Menace persistante avancée (APT)
Une menace persistante avancée, ou APT (Advanced Persistent Threat), est une cyberattaque prolongée et ciblée par laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une longue période. Une attaque APT vise généralement à surveiller l'activité réseau et à voler des données plutôt qu'à porter atteinte au réseau ou à l'organisation.
Sont particulièrement ciblés les secteurs tels que la défense nationale, l'industrie et la finance, où les informations sont d'une valeur capitale (propriété intellectuelle, plans militaires et autres données issues des pouvoirs publics et des entreprises).
La plupart des APT cherchent à obtenir un accès permanent au réseau visé plutôt qu'à y entrer et en sortir le plus rapidement possible. Compte tenu des efforts et des ressources à déployer pour perpétrer des attaques APT, les pirates choisissent des cibles à forte valeur, comme les États-nations et les grandes entreprises, leur but ultime étant de voler des informations sur une longue durée.
Pour s'infiltrer, les groupes APT adoptent souvent des modes d'attaque évolués, notamment les vulnérabilités « zero-day » (« jour zéro »), le hameçonnage ciblé (« spear phishing ») et d'autres techniques d'ingénierie sociale. Pour conserver l'accès au réseau ciblé sans se faire repérer, les pirates multiplient les méthodes. Ils doivent notamment réécrire du code malveillant en permanence et déployer des techniques de dissimulation sophistiquées. Certaines menaces APT sont si complexes que la gestion des systèmes et logiciels compromis occupe un administrateur à temps plein.
Les raisons qui incitent les pirates à mettre en oeuvre des menaces persistantes avancées sont nombreuses. Soutenus par des États-nations, ils peuvent par exemple chercher à dérober une propriété intellectuelle afin d'acquérir un avantage concurrentiel dans certaines industries. La distribution d'énergie, les télécommunications ainsi que d'autres systèmes d'infrastructure, les réseaux sociaux, les sociétés média et les cibles électorales et politiques en sont souvent les victimes. Des groupes du crime organisé peuvent également recourir aux menaces APT pour acquérir des informations qui leur serviront à mener des actes criminels par pur appât du gain.
Si les attaques APT sont difficiles à détecter, le vol de données n'est jamais totalement invisible. L'exfiltration de données risque toutefois d'être le seul indice prouvant l'attaque subie par un réseau. Les professionnels de la cybersécurité s'emploient à détecter les anomalies dans les données sortantes pour savoir si le réseau a subi une attaque APT.
Fonctionnement d'une attaque APT
Les pirates perpétrant des attaques APT suivent les étapes majeures ci-dessous, dans l'ordre, pour obtenir un accès permanent à un réseau ciblé :
- Accéder au réseau : pour atteindre une cible, les groupes APT visent les systèmes via Internet, en envoyant un message d'hameçonnage électronique ciblé ou en exploitant une faille de sécurité qui leur permet d'insérer un logiciel malveillant.
- Etablir un point d'ancrage : une fois l'accès à la cible établi, les pirates peuvent approfondir leur exploration et commencer à exploiter le logiciel malveillant qu'ils ont installé pour créer des réseaux de portes dérobées et de tunnels qui les aideront à passer inaperçus lors de leurs déplacements. Les APT peuvent s'appuyer sur des techniques malveillantes de pointe, telles que la réécriture de code pour effacer leurs traces.
- Etendre l'attaque : une fois infiltrés dans le réseau ciblé, les acteurs APT peuvent notamment percer un mot de passe pour obtenir des droits d'administration qui leur permettront de mieux contrôler le système et d'accéder à d'autres niveaux.
- Se déplacer latéralement : après violation des systèmes cibles et obtention des droits d'administration, ils peuvent alors se déplacer à volonté dans le réseau d'entreprise. De plus, ils peuvent tenter d'accéder à d'autres serveurs ou à d'autres zones sécurisées du réseau.
- Déployer l'attaque : à ce stade, les pirates centralisent, chiffrent et compressent les données de façon à les exfiltrer.
- Exfiltrer les données : les pirates recueillent les données et les transfèrent vers leur propre système.
- Conserver l'accès sans se faire repérer : les cybercriminels peuvent répéter ce processus sur de longues périodes tout en restant invisibles, ou ils peuvent créer une porte dérobée afin d'accéder de nouveau au système à leur gré.
Contrairement aux cyberattaques plus ordinaires, les campagnes APT ont recours à des méthodes personnalisées en fonction de la cible à atteindre, plutôt qu'à des outils plus génériques conçus pour toucher un maximum de victimes. Les campagnes APT sévissent généralement sur de plus longues périodes que les attaques ordinaires, celles-ci étant plus évidentes et donc plus faciles à contrecarrer.
Exemples d'attaques persistantes avancées
Les campagnes APT portent généralement le nom de ceux qui les ont découvertes. Cependant, bon nombre d'entre elles ayant été détectées par plusieurs chercheurs, il arrive qu'elles soient connues sous différents noms.
Voici quelques exemples :
- Sykipot fait référence à une série d'attaques malveillantes de type APT exploitant des failles d'Adobe Reader et Acrobat. Détectées pour la première fois en 2006, les attaques se sont poursuivies jusqu'en 2013. Les nombreuses cyberattaques menées visaient principalement les entreprises américaines et britanniques, en particulier les organismes gouvernementaux, les entreprises de défense et les sociétés de télécommunications. Les pirates recouraient à l'hameçonnage électronique de façon à inclure des liens et des pièces jointes contenant des attaques zéro jour dans des messages ciblés.
- GhostNet est le nom d'une opération de cyber-espionnage découverte en 2009. Lancées depuis la Chine, les attaques reposaient sur des messages d'hameçonnage électronique accompagnés de pièces jointes malveillantes. Des ordinateurs de plus de 100 pays en ont été les victimes. Les hackers cherchaient principalement à accéder aux réseaux des ministères et des ambassades. Ces attaques leur permettaient de commander les dispositifs piratés et de les transformer en systèmes d'écoute et d'enregistrement en activant à distance leurs caméras et leurs capacités audio.
- Le ver Stuxnet, dont le but était de contaminer le programme nucléaire iranien, a été détecté en 2010 par des experts en cybersécurité. A l'heure actuelle, il est reconnu comme l'un des malwares les plus sophistiqués détectés à ce jour. Il visait les systèmes SCADA (Supervisory Control and Data Acquisition) et se propageait par le biais de clés USB infectées. Les États-Unis et Israël ont tous deux été impliqués dans le développement de Stuxnet. Si aucune des deux nations n'a officiellement reconnu son rôle dans le développement du ver, des confirmations officieuses attestent de leur responsabilité.
- APT29, dit également Cozy Bear, est un groupe de hackers russes impliqués dans un grand nombre d'attaques, notamment une attaque par hameçonnage électronique visant le Pentagone en 2015, et une autre en 2016 dirigée à l'encontre du Comité national démocrate.
- APT28, groupe de hackers russes connu également sous les noms de Fancy Bear, Pawn Storm, Sofacy Group et Sednit, a été identifié pour la première fois par les chercheurs en sécurité de Trend Micro en 2014. APT28 a été lié à des attaques menées contre des cibles militaires et gouvernementales d'Europe de l'Est, notamment en Ukraine et en Géorgie. Ce groupe a également été à l'origine de campagnes visant des organisations de l'OTAN et des entreprises de défense américaines.
- APT34, groupe de cyber-espions iraniens, n'a été identifié qu'en 2017 par les chercheurs en sécurité de FireEye, alors qu'il était actif depuis au moins 2014. Les attaques se sont essentiellement concentrées sur des pays du Moyen-Orient, dans des secteurs aussi variés que la finance, les pouvoirs publics, l'énergie, les télécommunications ou encore l'industrie chimique.
- APT37, connu également sous les noms de Reaper, StarCruft et Group 123, est un groupe de pirates d'élite à la solde de la Corée du Nord qui serait actif depuis environ 2012. Ce groupe a perpétré plusieurs attaques d'hameçonnage électronique en exploitant une vulnérabilité zéro jour dans Adobe Flash.
Les menaces persistantes avancées n'ont rien de nouveau, et bon nombre d'entre elles ont été détectées dès le début des années 2000. Elles remontent à 2003, lorsque des pirates basés en Chine ont lancé l'opération Titan Rain contre des cibles des pouvoirs publics américains dans le but de dérober des secrets d'Etat hautement confidentiels. Les cyber-espions visaient des données militaires ciblées et ont lancé des attaques APT à l'encontre de systèmes très pointus des agences gouvernementales, dont la NASA et le FBI. Les experts en cybersécurité ont attribué ces attaques à l'armée de libération du peuple chinois.
Caractéristiques des menaces persistantes avancées
Les attaques APT partagent souvent des caractéristiques communes, symboles du haut degré de planification et de coordination nécessaires à la violation de cibles de haute valeur.
Par exemple, ces attaques sont pour la plupart perpétrées en plusieurs phases : il faut accéder au réseau, s'y implanter et étendre l'accès, puis tout faire pour rester le plus discret possible jusqu'à ce que l'objectif de l'attaque soit atteint.
Les menaces APT se distinguent également par la multitude de leurs points d'attaque. Elles tendent en principe à établir plusieurs points d'entrée sur les réseaux ciblés, de façon à pouvoir conserver l'accès, même en cas de détection de l'activité malveillante et de déclenchement de mesures de réaction face à l'incident. Les défenseurs de la cybersécurité ne barrent alors qu'un seul axe d'attaque.
Détection des APT
Certains signes avant-coureurs, bien que difficiles à détecter, peuvent laisser présager l'existence d'une APT. Une fois ciblée par une APT, une organisation peut remarquer quelques symptômes, à savoir :
- une activité inhabituelle sur les comptes des utilisateurs ;
- l'utilisation intempestive d'un logiciel malveillant de type cheval de Troie par une porte dérobée, méthode permettant aux APT de conserver l'accès ;
- une activité erratique ou étrange dans la base de données, telle qu'une augmentation soudaine d'opérations impliquant de considérables volumes de données ;
- la présence de fichiers de données inhabituels, laissant supposer que des données ont été regroupées dans des fichiers pour en faciliter l'exfiltration.
La détection d'anomalies dans les données sortantes est probablement le meilleur moyen dont les spécialistes de la cybersécurité disposent, pour déterminer si un réseau a été la cible d’une attaque APT.