Accueil
Thèmes
Menaces persistantes avancées
Publié le 3 avril 2024
Contributeurs : Gregg Lindemulder, Amber Forrest
Les menaces persistantes avancées (APT) sont des cyberattaques indétectables conçues pour voler des données sensibles, mener du cyberespionnage ou saboter des systèmes critiques sur une longue période. Contrairement à d'autres cybermenaces comme les ransomwares, l'objectif d'un groupe d'attaques APT est de rester inaperçu tout en infiltrant et étendant sa présence au sein d'un réseau cible.
Des équipes de cybercriminels soutenues par des États exécutent souvent des attaques APT pour accéder aux informations sensibles d'autres États-nations ou à la propriété intellectuelle de grandes organisations. Bien que pouvant initialement recourir à des techniques classiques d'ingénierie sociale, ces acteurs de menaces sont connus pour personnaliser des outils et méthodes avancés afin d'exploiter les vulnérabilités spécifiques de certaines organisations. Une attaque APT réussie peut durer des mois, voire des années.
Les groupes APT bénéficient souvent d'un accès initial à leur réseau cible grâce à l'ingénierie sociale et au phishing ciblé. En exploitant des renseignements recueillis à l'intérieur et à l'extérieur d'une organisation, les attaquants APT créeront des e-mails de phishing ciblé sophistiqués destinés à convaincre les dirigeants ou cadres supérieurs de cliquer sur un lien malveillant. Les attaquants peuvent également rechercher d'autres points d'entrée et surfaces d'attaque pour pénétrer le réseau. Par exemple, ils peuvent lancer une attaque zero-day sur une vulnérabilité non corrigée dans une application Web, ou intégrer un logiciel malveillant sur un site Web public fréquenté par les employés.
Une fois la pénétration initiale effectuée, les groupes APT explorent et cartographient le réseau pour déterminer les prochaines étapes optimales de mouvement latéral au sein de l'organisation. En installant une série de portes dérobées leur permettant d'accéder au réseau par plusieurs points d'entrée, ils peuvent poursuivre leur reconnaissance et installer des logiciels malveillants cachés. Ils peuvent également tenter de déchiffrer des mots de passe et d'obtenir des droits administratifs sur les zones sécurisées où résident les données sensibles. Surtout, les attaquants établiront une connexion vers un serveur de commande et contrôle externe pour gérer à distance les systèmes piratés.
Pour se préparer à la première exfiltration de données, les groupes APT rassembleront les informations collectées au fil du temps dans un emplacement centralisé et sécurisé au sein du réseau. Ils peuvent également chiffrer et compresser les données pour faciliter l'exfiltration. Ensuite, pour distraire le personnel de sécurité et détourner les ressources, ils peuvent mettre en place un événement « bruit blanc » tel qu'une attaque par déni de service distribué (DDoS). À ce stade, ils peuvent transférer les données volées vers un serveur externe sans détection.
Les groupes APT peuvent demeurer à l'intérieur d'un réseau compromis pendant une période prolongée, voire indéfiniment, en attendant de nouvelles opportunités pour lancer une attaque. Pendant cette période, ils peuvent maintenir leur présence clandestine en réécrivant du code pour dissimuler les logiciels malveillants et en installant des rootkits qui permettent d'accéder aux systèmes sensibles sans être détectés. Dans certains cas, ils peuvent effacer les preuves de l'attaque et quitter complètement le réseau une fois leurs objectifs atteints.
En utilisant des e-mails de phishing massifs, des e-mails de phishing ciblé hautement personnalisés ou d'autres tactiques de manipulation sociale, les groupes APT incitent les utilisateurs à cliquer sur des liens malveillants ou à divulguer des informations permettant d'accéder à des systèmes protégés.
En déployant du shellcode malveillant qui scanne les réseaux à la recherche de vulnérabilités logicielles non corrigées, les groupes d'attaques persistantes avancées peuvent exploiter les failles avant que les administrateurs informatiques puissent réagir.
Les groupes APT peuvent cibler les partenaires commerciaux, technologiques ou fournisseurs de confiance d'une organisation afin d'obtenir un accès non autorisé via les chaînes d'approvisionnement logicielles ou matérielles partagées.
Grâce à leur capacité à fournir un accès caché par porte dérobée aux systèmes protégés, les rootkits sont un outil précieux pour aider les groupes APT à dissimuler et gérer leurs opérations à distance.
Une fois que les groupes APT ont pris pied dans un réseau piraté, ils établissent une connexion à leurs propres serveurs externes pour gérer l'attaque à distance et exfiltrer les données sensibles.
Les groupes APT peuvent utiliser toute une série d'autres outils pour étendre et dissimuler leur présence sur un réseau, tels que les vers, l'enregistrement de frappe, les bots, le craquage de mots de passe, les logiciels espions et l'obscurcissement du code.
Connu pour ses e-mails de phishing ciblé remarquablement convaincants et bien documentés, Helix Kitten opérerait sous la supervision du gouvernement iranien. Le groupe cible principalement les entreprises du Moyen-Orient dans des secteurs comme l'aérospatiale, les télécommunications, les services financiers, l'énergie, les produits chimiques et l'hôtellerie. Les analystes estiment que ces attaques sont destinées à servir les intérêts économiques, militaires et politiques de l'Iran.
Wicked Panda est un groupe APT chinois notoire et prolifique, présumé lié au ministère chinois de la Sécurité d'État et au Parti communiste chinois. Outre le cyberespionnage, les membres de ce groupe sont également connus pour s'attaquer des entreprises à des fins lucratives. On les soupçonne d'être responsables du piratage des chaînes d'approvisionnement dans le secteur de la santé, du vol de données sensibles auprès de sociétés de biotechnologie et du vol de paiements de soutien liés au COVID-19 aux États-Unis.
Stuxnet est un ver informatique utilisé pour perturber le programme nucléaire iranien en ciblant les systèmes de contrôle industriel et d'acquisition de données (SCADA). Bien qu'il ne soit plus actif aujourd'hui, Stuxnet était considéré comme une menace extrêmement efficace lors de sa découverte en 2010, causant des dommages considérables à sa cible. Les analystes pensent que Stuxnet a été développé conjointement par les États-Unis et Israël, bien qu'aucun des deux pays n'ait ouvertement reconnu sa responsabilité.
Le Lazarus Group est un groupe APT, basé en Corée du Nord, soupçonné d'être responsable du vol de centaines de millions de dollars en cryptomonnaies. Selon le ministère américain de la Justice, ces crimes s'inscrivent dans une stratégie visant à saper la cybersécurité mondiale et à générer des revenus pour le gouvernement nord-coréen. En 2023, le FBI américain a accusé le Lazarus Group du vol de 41 millions de dollars de cryptomonnaies à un casino en ligne.
Parce que les attaques APT sont conçues pour imiter les opérations réseau normales, elles peuvent être difficiles à détecter. Les experts recommandent plusieurs questions que les équipes de sécurité devraient se poser si elles soupçonnent avoir été ciblées.
Les acteurs de menaces APT ciblent les comptes utilisateurs à haute valeur disposant d'un accès privilégié aux informations sensibles. Ces comptes peuvent connaître des volumes de connexions anormalement élevés lors d'une attaque. Et comme les groupes APT opèrent souvent dans des fuseaux horaires différents, ces connexions peuvent se produire tard dans la nuit. Les organisations peuvent utiliser des outils tels que la détection et la réponse des terminaux (EDR) ou l'analyse du comportement des utilisateurs et des entités (UEBA) pour analyser et identifier les activités inhabituelles ou suspectes sur les comptes utilisateur.
La plupart des environnements informatiques sont confrontés à des chevaux de Troie créant des portes dérobées, mais lors d'une attaque APT, leur présence peut devenir généralisée. Les groupes APT s'appuient sur les chevaux de Troie créant des portes dérobées comme sauvegarde pour réintégrer les systèmes compromis après une violation.
Un écart important par rapport à la référence normale de l'activité de transfert de données peut suggérer une attaque APT. Il peut s'agir d'une augmentation soudaine des opérations de base de données et du transfert interne ou externe de quantités massives d'informations. Les outils qui surveillent et analysent les journaux d'événements à partir de sources de données, telles que les informations de sécurité et la gestion des événements (SIEM) ou la détection et la réponse réseau (NDR), peuvent être utiles pour signaler ces incidents.
L'APT regroupe généralement de grandes quantités de données provenant d'un réseau et les déplace vers un emplacement central avant l'exfiltration. De grands volumes de données dans un emplacement inhabituel, surtout si elles sont compressées, peuvent indiquer une attaque APT.
Les attaques de phishing ciblé qui ciblent un petit nombre de dirigeants de haut niveau sont une tactique courante au sein des groupes APT. Ces e-mails contiennent souvent des informations confidentielles et utilisent des formats de documents comme Microsoft Word ou Adobe Acrobat PDF pour lancer des logiciels malveillants. Les outils de surveillance de l'intégrité des fichiers (FIM) peuvent aider les organisations à détecter si des actifs informatiques critiques ont été altérés en raison de logiciels malveillants intégrés dans des e-mails de phishing ciblés.
Il existe des mesures de sécurité que les organisations peuvent prendre pour atténuer le risque que des pirates informatiques APT accèdent sans autorisation à leurs systèmes. Étant donné que les groupes APT adaptent continuellement de nouvelles méthodes pour chaque vecteur d'attaque, les experts recommandent une approche globale qui combine plusieurs solutions et stratégies de sécurité, notamment :
- Correctif logiciels pour protéger les vulnérabilités du réseau et du système d'exploitation contre les failles d’exploitation zero-day.
- Surveillance du trafic réseau en temps réel pour repérer les activités malveillantes telles que l'installation de portes dérobées ou l'exfiltration de données volées.
- Utilisation de pare-feu d'applications Web sur les points de terminaison du réseau qui filtrent le trafic entre les applications Web et Internet pour empêcher les attaques entrantes.
- Mise en place de contrôles d’accès stricts qui empêchent les utilisateurs non autorisés d’accéder à des systèmes et des données sensibles ou de haut niveau.
- Réaliser des tests d'intrusion pour identifier les zones de faiblesse et les vulnérabilités que les groupes APT pourraient exploiter pendant une attaque.
- Tirer parti des renseignements sur les menaces pour mieux comprendre le cycle de vie d'une attaque APT et planifier une réponse efficace aux incidents si l'on soupçonne qu'une attaque est en cours.
Accédez à des informations exploitables pour vous aider à comprendre comment les acteurs de la menace mènent des attaques et comment protéger proactivement votre organisation.
La gestion des menaces est un processus utilisé par les professionnels de la cybersécurité pour prévenir les cyberattaques, détecter les cybermenaces et répondre aux incidents de sécurité.
Les acteurs de la menace, également connus sous le nom de cybercriminels ou d'acteurs malveillants, sont des individus ou des groupes qui infligent intentionnellement des dommages à des appareils ou des systèmes numériques.