Qu'est-ce que l'APT?
September 01, 2023
Les menaces persistantes avancées sont considérées comme les risques les plus dangereux, nécessitant beaucoup d'efforts pour les détecter et les prévenir. La donnée sensible, qui constitue la cible finale de cette attaque, ainsi que les éléments intermédiaires touchés lors de la cyberattaque, doivent être protégés au plus haut niveau. Les spécialistes de la cybersécurité chargés de mettre en place et d'assister dans l'exécution des solutions EDR doivent anticiper tous les vecteurs d'attaque possibles.
Cependant, une telle attaque requiert beaucoup de ressources et de travail de la part des attaquants. Les trois principales étapes de l'utilisation de l'APT - l'infiltration, l'expansion et l'extraction - demandent beaucoup plus d'efforts que les attaques "classiques". Elles en valent probablement la peine, mais certaines équipes peuvent ne pas durer aussi longtemps qu'une telle attaque. Une attaque avec une menace persistante avancée est clairement la compétition des professionnels.
Les menaces persistantes avancées sont complexes et méritent d'être discutées en détail. Tout d'abord, nous voulons définir la différence entre les APT et les cyberattaques fréquentes. Les menaces avancées peuvent ressembler à de simples virus plus avancés, mais il s'agit plutôt d'opérations spéciales que d'attaques courantes. Les attaques APT reposent sur de nombreux programmes - à la fois utilisés par les criminels et présents dans le système attaqué. Elles sont également exécutées manuellement, contrairement aux attaques par ransomware qui sont généralement automatisées. Le terme "persistant" dans le nom signifie précisément ce qu'il devrait faire: ces menaces sont présentes à long terme dans le système infecté. La cible de telles attaques est des données de valeur, et plus l'attaque dure longtemps, plus de données peuvent être extraites en douce.
Il y a également plusieurs choses à noter. Les logiciels malveillants précurseurs et les outils permettant d'étendre la présence de logiciels malveillants dans de telles attaques sont souvent les mêmes que dans des attaques plus simples. Par exemple, lorsque les pirates informatiques établissent une présence et une activité APT dans chaque élément du réseau, ils peuvent opter pour les mêmes exploits dans l'architecture des serveurs et les applications utilisateur. Inutile de réinventer la roue, surtout quand elle fonctionne bien. Une autre chose à retenir est les cibles typiques des attaques utilisant des menaces avancées. Les pirates informatiques visent rarement à obtenir une rançon et ne cherchent parfois aucun profit. La cible finale peut être soit la divulgation d'informations critiques, leur suppression, ou la prise de contrôle des serveurs/sites Web hébergés sur ces serveurs. Bien sûr, une telle tâche peut prendre des mois à accomplir, mais le déploiement et la persistance d'une APT ne sont en aucun cas une promenade de 5 minutes.
Les étapes de l'APT. De l'infiltration à l'extraction des données
Comme mentionné précédemment, les attaques avec des menaces persistantes avancées ont trois étapes principales. Au cours de l'attaque, les cybercriminels tentent d'injecter le logiciel malveillant, de le rendre plus persistant (c'est-à-dire d'infiltrer tous les environnements possibles), et enfin, de commencer l'extraction des données. Toutes ces étapes nécessitent des logiciels et des approches spécifiques. Cependant, la charge utile finale est plus susceptible d'être une porte dérobée, un cheval de Troie à accès distant, un logiciel espion ou leurs combinaisons. Pour une explication plus pertinente, nous ferons plusieurs remarques sur un cas réel d'attaque informatique avec une menace avancée qui s'est produite au début de 2024. Des pirates informatiques nord-coréens ont attaqué le secteur diplomatique russe avec le logiciel malveillant Konni RAT.
Étape 1. Infiltration du logiciel malveillant
Il existe des dizaines de façons possibles d'infiltrer un logiciel malveillant dans le réseau d'entreprise. Cependant, au cours des deux dernières années, les analystes ont constaté une tendance stricte: près de 40% des attaques sont commises par le biais d'exploitations RDP. Et ce chiffre s'applique à toutes les formes de cyberattaques, pas seulement aux attaques liées à l'APT. Néanmoins, d'autres méthodes - les injections SQL et l'ingénierie sociale, par exemple - sont également utilisées. Dans certains cas, principalement pour distraire l'attention du personnel, les criminels peuvent également lancer une attaque DDoS. Les administrateurs système et les experts en cybersécurité mettront tous leurs efforts pour protéger le réseau, pendant que l'action principale se déroulera en coulisses.
Dans le cas de l'injection du logiciel malveillant Konni RAT par le groupe de cybercriminels du même nom, ils n'ont pas effectué de manœuvres de diversion. Leur approche était un exemple typique d'hameçonnage ciblé. Les attaquants ont déguisé le message électronique envoyé à l'ambassade russe en Indonésie avec un fichier malveillant joint en tant que carte de vœux du Nouvel An. Ils ont réussi à contrefaire l'adresse e-mail, de sorte que le domaine semblait être "@mid.ru" - différent de l'original "@mid.rf", mais suffisamment similaire pour tromper quelqu'un. Cette technique a été utilisée en conjonction avec la détente typique avant les vacances, ce qui a dispersé l'attention des employés de l'ambassade.
Étapes de l'injection du logiciel malveillant
La chose exacte que les cybercriminels essaient d'injecter dans le système ou le réseau ciblé n'est pas toujours le même virus. Il peut s'agir d'un script qui se connectera au serveur distant pour récupérer la charge utile ou affaiblir le système de sécurité avant le lancement du logiciel malveillant. Un logiciel malveillant précurseur, appelé ainsi, peut être utilisé pour afficher la page de phishing ou tromper le personnel afin de permettre l'installation du logiciel malveillant. Cependant, la plupart des pirates informatiques essaient d'éviter de s'appuyer sur le facteur humain. Cependant, tous les employés ne sont pas assez imprudents pour ignorer un comportement douteux.
Dans le cas de l'attaque de l'APT Konni, la pièce jointe mentionnée ci-dessus (en l'occurrence, l'archive .zip) contenait un script qui se connectait au serveur de commandes et parvenait à télécharger l'installateur pour le cheval de Troie à accès distant. Après avoir lancé le fichier congrat.scr, les employés de l'ambassade regardaient l'image tandis que l'action principale se déroulait en arrière-plan. Un tel schéma en plusieurs étapes est nécessaire pour brouiller la lecture des journaux et effacer toutes les traces. De plus, de telles étapes intermédiaires peuvent être utilisées pour désactiver le logiciel de sécurité. Lorsque l'intrusion est dissimulée et que le logiciel malveillant est téléchargé, les criminels passent à la deuxième étape - l'expansion.
Étape 2. Expansion du logiciel malveillant
Compromettre un seul ordinateur dans le réseau n'est jamais suffisant, même s'il s'agit d'un contrôleur de domaine. En effet, les criminels visent généralement le contrôleur de domaine ou, à défaut, l'ordinateur disposant de privilèges d'administrateur. S'ils infectent initialement leur virus sur l'ordinateur avec des privilèges d'utilisateur, ils tenteront de relever les privilèges pour exécuter leur logiciel malveillant en tant qu'administrateur. Les pirates informatiques peuvent le faire sur le profil de l'utilisateur qu'ils ont infecté ou en créant un compte administrateur distinct et caché. Relever les privilèges n'est pas une tâche facile et nécessite généralement l'utilisation d'exploits. Cependant, si l'attaque est préparée correctement, les criminels connaissent déjà les exploits à utiliser et disposent d'une application malveillante prête à l'emploi pour exploiter cette vulnérabilité.
Disposer du compte administrateur permet aux criminels de créer les mêmes comptes à privilèges élevés sur d'autres appareils et de gérer le réseau. S'emparer du contrôleur de domaine est une pratique courante, mais plus difficile à réaliser. C'est pourquoi les criminels utilisent généralement des outils de force brute ou des outils de piratage - ils servent de pied-de-biche lorsque le crochetage échoue. Les outils rudimentaires sont plus faciles à détecter, mais généralement, les criminels parviennent à désactiver toute protection sur les ordinateurs individuels lors de l'étape de la force brute du contrôleur de domaine.
Étendre la présence du logiciel malveillant dans le réseau a une raison évidente. Plus il y a d'ordinateurs infectés, plus les cybercriminels peuvent accéder et extraire de données. Cette équation simple et linéaire doit guider les administrateurs système. Le regroupement du réseau, les mesures de protection renforcées et le contrôle persistant sont essentiels lorsqu'il s'agit de données sensibles et précieuses. Cependant, les acteurs de la menace qui osent commettre des attaques avec une APT ont probablement des variantes de repli. C'est pourquoi il est préférable de disposer d'une solution EDR bien conçue. Il est impossible de la désactiver sans prendre le contrôle du contrôleur de domaine et difficile à éviter, car elle repose sur une détection heuristique, qui est beaucoup plus difficile à tromper.
Étape 3. Extraction des données
Comme nous l'avons mentionné précédemment, les menaces APT ne sont pas appelées «persistantes» sans raison. Elles essaient de durer le plus longtemps possible dans le système d'entreprise, en collectant toutes les données qui pourraient potentiellement être précieuses. Cependant, ils n'envoient pas les données à leur serveur de commande dès qu'ils les trouvent sur l'ordinateur de la victime. Même lorsque le logiciel de sécurité est désactivé, les administrateurs système peuvent remarquer plusieurs paquets envoyés depuis l'intérieur du réseau vers une adresse inconnue. Un tel cas mettra tout le monde en alerte, et la menace avancée sera découverte à ce moment-là. Pour le rendre plus discret, les cybercriminels doivent appliquer quelques astuces.
Ces astuces peuvent consister à créer un déguisement pour les fichiers extraits, ainsi qu'à détourner l'attention. Dans la plupart des cas, les criminels optent pour la deuxième option. Il n'est pas si facile de trouver un moyen de dissimuler une énorme quantité de trafic. À quelle fréquence envoyez-vous des fichiers de plusieurs gigaoctets par e-mail? Cela suscitera des soupçons, même si cet e-mail est livré avec succès au moment de la détection. Les criminels utilisent généralement comme distraction une attaque par déni de service distribué (DDoS), ou un prétendu bruit blanc - de nombreuses commandes ou requêtes inutiles qui brouillent les journaux. Cette astuce peut contourner les solutions de sécurité et donner beaucoup de maux de tête aux analystes qui essaient de comprendre ce qui se passe.
Cependant, lorsque les opérateurs d'attaque APT décident de mettre fin à leur présence dans un certain réseau, ils peuvent même effectuer l'extraction finale "telle quelle". Ce ne serait pas une pratique courante, surtout si les informations obtenues auprès de cette entreprise étaient vendues à bon prix. Les criminels peuvent alors revendre la manière dont ils se sont infiltrés dans le réseau à leurs collègues, ainsi que s'y infiltrer à nouveau. Mais lorsque ils décident de partir à la française, les choses peuvent devenir encore plus graves. Dans certains cas, les criminels peuvent déployer un ransomware - pour couronner le tout.
Comment protéger votre réseau contre les attaques APT?
Comme vous pouvez le constater d'après les paragraphes précédents, les menaces persistantes avancées sont extrêmement sophistiquées et sont menées par des cybercr iminels qualifiés. Le déploiement et la lutte contre les APT peuvent être comparés à une partie d'échecs entre deux grands maîtres - tous deux sont très compétents et ont de nombreux coups possibles. Cela devient encore plus intéressant lorsque les deux parties ne peuvent que deviner l'activité de l'autre et effectuer des démarches prudentes pour comprendre ce qui se passe. Néanmoins, observer cette partie signifie déjà que quelque chose a mal tourné. Cela ne signifie pas que les mesures de sécurité doivent être capables de prévenir toute intrusion. Mais lorsque vous faites tout correctement, les criminels se retrouvent les mains liées. Voyons comment rendre votre réseau d'entreprise sécurisé contre les attaques par des menaces persistantes avancées.
Éliminer le facteur humain
Le personnel imprudent est l'une des plus grandes failles de sécurité qu'il est impossible d'éliminer. Vous pouvez cependant leur apprendre à être prudents et à éviter les choses potentiellement dangereuses, mais vous ne pourrez jamais éliminer complètement ce risque. Sur 10 employés, neuf seront diligents et un sera imprudent. C'est pourquoi en plus de renforcer les connaissances en cybersécurité parmi vos employés, vous devez également réduire les dommages globaux qui peuvent survenir en raison d'une erreur humaine.
- Expliquez le danger des pièces jointes. Beaucoup de gens pensent que les pièces jointes ne peuvent pas être dangereuses, donc ils les ouvrent sans aucun doute. Les pirates informatiques les remercient - une grande partie des attaques, quelle que soit leur ampleur, se produisent en raison de cette fausse croyance.
- Protégez tous les points d'accès sensibles. Les macros de MS Office et les scripts Visual Basic peuvent contenir différents codes. Ils peuvent contenir un téléchargeur ou le même logiciel malveillant lorsqu'ils proviennent de l'extérieur. Interdire leur exécution sans l'autorisation de l'administrateur du système empêche ces méthodes d'injection.
- Maintenez une hygiène logicielle. Ce conseil est utile contre tous les logiciels malveillants, car les criminels utilisent les mêmes exploits pour diverses attaques. Mettez régulièrement à jour les applications, évitez l'utilisation de programmes peu fiables et surveillez les applications qui peuvent collecter des informations sur leurs utilisateurs - ces conseils sont basiques.
- Regroupez le réseau. Même si les pirates informatiques parviennent à infecter une partie du réseau, ils échoueront à aller plus loin. Au moins, vous gagnerez du temps pour trouver un moyen de lutter contre les pirates.
- Utilisez des privilèges d'utilisateur pour la plupart des utilisateurs. La plupart des applications de nos jours n'ont pas besoin de privilèges d'administrateur. Elles peuvent toujours vous demander de saisir le mot de passe de l'administrateur parfois, mais il est beaucoup plus facile de le faire à la demande que de résoudre une cyberattaque.
Approches techniques contre les APT
En plus des conseils qui concernent les employés et qui sont plus courants, il existe plusieurs mesures à prendre spécifiquement contre les APT. Ces mesures concernent généralement la sécurité du réseau et le contrôle du trafic. La liste blanche et la surveillance du trafic sont les deux éléments auxquels vous devez accorder le plus d'attention.
Liste blanche
Cette procédure consiste à permettre l'accès uniquement aux sites Web/adresses IP désignés à partir du réseau d'entreprise. Une telle configuration est utile pour empêcher le téléchargeur de logiciels malveillants de se connecter au serveur externe. Elle a également un objectif plus "pacifique" - empêcher les employés de visiter divers sites pour réduire la procrastination. Cependant, l'utilisation de cette méthode séparément des autres n'est pas efficace à 100 %. Les domaines "blancs" peuvent être compromis avec le temps, ou la connexion peut être créée via un logiciel légitime et sécurisé. Certains programmes peuvent encore être sûrs mais obsolètes - ce qui les rend vulnérables aux exploitations. Gardez tous ces problèmes à l'esprit lorsque vous établissez votre réseau.
Surveillance du trafic
Alors que la liste blanche est davantage une protection passive, le contrôle du trafic est une contre-mesure active. En premier lieu, la chose la plus importante à protéger est la plus vulnérable. Dans les entreprises, il s'agit généralement des serveurs d'applications web. Ils sont exposés au maximum car tout le monde peut s'y connecter par conception. Par conséquent, vous devez accorder une attention particulière à leur protection avec des pare-feu ou d'autres filtres qui peuvent prévenir les attaques par injection SQL ou RFI. De plus, les pare-feu sont très utiles en ce qui concerne le contrôle du trafic. Ces outils peuvent enregistrer les événements réseau, ce qui vous permet de détecter et d'analyser d'éventuelles anomalies.
Foire Aux Questions
- Modifications DNS ;
- Exploitation de vulnérabilités ;
- Attaques zero-day ;
- Attaques internes (compromission d'un employé cible) ;
- Attaques de la chaîne d'approvisionnement ;
- Ransomware ;
- Logiciels piratés.