager l'existence d'une APT. Une fois ciblée par une APT, une organisation peut remarquer quelques symptômes, à savoir :

• une activité inhabituelle sur les comptes des utilisateurs ;
• l'utilisation intempestive d'un logiciel malveillant de type cheval de Troie par une porte dérobée, méthode permettant aux APT de conserver l'accès ;
• une activité erratique ou étrange dans la base de données, telle qu'une augmentation soudaine d'opérations impliquant de considérables volumes de données ;
• la présence de fichiers de données inhabituels, laissant supposer que des données ont été regroupées dans des fichiers pour en faciliter l'exfiltration.

La détection d'anomalies dans les données sortantes est probablement le meilleur moyen dont les spécialistes de la cybersécurité disposent, pour déterminer si un réseau a été la cible d’une attaque APT.