APT signifie «Advanced Persistent Threat», et il est vraiment important de savoir de quoi il s’agit et comment vous pouvez les empêcher d’infiltrer votre réseau.

Ce guide examinera les tenants et les aboutissants des APT, pourquoi ils sont si dangereux et quels effets ils peuvent avoir s’ils compromettent vos défenses de cybersécurité.

Qu’est-ce qu’un APT?

Comme mentionné ci-dessus, l’acronyme signifie «Advanced Persistent Threat». Il s’agit d’un terme général appliqué aux attaques de logiciels malveillants dirigées par des pirates informatiques qui maintiennent une présence sur un réseau pendant une période prolongée, généralement pour extraire des données extrêmement sensibles.

Les APT sont des agressions calculées généralement dirigées contre de grandes entreprises ou organisations chargées de héberger un grand nombre d’informations sensibles, souvent planifiées des mois voire des années à l’avance avec des recherches approfondies sur le réseau cible et l’entreprise ou l’institution qui l’utilise.

L’ampleur d’une telle opération, ainsi que les informations qui peuvent être obtenues, signifie que les APT sont à tout le moins parrainés par l’État et, dans certains cas, même exécutés par une aile d’un gouvernement donné, que ce soit secrètement ou explicitement.

Quel type de données les APT récupèrent-ils?

Les attaques ATP ciblent parfois des rames spécifiques de données qui ont une grande importance politique, économique et sociale. Ces attaques APT pointues peuvent être déclenchées par des groupes souhaitant obtenir des brevets, des algorithmes ou des secrets commerciaux – comme la conception d’une arme à la pointe de la technologie ou l’emplacement exact d’un silo de missiles.

Cependant, il peut s’agir d’un simple désir d’obtenir toutes les données sur un système donné – le piratage des serveurs d’un gouvernement et la récupération de toutes les informations personnelles de son personnel constitueraient une violation très dangereuse, par exemple.

Certains APT tentent de réaliser le contraire et cherchent à supprimer des fichiers en masse pour perturber ou détruire la capacité de l’organisation cible à fonctionner comme elle le ferait avant l’attaque. En termes politiques, les APT présentent une occasion en or pour les régimes de mettre leurs ennemis à l’écart tout en conservant un déni plausible.

N’est-ce pas la même chose que les logiciels malveillants standard?

Pas assez. Les APT sont un animal complètement différent. Ils sont bien plus complexes que n’importe quel malware que l’on pourrait rencontrer dans la nature. Les APT sont spécialement conçus pour attaquer les réseaux gouvernementaux et d’entreprise sécurisés par les systèmes de prévention des intrusions les plus robustes jamais développés.

Les logiciels malveillants standard, en revanche, seront généralement créés et diffusés en ayant à l’esprit des cibles illettrées et sans méfiance. De nombreuses victimes d’attaques de logiciels malveillants ordinaires n’auront même pas de protection antivirus de base installée sur leur ordinateur.

Une autre distinction importante réside dans la «  persistance  » des APT – les logiciels malveillants standard aident souvent les pirates ou les escrocs à sécuriser ce qu’ils recherchent et à exécuter, tandis que les APT sont conçus pour récupérer des informations d’un réseau sur une période de temps continue. Cela peut prendre des semaines, des mois ou des années.

Comment entrent-ils dans des réseaux sécurisés?

Bien que le spear-phishing, la chasse à la baleine et diverses autres méthodes «  cliquez sur le lien  » soient les plus couramment utilisées, les attaques APT ont été déclenchées en utilisant:

• Inclusion de fichiers à distance.
• Injections SQL / autres techniques d’injection de code.
• Tunnel DNS.
• Stratégies d’ingénierie sociale.
• Utilisation avancée des epxloits zero day ou des faiblesses du système.
• Infection via des logiciels malveillants physiques.

Exemples d’APT connus

Les exemples les plus récents de menaces persistantes avancées peuvent être attribués à la Corée du Nord et aux organisations russes fortement liées à leur appareil d’État.

En novembre dernier, Microsoft a confirmé que plus d’un groupe de des pirates ont tenté de voler des secrets de vaccins d’une série d’entreprises en France, au Canada, en Inde, aux États-Unis et en Corée du Sud menant des essais cliniques. Ils ont découvert que le tristement célèbre groupe d’espionnage russe Fancy Bear – que les entreprises de cybersécurité britanniques considèrent comme parrainé par le gouvernement russe – était à l’origine de certaines de ces attaques.

D’autres groupes de cyberespionnage liés au Kremlin, comme Cozy Bear, ont infiltré avec succès les réseaux détenus et utilisés par le Comité national démocrate, le département d’État et la Maison Blanche ces dernières années. L’un de ces APT n’a pas été détecté pendant près d’un an dans le système de la DNC.

Le groupe Lazarus (également connu sous le nom de Zinc) de Corée du Nord – dont on connaît très peu d’informations à leur sujet – a également été identifié comme les auteurs de la tentative de vol de vaccins. Un groupe que Microsoft appelle Cerium, qui serait également originaire de Corée du Nord, était la troisième entité à avoir tenté de voler des données. Plus récemment, des hackers du royaume ermite ont été accusés d’avoir tenté de s’introduire dans les systèmes du développeur de vaccins Pfizer.

Un exemple légèrement plus ancien est Stuxnet, un ver qui a été utilisé pour mettre fin au programme nucléaire iranien en détruisant les centrifugeuses qui enrichissent l’uranium, est largement considéré comme ayant été inventé par les services de renseignement américains et israéliens agences dans ce but précis. Il est ensuite devenu incontrôlable et a commencé à infecter des ordinateurs en dehors de la base nucléaire iranienne, ce qui serait arrivé après que Israël ait modifié les codes. L’actuel président Joe Biden, à l’époque, aurait été irrité par cela.

Comment se déroulent les attaques APT: étape par étape

1. Infiltration –Le réseau cible est infiltré à l’aide d’une sorte de stratégie de malware courante, comme le phishing. Cerium a fait cela en se faisant passer pour le QUI.
2. Consolidation –Le logiciel essaie de trouver d’autres vulnérabilités dans le système et de mettre en place des portes dérobées réseau, de sorte que si la faille de sécurité qu’il a traversée est fermée, l’attaque peut continuer.
3. Pénétration – Lentement, le logiciel malveillant approfondira son accès à différentes parties du réseau, remontant la chaîne de commande jusqu’à ce que les appareils les plus classifiés et sécurisés des individus soient compromis et que les droits d’administrateur soient acquis.
4. Continuation – Le malware continuera alors à se frayer un chemin sur le reste du réseau, faisant autant de ravages et collectant autant d’informations que possible, qui seront stockées en toute sécurité sur le réseau par les acteurs de la menace.
5. Retrait – Une attaque DDoS leurre peut être déclenchée pour distraire le personnel de sécurité lorsque les données souhaitées sont supprimées, corrompues ou filtrées hors du réseau. L’attaque est terminée. Selon la nature de l’attaque, certains APT peuvent persister indéfiniment, tandis que d’autres ne laisseront délibérément aucune trace de leur présence.

Reconnaître qu’un réseau a été infecté

Comme nous l’avons vu, les APT sont conçus pour être incroyablement difficiles à repérer et à gérer. Les portes dérobées de réseau que le malware a pu créer peuvent être nombreuses et assez obscures.

De toute évidence, si vous ne trouvez pas des tonnes d’informations sensibles – qu’elles ont soudainement disparu ou ont été déplacées vers un endroit différent et inhabituel du réseau – commencez à chercher si vous hébergez par inadvertance un APT pronto. De même, les fichiers volumineux en cours de compression et de préparation pour l’exportation devraient envoyer une sonnerie d’alarme.

Un autre signe est des connexions étranges à des moments inhabituels de la journée, en particulier en dehors des heures de travail. Si vous êtes un administrateur système ou réseau, vous devriez être en mesure de surveiller tous les périphériques qui tentent de se connecter à votre réseau. Des heures de connexion suspectes – ou tout simplement beaucoup plus de connexions que ce à quoi vous vous attendez par rapport à la taille de votre réseau – devraient toutes deux inciter à une enquête plus approfondie.

Un autre signe révélateur est la présence de chevaux de Troie et les types de petits logiciels malveillants associés à une attaque plus importante. Les outils de sécurité standard peuvent les détecter sans identifier correctement la menace beaucoup plus grande et plus pernicieuse qui se cache en arrière-plan.

Que faire si vous découvrez un APT

Si vous trouvez un APT sur votre système ou réseau, vous devrez suivre quelques étapes (non ordonnées) pour vous débarrasser du malware et, à son tour, de l’APT:

• Essayez de déterminer les principaux objectifs de l’attaquant.
• Arrêtez ou fermez les points de terminaison infectés.
• Essayez de supprimer le malware présent sur le réseau.
• Désactivez tous les accès à distance au réseau.
• Révoquez les privilèges d’administrateur des comptes piratés ou compromis.
• Initiez une réinitialisation de mot de passe sur l’ensemble du réseau.
• Restaurez vos lecteurs infectés à partir d’une sauvegarde à distance.
• Informez les personnes dont les données ont été compromises.
• Collectez des images, des données et des enregistrements sur et sur l’attaque.

Comment prévenir les attaques APT

Le premier principe pour vous protéger contre une attaque ATP est de vous assurer que les personnes utilisant votre réseau ont une formation suffisante à la détection des menaces et comprennent ce qu’elles recherchent en matière de menaces.

N’oubliez pas que le logiciel malveillant doit trouver une sorte de voie initiale dans le système, qui se fera probablement par le biais d’un utilisateur du réseau sans méfiance en cliquant sur une sorte de lien de phishing dans un e-mail ou une autre correspondance électronique. C’est ainsi que la plupart des APT démarrent. Par conséquent, informer régulièrement le personnel de la sophistication accrue des e-mails de phishing et lui rappeler de rester vigilant contribuera grandement à atténuer le risque que l’un d’entre eux clique sur un lien douteux et fasse tomber l’ensemble de votre système.

La seconde serait de vous assurer que tous les logiciels de votre système sont à jour. Après tout, les acteurs APT tenteront d’exploiter une sorte de vulnérabilité dans votre réseau – alors pourquoi leur en donner l’opportunité? Les systèmes les plus à jour incluent les correctifs de sécurité les plus récents.

La surveillance générale du réseau est une autre nécessité, car elle peut aider à empêcher l’ouverture de portes dérobées, les activités d’administration suspectes et essentiellement repérer et enregistrer tous les autres types de comportements suspects. Parallèlement à cela, les changements de mot de passe réguliers et la surveillance des connexions sont vitaux, tout comme l’installation d’applications uniquement à partir d’une liste blanche.

Si vous pensez vraiment que votre entreprise peut être une cible imminente, il peut également être conseillé de mettre en place une équipe d’intervention en cas d’incidence et un guide.

Les pare-feu sont souvent considérés comme inutiles contre les APT, mais peuvent s’avérer utiles s’ils sont installés en interne sur un réseau pour rendre plus difficile les déplacements des acteurs de la menace. Fonctionner sur le principe du moindre privilège – que les utilisateurs d’un réseau ne doivent avoir accès qu’au strict minimum dont ils ont besoin pour terminer leur travail – représente une autre étape préventive qui pourrait limiter les dommages causés par un APT si votre réseau est attaqué. Les pare-feu externes entourant le réseau peuvent également identifier les attaques de la couche application et déclencher divers autres signaux d’avertissement.

* données fournies par l’étude mondiale sur les menaces persistantes avancées d’ISACA 2020.