Qu'est-ce qu'une menace persistante avancée (APT) ?

Explorez le monde des APT, où stratégies et tactiques sophistiquées évoluent en permanence, posant de nouveaux défis pour la cybersécurité mondiale.

Présentation

Définition
Fonctionnement
Types d'APT
Étapes d'une attaque
Détection & Réponse

Solutions de sécurité

Une APT (menace persistante avancée) est une catégorie d'attaque qui, ciblant une organisation spécifique, permet à un attaquant d'accéder à son environnement puis de s'y dissimuler, sans être détecté, afin d'exfiltrer des données ou d'attendre le bon moment pour lancer une attaque plus paralysante. Les menaces de ce type se définissent par leur ciblage stratégique et leur persistence, ainsi que par les tactiques, techniques et procédures auxquelles elles recourent.

Le principal objectif d'une attaque APT est le gain financier. Parfois, les intrus exfiltrent des données, tandis que dans d'autres situations, ils attendent que les conditions soient réunies pour achever leur cyberattaque. En général, l'objectif final est de rendre extrêmement difficiles la prévention, la protection, la détection et la remédiation des attaques secondaires. En termes simples, les attaquants qui recourent aux APT ne veulent pas que vous sachiez qu'ils se trouvent dans votre environnement.

Les entités de grande valeur, comme celles qui détiennent un grand nombre de données sensibles ou qui jouent un rôle majeur dans la sécurité nationale ou la stabilité économique, sont souvent prises pour cible. Les organisations sont ciblées pour leur valeur stratégique et pour les conséquences potentielles que pourrait avoir leur compromission (ainsi, il peut s'agir d'organismes gouvernementaux, d'infrastructures critiques, de sous-traitants de la défense ou de vendeurs et fournisseurs de la chaîne d'approvisionnement des organisations ciblées).

Les grandes entreprises et les organisations gouvernementales sont également prises pour cible en raison de l'énorme volume de données précieuses qu'elles détiennent. Les petites entreprises sont de plus en plus visées, dès lors qu'elles font partie de la chaîne d'approvisionnement d'une entité plus importante : au final, tout cela permet à l'attaquant d'infiltrer sa cible principale, la plus importante.

Les acteurs APT ratissent large, en s'attaquant à tous les secteurs. Parmi les cibles de grande valeur figurent les entités des secteurs de la défense, de la finance, du droit, de l'industrie, des télécommunications et des biens de consommation.

Fonctionnement

Les menaces persistantes avancées (APT) se distinguent des autres cybermenaces par leur sophistication et leur complexité, associant des techniques avancées à des tactiques sociales plus courantes telles que le phishing ou le spam. Méticuleusement planifiées et exécutées, elles se concentrent sur une cible unique après de nombreuses recherches sur la surface d'attaque de la victime. Lors de la phase d'exécution d'une APT, l'objectif de l'attaquant consiste à passer inaperçu aussi longtemps que possible sur le réseau. Cette phase peut durer des semaines, voire des années.

En faisant appel à des sources de renseignements commerciales et open source, les APT peuvent recourir à un vaste éventail de techniques de collecte de renseignements, allant du malware de base aux outils d'espionnage étatique. La nature pratique des APT se reflètent également dans les méthodologies utilisées. L'exécution manuelle est privilégiée aux scripts automatisés, dans la mesure où les attaquants cherchent à concevoir des attaques conçues sur mesure pour leurs cibles et emploient des méthodes telles que les attaques sans fichier et l'exploitation de ressources locales (technique dite du « living off the land »).

Des techniques d'attaque courantes et particulièrement efficaces, telles que celles basées sur les vulnérabilités RFI, l'injection SQL et les failles XSS, sont fréquemment utilisées. Parmi les principaux symptômes d'une attaque APT figurent les portes dérobées (chevaux de Troie), les activités inhabituelles des comptes et les anomalies dans les flux de données après qu'un attaquant s'est implanté dans un environnement et y est actif.

Les APT déploient souvent des malwares personnalisés (malwares APT) conçus pour échapper à la détection et permettre de commander et de contrôler à distance les systèmes compromis. Les outils, tactiques, techniques et procédures sont souvent mis à jour, toujours dans le but d'échapper à la détection. Même lorsque certaines parties de l'opération sont découvertes, il n'est pas exclu que les auteurs de la menace puissent accéder de nouveau à l'environnement. Cette approche « faible et lente » s'inscrit dans le cadre d'objectifs stratégiques à long terme tels que l'espionnage, les perturbations répétées et le vol de données, plutôt que dans celui d'objectifs à court terme tels qu'une vague d'attaques implacables ou un coup ponctuel (ransomware).

Types de menaces persistantes avancées

Les groupes d'APT sont classés selon divers critères, allant de leur origine aux techniques qu'ils utilisent en passant par leurs méthodes d'infiltration et leur champ d'action géographique.

Bien qu'il n'existe pas d'ensemble de caractéristiques permettant de définir parfaitement toutes les menaces persistantes avancées, certains groupes d'APT sont plus fréquemment rencontrés et évoqués que les autres. Il sont présentés ci-dessous.

· Groupes d'APT soutenus par des États-nations : forts de budgets considérables, d'un accès aux technologies les plus récentes et d'une couverture juridique, ces groupes sont à l'origine de certaines des missions les plus sophistiquées, telles que l'espionnage à long terme, le vol de données, la manipulation de l'opinion publique, etc. Ces groupes ont des objectifs politiques ou militaires bien établis et ciblent des organisations gouvernementales, des installations militaires, des infrastructures clés, des acteurs économiques et, plus généralement, toute personne ou entité susceptible de les aider à atteindre leurs objectifs à long terme.

· Groupes d'APT criminels : certains groupes se livrent à des activités APT axées sur le vol d'argent ou d'autres actifs précieux (données, propriétés intellectuelles) ou sur la compromission de données à des fins de chantage ou d'extorsion. Bien souvent, l'objectif final de ces groupes est d'implanter des ransomwares dans des réseaux de grande valeur, de commettre des fraudes bancaires, de voler et de vendre des informations de cartes de crédit, ou de miner illégalement des cryptomonnaies en exploitant l'infrastructure de leurs victimes.

· Groupes d'APT hacktivistes : certains groupes utilisent leurs cybercapacités pour faire avancer des idées politiques, favoriser un changement social ou promouvoir des idéologies au moyen d'attaques ciblées visant à faire taire les critiques, à diffuser de la propagande ou à détruire l'opposition. Parmi leurs tactiques figurent les attaques par déni de service distribué (DDoS), les défigurations de sites Internet et la divulgation d'informations sensibles. Ces groupes recherchent la publicité, souvent par le biais de manifestes ou de messages publics.

· Groupes d'APT soutenus par des entreprises : employés ou financés par des organisations commerciales (généralement de grande envergure), ces groupes d'APT espionnent les concurrents de ces organisations. Avec l'émergence de l'APT en tant que service, certains groupes de cybercriminels expérimentés proposent désormais leurs services à des fins d'espionnage industriel. Les acteurs de cette catégorie sont motivés par l'obtention d'un avantage concurrentiel, d'un gain financier ou d'informations précieuses exploitées dans le cadre de l'espionnage industriel.

Les différentes étapes d'une attaque persistante avancée

1. Infiltration – S'implanter : lors de cette première étape, les attaquants exploitent des vulnérabilités ou recourent à des techniques d'ingénierie sociale pour obtenir un accès non autorisé. Les méthodes qu'ils emploient vont de l'exploitation de vulnérabilités zero-day ou de faiblesses du réseau au spear phishing ciblant des personnes clés de l'organisation. L'objectif est d'établir un point d'entrée discret, préparant ainsi le terrain pour l'attaque à venir.

2. Expansion – Explorer pour établir une persistance : suite au succès de l'infiltration initiale, les attaquants se déplacent latéralement dans le réseau afin d'étendre leur contrôle et d'approfondir leur accès. Ils recherchent généralement des comptes dotés de privilèges élevés pour un meilleur accès aux systèmes critiques et aux données sensibles. Les attaquants peuvent utiliser des malwares pour établir un réseau de tunnels et de portes dérobées leur permettant de se déplacer plus facilement dans les systèmes sans être détectés ; ils cherchent à se retrancher dans une position mieux adaptée à la poursuite de leurs objectifs principaux.

3. Extraction – Ouvrir un passage : , souvent, lors de cette phase, les attaquants ont déjà acquis une bonne compréhension des vulnérabilités des systèmes et mis au point une méthode de travail. Cette familiarité leur permet de collecter les informations dont ils besoin et, peut-être, de les stocker dans un endroit sécurisé du réseau. Afin d'éviter d'être détectés lors de l'extraction, les attaquants recourent à des diversions telles que des attaques par déni de service distribué (DDoS).

Dans certains cas, l'objectif final d'une APT n'est pas d'obtenir des informations. Les ressources sont plutôt utilisées pour saper un projet, une mission ou un programme critique de l'organisation ciblée.

Quels que soient leurs objectifs, les attaquants s'efforcent constamment de couvrir leurs traces afin de conserver un accès non détecté au réseau pour de futures attaques.

Détecter les APT et y répondre

La détection d'une menace persistante avancée nécessite une stratégie de sécurité complète intégrant la recherche de menaces dans l'ensemble des processus, des charges de travail et des plateformes, la surveillance méticuleuse de l'environnement et l'analyse du trafic réseau (entrant et sortant). Les équipes de cybersécurité doivent être capables de reconnaître les « signaux » subtils indicatifs d'une activité d'APT, tels que les modèles de trafic de commande et contrôle. Ces indicateurs faibles doivent être rassemblés au sein d'une analyse consolidée des menaces, rapidement consultable et exploitable par un humain. Sans cela, les équipes peuvent avoir du mal à mettre en œuvre une réponse rapide et efficace.

Une fois la menace détectée, la réponse doit être immédiate et ciblée. Ici, l'objectif consiste à identifier les systèmes affectés, à supprimer les portes dérobées et à prévenir les déplacements latéraux. Les organisations doivent aussi investir du temps et des efforts dans des analyses post-incidents minutieuses afin de renforcer leurs défenses contre de futures attaques. Il est essentiel d'analyser à la fois les aspects techniques des violations et les procédures opérationnelles pour réduire le profil de risque d'une organisation.

Il existe des pratiques exemplaires qu'une organisation peut suivre en vue de réduire les vulnérabilités de sécurité couramment exploitées par les APT. Il s'agit notamment de :

· de réduire la surface d'attaque, en procédant régulièrement à la mise à jour des logiciels, des applications et des appareils et en leur appliquant les correctifs disponibles ;

· de mettre en œuvre une surveillance globale du trafic réseau, des applications et des domaines, ainsi que de robustes mesures de contrôle des accès, telles que l'authentification à deux facteurs, afin de sécuriser les principaux points d'accès au réseau ;

· de chiffrer toutes les connexions distantes ;

· d'inspecter les e-mails entrants afin d'atténuer les risques associées au spear phishing ; et

· d'analyser et de consigner les évènements de sécurité immédiatement afin de faciliter l'identification et la remédiation rapide des menaces.

Mesures de prévention et de protection contre les APT

Au niveau le plus élémentaire, une formation régulière peut significativement réduire le risque associé aux facteurs humains. L'erreur humaine est souvent le maillon faible de la cybersécurité, et les APT l'exploitent fréquemment en recourant à des techniques d'ingénierie sociale. La mise en place d'un plan de réponse aux incidents formalisé et éprouvé permettra de répondre efficacement et de manière coordonnée à une violation de la sécurité.

Les menaces persistantes avancées (APT) évoluent constamment, représentant un véritable défi pour les équipes de sécurité. Cette évolution met à rude épreuve leur capacité à suivre et à atténuer les menaces et à faire preuve de résilience face à leurs conséquences. Les équipes de sécurité peuvent détecter les menaces avancées et y répondre en s'appuyant sur le cadre MITRE ATT&CK, une base de connaissance mondiale sur les tactiques et techniques adverses.

Les contraintes budgétaires et la pénurie durable de professionnels qualifiés font que les centres des opérations de sécurité (SOC), les fournisseurs de services de sécurité gérés (MSSP) et les équipes de sécurité internes ne disposent pas de toutes les ressources dont ils besoin. L'augmentation constante du nombre de cyberattaques sophistiquées a incité les équipes de sécurité à intégrer les données provenant d'outils de détection standard à des renseignements exploitables sur les menaces.

Les renseignements sur les menaces, lorsqu'ils sont associés à des systèmes de détection et de réponse au niveau des endpoints (EDR), deviennent de puissants alliés. L'extension de l'EDR pour y inclure des flux et aboutir à une solution XDR (détection et réponse étendues) aide les organisations à tirer parti de la visibilité sur l'ensemble des actifs et des appareils du réseau afin d'identifier les points d'entrée potentiels des APT.

L'analyse approfondie des journaux par une équipe ne permet pas de distinguer les activités malveillantes des activités légitimes en temps réel. Par conséquent, une cyberdéfense efficace doit être basée sur une solution de cybersécurité automatisée intelligente qui recourt à des renseignements sur les menaces et à des mécanismes de défense avancés pour déjouer les adversaires.

De nombreuses organisations s'associent à des sociétés de cybersécurité pour la mise au point de stratégies de défense avancées, le déploiement de capteurs, l'utilisation des renseignements sur les menaces et des indicateurs de compromission (IoC) et la mise en œuvre de pare-feu pour les applications Internet (WAF). Ces partenariats sont essentiels pour produire des résultats lisibles par l'homme en matière de chasse aux menaces, avec pour objectif la recherche proactive d'indicateurs d'activités APT au sein de l'environnement multicloud ou hybride cloud d'une organisation.

FAQ

Pourquoi la communauté de la cybersécurité a-t-elle ressenti le besoin de dissocier les menaces persistantes avancée de la catégorie plus large des cybermenaces ?

Les APT représentent une catégorie de menaces nettement plus complexes, méthodiques et gourmandes en ressources que les cybermenaces traditionnelles.

La création de cette classification répond au besoin d'identifier et de relever les défis uniques posés par des adversaires dont les campagnes ne sont pas seulement opportunistes ou motivées par l'appât du gain, mais aussi stratégiques et persistantes.

Parmi les autres facteurs de différentiation ayant conduit à l'utilisation courante du terme APT figurent le recours à des stratégies d'infiltration à long terme, l'importance des financements et des origines souvent étatiques.

Comment puis-je m'assurer que les acteurs APT ne me considèrent pas comme une cible ?

En raison de leur nature stratégique et souvent imprévisible, il est presque impossible de garantir que les acteurs de l'APT ne considèreront pas une organisation ou un individu comme une cible. Dès lors que avez une empreinte numérique, vous vous exposez à des attaques potentielles.

Dans les économies interconnectées d'aujourd'hui, même les plus petites PME ne sont pas à l'abri, dans la mesure où de grandes organisations peuvent être infiltrées par l'intermédiaire d'entreprises plus petites faisant partie de leur chaîne d'approvisionnement. Par conséquent, une vigilance constante, une évaluation régulière des risques et la mise en œuvre de robustes pratiques cybersécuritaires sont les seuls outils véritablement efficaces pour réduire le risque d'être victime d'une attaque APT.

Des APT peuvent-elles être infiltrées suite au placement intentionnel d'une menace interne au sein d'une organisation ?

Les menaces internes correspondent à des personnes qui, profitant de leur position à un poste de confiance au sein d'une organisation, agissent de façon malveillante. Il peut s'agir d'employés mécontents agissant pour des raisons politiques ou financières, ou d'agents placés là intentionnellement. Ces menaces internes peuvent être extrêmement difficiles à détecter et à atténuer car les personnes concernées disposent d'un accès légitime au réseau et peuvent avoir une bonne connaissance des pratiques de sécurité mises en œuvre pour le protéger.

Afin de minimiser le risque d'infiltration d'APT, les organisations peuvent promouvoir une culture de la sécurité basée sur une formation régulière des employés, une vérification rigoureuse de leurs antécédents, l'application du principe de moindre privilège concernant le contrôle des accès (confiance zéro) et la surveillance du comportement des employés à l'aide de systèmes SIEM (gestion des informations et des évènements de sécurité).