Attaque Advanced Persistent Threat (APT)

L'Advanced Persistent Threat (APT) est une campagne d'attaque au cours de laquelle un intrus, ou une équipe d'intrus, établit une présence illicite et durable sur un réseau pour extraire des données sensibles.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

Attaques dites "Advanced Persistent Threat" (APT). Qu'est-ce que l'APT?

Qu'est-ce que l'APT?

September 01, 2023

La menace persistante avancée, ou APT, est un risque complexe en matière de cybersécurité qui comprend plusieurs éléments et qui est appliqué sur une longue période. Bien qu'il nécessite plus de ressources pour être exécuté, l'efficacité des APT est bien supérieure à celle des logiciels malveillants classiques.

Les menaces persistantes avancées sont considérées comme les risques les plus dangereux, nécessitant beaucoup d'efforts pour les détecter et les prévenir. La donnée sensible, qui constitue la cible finale de cette attaque, ainsi que les éléments intermédiaires touchés lors de la cyberattaque, doivent être protégés au plus haut niveau. Les spécialistes de la cybersécurité chargés de mettre en place et d'assister dans l'exécution des solutions EDR doivent anticiper tous les vecteurs d'attaque possibles.

Cependant, une telle attaque requiert beaucoup de ressources et de travail de la part des attaquants. Les trois principales étapes de l'utilisation de l'APT - l'infiltration, l'expansion et l'extraction - demandent beaucoup plus d'efforts que les attaques "classiques". Elles en valent probablement la peine, mais certaines équipes peuvent ne pas durer aussi longtemps qu'une telle attaque. Une attaque avec une menace persistante avancée est clairement la compétition des professionnels.

Cycle de vie de la menace persistante avancée (APT)
Le cycle de vie de la menace persistante avancée (APT)

Les menaces persistantes avanc√©es sont complexes et m√©ritent d'√™tre discut√©es en d√©tail. Tout d'abord, nous voulons d√©finir la diff√©rence entre les APT et les cyberattaques fr√©quentes. Les menaces avanc√©es peuvent ressembler √† de simples virus plus avanc√©s, mais il s'agit plut√īt d'op√©rations sp√©ciales que d'attaques courantes. Les attaques APT reposent sur de nombreux programmes - √† la fois utilis√©s par les criminels et pr√©sents dans le syst√®me attaqu√©. Elles sont √©galement ex√©cut√©es manuellement, contrairement aux attaques par ransomware qui sont g√©n√©ralement automatis√©es. Le terme "persistant" dans le nom signifie pr√©cis√©ment ce qu'il devrait faire: ces menaces sont pr√©sentes √† long terme dans le syst√®me infect√©. La cible de telles attaques est des donn√©es de valeur, et plus l'attaque dure longtemps, plus de donn√©es peuvent √™tre extraites en douce.

Il y a √©galement plusieurs choses √† noter. Les logiciels malveillants pr√©curseurs et les outils permettant d'√©tendre la pr√©sence de logiciels malveillants dans de telles attaques sont souvent les m√™mes que dans des attaques plus simples. Par exemple, lorsque les pirates informatiques √©tablissent une pr√©sence et une activit√© APT dans chaque √©l√©ment du r√©seau, ils peuvent opter pour les m√™mes exploits dans l'architecture des serveurs et les applications utilisateur. Inutile de r√©inventer la roue, surtout quand elle fonctionne bien. Une autre chose √† retenir est les cibles typiques des attaques utilisant des menaces avanc√©es. Les pirates informatiques visent rarement √† obtenir une ran√ßon et ne cherchent parfois aucun profit. La cible finale peut √™tre soit la divulgation d'informations critiques, leur suppression, ou la prise de contr√īle des serveurs/sites Web h√©berg√©s sur ces serveurs. Bien s√Ľr, une telle t√Ęche peut prendre des mois √† accomplir, mais le d√©ploiement et la persistance d'une APT ne sont en aucun cas une promenade de 5 minutes.

Les étapes de l'APT. De l'infiltration à l'extraction des données

Comme mentionné précédemment, les attaques avec des menaces persistantes avancées ont trois étapes principales. Au cours de l'attaque, les cybercriminels tentent d'injecter le logiciel malveillant, de le rendre plus persistant (c'est-à-dire d'infiltrer tous les environnements possibles), et enfin, de commencer l'extraction des données. Toutes ces étapes nécessitent des logiciels et des approches spécifiques. Cependant, la charge utile finale est plus susceptible d'être une porte dérobée, un cheval de Troie à accès distant, un logiciel espion ou leurs combinaisons. Pour une explication plus pertinente, nous ferons plusieurs remarques sur un cas réel d'attaque informatique avec une menace avancée qui s'est produite au début de 2023. Des pirates informatiques nord-coréens ont attaqué le secteur diplomatique russe avec le logiciel malveillant Konni RAT.

√Čtape 1. Infiltration du logiciel malveillant

Il existe des dizaines de façons possibles d'infiltrer un logiciel malveillant dans le réseau d'entreprise. Cependant, au cours des deux dernières années, les analystes ont constaté une tendance stricte: près de 40% des attaques sont commises par le biais d'exploitations RDP. Et ce chiffre s'applique à toutes les formes de cyberattaques, pas seulement aux attaques liées à l'APT. Néanmoins, d'autres méthodes - les injections SQL et l'ingénierie sociale, par exemple - sont également utilisées. Dans certains cas, principalement pour distraire l'attention du personnel, les criminels peuvent également lancer une attaque DDoS. Les administrateurs système et les experts en cybersécurité mettront tous leurs efforts pour protéger le réseau, pendant que l'action principale se déroulera en coulisses.

Dans le cas de l'injection du logiciel malveillant Konni RAT par le groupe de cybercriminels du m√™me nom, ils n'ont pas effectu√© de manŇďuvres de diversion. Leur approche √©tait un exemple typique d'hame√ßonnage cibl√©. Les attaquants ont d√©guis√© le message √©lectronique envoy√© √† l'ambassade russe en Indon√©sie avec un fichier malveillant joint en tant que carte de vŇďux du Nouvel An. Ils ont r√©ussi √† contrefaire l'adresse e-mail, de sorte que le domaine semblait √™tre "@mid.ru" - diff√©rent de l'original "@mid.rf", mais suffisamment similaire pour tromper quelqu'un. Cette technique a √©t√© utilis√©e en conjonction avec la d√©tente typique avant les vacances, ce qui a dispers√© l'attention des employ√©s de l'ambassade.

√Čtapes de l'injection du logiciel malveillant

La chose exacte que les cybercriminels essaient d'injecter dans le système ou le réseau ciblé n'est pas toujours le même virus. Il peut s'agir d'un script qui se connectera au serveur distant pour récupérer la charge utile ou affaiblir le système de sécurité avant le lancement du logiciel malveillant. Un logiciel malveillant précurseur, appelé ainsi, peut être utilisé pour afficher la page de phishing ou tromper le personnel afin de permettre l'installation du logiciel malveillant. Cependant, la plupart des pirates informatiques essaient d'éviter de s'appuyer sur le facteur humain. Cependant, tous les employés ne sont pas assez imprudents pour ignorer un comportement douteux.

Dans le cas de l'attaque de l'APT Konni, la pièce jointe mentionnée ci-dessus (en l'occurrence, l'archive .zip) contenait un script qui se connectait au serveur de commandes et parvenait à télécharger l'installateur pour le cheval de Troie à accès distant. Après avoir lancé le fichier congrat.scr, les employés de l'ambassade regardaient l'image tandis que l'action principale se déroulait en arrière-plan. Un tel schéma en plusieurs étapes est nécessaire pour brouiller la lecture des journaux et effacer toutes les traces. De plus, de telles étapes intermédiaires peuvent être utilisées pour désactiver le logiciel de sécurité. Lorsque l'intrusion est dissimulée et que le logiciel malveillant est téléchargé, les criminels passent à la deuxième étape - l'expansion.

√Čtape 2. Expansion du logiciel malveillant

Compromettre un seul ordinateur dans le r√©seau n'est jamais suffisant, m√™me s'il s'agit d'un contr√īleur de domaine. En effet, les criminels visent g√©n√©ralement le contr√īleur de domaine ou, √† d√©faut, l'ordinateur disposant de privil√®ges d'administrateur. S'ils infectent initialement leur virus sur l'ordinateur avec des privil√®ges d'utilisateur, ils tenteront de relever les privil√®ges pour ex√©cuter leur logiciel malveillant en tant qu'administrateur. Les pirates informatiques peuvent le faire sur le profil de l'utilisateur qu'ils ont infect√© ou en cr√©ant un compte administrateur distinct et cach√©. Relever les privil√®ges n'est pas une t√Ęche facile et n√©cessite g√©n√©ralement l'utilisation d'exploits. Cependant, si l'attaque est pr√©par√©e correctement, les criminels connaissent d√©j√† les exploits √† utiliser et disposent d'une application malveillante pr√™te √† l'emploi pour exploiter cette vuln√©rabilit√©.

Progression de l'APT dans le réseau d'entreprise
Progression de l'APT dans le réseau d'entreprise

Disposer du compte administrateur permet aux criminels de cr√©er les m√™mes comptes √† privil√®ges √©lev√©s sur d'autres appareils et de g√©rer le r√©seau. S'emparer du contr√īleur de domaine est une pratique courante, mais plus difficile √† r√©aliser. C'est pourquoi les criminels utilisent g√©n√©ralement des outils de force brute ou des outils de piratage - ils servent de pied-de-biche lorsque le crochetage √©choue. Les outils rudimentaires sont plus faciles √† d√©tecter, mais g√©n√©ralement, les criminels parviennent √† d√©sactiver toute protection sur les ordinateurs individuels lors de l'√©tape de la force brute du contr√īleur de domaine.

√Čtendre la pr√©sence du logiciel malveillant dans le r√©seau a une raison √©vidente. Plus il y a d'ordinateurs infect√©s, plus les cybercriminels peuvent acc√©der et extraire de donn√©es. Cette √©quation simple et lin√©aire doit guider les administrateurs syst√®me. Le regroupement du r√©seau, les mesures de protection renforc√©es et le contr√īle persistant sont essentiels lorsqu'il s'agit de donn√©es sensibles et pr√©cieuses. Cependant, les acteurs de la menace qui osent commettre des attaques avec une APT ont probablement des variantes de repli. C'est pourquoi il est pr√©f√©rable de disposer d'une solution EDR bien con√ßue. Il est impossible de la d√©sactiver sans prendre le contr√īle du contr√īleur de domaine et difficile √† √©viter, car elle repose sur une d√©tection heuristique, qui est beaucoup plus difficile √† tromper.

√Čtape 3. Extraction des donn√©es

Comme nous l'avons mentionn√© pr√©c√©demment, les menaces APT ne sont pas appel√©es ¬ępersistantes¬Ľ sans raison. Elles essaient de durer le plus longtemps possible dans le syst√®me d'entreprise, en collectant toutes les donn√©es qui pourraient potentiellement √™tre pr√©cieuses. Cependant, ils n'envoient pas les donn√©es √† leur serveur de commande d√®s qu'ils les trouvent sur l'ordinateur de la victime. M√™me lorsque le logiciel de s√©curit√© est d√©sactiv√©, les administrateurs syst√®me peuvent remarquer plusieurs paquets envoy√©s depuis l'int√©rieur du r√©seau vers une adresse inconnue. Un tel cas mettra tout le monde en alerte, et la menace avanc√©e sera d√©couverte √† ce moment-l√†. Pour le rendre plus discret, les cybercriminels doivent appliquer quelques astuces.

Extraction de données
La troisième étape de l'attaque - l'exfiltration de données

Ces astuces peuvent consister à créer un déguisement pour les fichiers extraits, ainsi qu'à détourner l'attention. Dans la plupart des cas, les criminels optent pour la deuxième option. Il n'est pas si facile de trouver un moyen de dissimuler une énorme quantité de trafic. À quelle fréquence envoyez-vous des fichiers de plusieurs gigaoctets par e-mail? Cela suscitera des soupçons, même si cet e-mail est livré avec succès au moment de la détection. Les criminels utilisent généralement comme distraction une attaque par déni de service distribué (DDoS), ou un prétendu bruit blanc - de nombreuses commandes ou requêtes inutiles qui brouillent les journaux. Cette astuce peut contourner les solutions de sécurité et donner beaucoup de maux de tête aux analystes qui essaient de comprendre ce qui se passe.

Cependant, lorsque les opérateurs d'attaque APT décident de mettre fin à leur présence dans un certain réseau, ils peuvent même effectuer l'extraction finale "telle quelle". Ce ne serait pas une pratique courante, surtout si les informations obtenues auprès de cette entreprise étaient vendues à bon prix. Les criminels peuvent alors revendre la manière dont ils se sont infiltrés dans le réseau à leurs collègues, ainsi que s'y infiltrer à nouveau. Mais lorsque ils décident de partir à la française, les choses peuvent devenir encore plus graves. Dans certains cas, les criminels peuvent déployer un ransomware - pour couronner le tout.

Comment protéger votre réseau contre les attaques APT?

Comme vous pouvez le constater d'apr√®s les paragraphes pr√©c√©dents, les menaces persistantes avanc√©es sont extr√™mement sophistiqu√©es et sont men√©es par des cybercr iminels qualifi√©s. Le d√©ploiement et la lutte contre les APT peuvent √™tre compar√©s √† une partie d'√©checs entre deux grands ma√ģtres - tous deux sont tr√®s comp√©tents et ont de nombreux coups possibles. Cela devient encore plus int√©ressant lorsque les deux parties ne peuvent que deviner l'activit√© de l'autre et effectuer des d√©marches prudentes pour comprendre ce qui se passe. N√©anmoins, observer cette partie signifie d√©j√† que quelque chose a mal tourn√©. Cela ne signifie pas que les mesures de s√©curit√© doivent √™tre capables de pr√©venir toute intrusion. Mais lorsque vous faites tout correctement, les criminels se retrouvent les mains li√©es. Voyons comment rendre votre r√©seau d'entreprise s√©curis√© contre les attaques par des menaces persistantes avanc√©es.

√Čliminer le facteur humain

Le personnel imprudent est l'une des plus grandes failles de sécurité qu'il est impossible d'éliminer. Vous pouvez cependant leur apprendre à être prudents et à éviter les choses potentiellement dangereuses, mais vous ne pourrez jamais éliminer complètement ce risque. Sur 10 employés, neuf seront diligents et un sera imprudent. C'est pourquoi en plus de renforcer les connaissances en cybersécurité parmi vos employés, vous devez également réduire les dommages globaux qui peuvent survenir en raison d'une erreur humaine.

  • Expliquez le danger des pi√®ces jointes. Beaucoup de gens pensent que les pi√®ces jointes ne peuvent pas √™tre dangereuses, donc ils les ouvrent sans aucun doute. Les pirates informatiques les remercient - une grande partie des attaques, quelle que soit leur ampleur, se produisent en raison de cette fausse croyance.
  • Prot√©gez tous les points d'acc√®s sensibles. Les macros de MS Office et les scripts Visual Basic peuvent contenir diff√©rents codes. Ils peuvent contenir un t√©l√©chargeur ou le m√™me logiciel malveillant lorsqu'ils proviennent de l'ext√©rieur. Interdire leur ex√©cution sans l'autorisation de l'administrateur du syst√®me emp√™che ces m√©thodes d'injection.
  • Maintenez une hygi√®ne logicielle. Ce conseil est utile contre tous les logiciels malveillants, car les criminels utilisent les m√™mes exploits pour diverses attaques. Mettez r√©guli√®rement √† jour les applications, √©vitez l'utilisation de programmes peu fiables et surveillez les applications qui peuvent collecter des informations sur leurs utilisateurs - ces conseils sont basiques.
  • Regroupez le r√©seau. M√™me si les pirates informatiques parviennent √† infecter une partie du r√©seau, ils √©choueront √† aller plus loin. Au moins, vous gagnerez du temps pour trouver un moyen de lutter contre les pirates.
  • Utilisez des privil√®ges d'utilisateur pour la plupart des utilisateurs. La plupart des applications de nos jours n'ont pas besoin de privil√®ges d'administrateur. Elles peuvent toujours vous demander de saisir le mot de passe de l'administrateur parfois, mais il est beaucoup plus facile de le faire √† la demande que de r√©soudre une cyberattaque.

Approches techniques contre les APT

En plus des conseils qui concernent les employ√©s et qui sont plus courants, il existe plusieurs mesures √† prendre sp√©cifiquement contre les APT. Ces mesures concernent g√©n√©ralement la s√©curit√© du r√©seau et le contr√īle du trafic. La liste blanche et la surveillance du trafic sont les deux √©l√©ments auxquels vous devez accorder le plus d'attention.

Liste blanche

Cette proc√©dure consiste √† permettre l'acc√®s uniquement aux sites Web/adresses IP d√©sign√©s √† partir du r√©seau d'entreprise. Une telle configuration est utile pour emp√™cher le t√©l√©chargeur de logiciels malveillants de se connecter au serveur externe. Elle a √©galement un objectif plus "pacifique" - emp√™cher les employ√©s de visiter divers sites pour r√©duire la procrastination. Cependant, l'utilisation de cette m√©thode s√©par√©ment des autres n'est pas efficace √† 100 %. Les domaines "blancs" peuvent √™tre compromis avec le temps, ou la connexion peut √™tre cr√©√©e via un logiciel l√©gitime et s√©curis√©. Certains programmes peuvent encore √™tre s√Ľrs mais obsol√®tes - ce qui les rend vuln√©rables aux exploitations. Gardez tous ces probl√®mes √† l'esprit lorsque vous √©tablissez votre r√©seau.

Surveillance du trafic

Alors que la liste blanche est davantage une protection passive, le contr√īle du trafic est une contre-mesure active. En premier lieu, la chose la plus importante √† prot√©ger est la plus vuln√©rable. Dans les entreprises, il s'agit g√©n√©ralement des serveurs d'applications web. Ils sont expos√©s au maximum car tout le monde peut s'y connecter par conception. Par cons√©quent, vous devez accorder une attention particuli√®re √† leur protection avec des pare-feu ou d'autres filtres qui peuvent pr√©venir les attaques par injection SQL ou RFI. De plus, les pare-feu sont tr√®s utiles en ce qui concerne le contr√īle du trafic. Ces outils peuvent enregistrer les √©v√©nements r√©seau, ce qui vous permet de d√©tecter et d'analyser d'√©ventuelles anomalies.

Foire Aux Questions

Quel est le but d'une Menace Persistante Avancée (APT)?
L'un des principaux objectifs d'une APT est de voler des donn√©es confidentielles. Cependant, il faut noter que de telles menaces suivent un sc√©nario sp√©cifique. Elles restent dans le syst√®me infect√© le plus longtemps possible afin d'extraire les donn√©es les plus pr√©cieuses et de les revendre √† des tiers. Une particularit√© des APT est l'utilisation d'exploits existants, d'applications personnalis√©es et d'architectures serveur pour √©viter de perdre du temps √† inventer ce qui existe d√©j√†. Les objectifs ultimes ne sont peut-√™tre pas l'argent et le profit, mais plut√īt le contr√īle de serveurs et de sites web pour des fuites de donn√©es typiques.
Pouvez-vous donner un exemple concret de Menace Persistante Avancée (APT)?
Un excellent exemple d'APT est l'introduction du Konni RAT dans le r√©seau informatique des diplomates russes en Indon√©sie. Ces pirates ont r√©ussi √† mener une attaque de phishing sans trop d'efforts. Ils ont d√©guis√© la lettre de la Russie √† l'Indon√©sie, en y attachant un fichier malveillant sous la forme d'une carte de vŇďux du Nouvel An. L'adresse e-mail √©tait bien s√Ľr √©galement d√©guis√©e en @mid.rf et ressemblait √† ceci : @mid.ru. Le personnel de l'ambassade n'a pas remarqu√© cette manipulation la veille du Nouvel An, noy√©e parmi d'autres messages de f√©licitations similaires.
Quels sont les deux vecteurs les plus probables pour une Menace Persistante Avancée (APT) contre votre organisation?
Une attaque APT peut être complexe ou simple. Les vecteurs les plus courants de cette attaque sont considérés comme le phishing et l'ingénierie sociale. Cependant, il ne faut pas oublier les autres vecteurs :
  • Modifications DNS ;
  • Exploitation de vuln√©rabilit√©s ;
  • Attaques zero-day ;
  • Attaques internes (compromission d'un employ√© cible) ;
  • Attaques de la cha√ģne d'approvisionnement ;
  • Ransomware ;
  • Logiciels pirat√©s.
Quelle est la différence entre les APT et la plupart des malwares?
La seule diff√©rence r√©side dans la m√©thode d'ex√©cution des t√Ęches malveillantes. Les attaques les plus courantes sont des attaques rapides et destructrices, tandis que les APT adoptent une approche plus strat√©gique. Les pirates informatiques r√©alisent leurs actions destructrices en se faisant passer pour des programmes traditionnels tels que des e-mails de phishing ou des chevaux de Troie, et une fois les t√Ęches accomplies, ils laissent derri√®re eux des traces cach√©es. Ainsi, ils parviennent √† diffuser leurs logiciels malveillants dans l'ensemble du r√©seau.
Combien y a-t-il de groupes APT?
En 2013, la chasse aux APT a commenc√©, et plus de 150 groupes de cette attaque ont √©t√© identifi√©s. Gr√Ęce √† ces d√©couvertes, on en conna√ģt maintenant non seulement les menaces, mais aussi les tactiques, les m√©thodes et les proc√©dures utilis√©es. Au cours des derni√®res ann√©es, on n'a pas entendu parler de nouveaux cas de cette attaque, probablement parce que l'approche pr√©c√©dente pour accomplir leurs t√Ęches est assez r√©ussie.