Cybersécurité

Comprendre les menaces persistantes avancées

L'Équipe Alphorm Par L'Équipe Alphorm

Les organisations sont constamment menacées par des groupes APT sophistiqués.

Ces menaces peuvent exfiltrer des données sensibles, causant des pertes financières et de réputation.

Cet article explore les schémas d’attaque des APT et comment se protéger efficacement contre eux.

Table de matière
Qu'est-ce qu'un Advanced Persistent Threat ?Schéma d'une attaque APT en cybersécuritéServeurs C&C et menace APTPhases de la Cyber Kill Chain pour APTFAQConclusion

Formation Techniques de Blue Teaming (1/2) : L'essentiel pour l'Analyste SOC

Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.

Découvrir cette formation

Qu'est-ce qu'un Advanced Persistent Threat ?

  • APT :Advanced Persistent Threat

Ils représentent des groupes hautement qualifiés, dotés d’outils sophistiqués et de buts précis. Leurs objectifs ne sont pas toujours de causer des dégâts, mais plutôt de persister dans le temps avec une furtivité et une exfiltration de données, souvent associés à des gouvernements. Il convient de prendre garde aux faux indices (attribution)

Schéma d'une attaque APT en cybersécurité

Généralement, un groupe APT (Advanced Persistent Threat) suit un mode opératoire bien défini lors d’une attaque. En parlant de l’attaque de manière générale, nous pouvons schématiser le processus comme suit :

Schéma illustrant les étapes d'une attaque APT

Le groupe commence par collecter des informations sur l’organisation et ses ressources, en effectuant des analyses OSINT (Open Source Intelligence) et des reconnaissances pour préparer une attaque de type phishing. La plupart du temps, l’attaque est exploitée à ce stade, bien que des exploitations directes puissent également être utilisées.

Cependant, dans la plupart des cas, l’attaque prend la forme d’une distribution via des e-mails de phishing , et peut être plus précise avec du spear phishing . Dans le phishing, une fois que les utilisateurs sont piégés, l’attaquant incite à l’installation d’un port dérobé (backdoor) qui permet un accès persistant à la machine affectée. Cela permet à l’attaquant de prendre le contrôle total de la machine et de récupérer et d’exfiltrer les données sensibles, telles que des documents. Ces données sont souvent déposées sur le serveur C&C (Command and Control) pour être exploitées ultérieurement par les attaquants.

Serveurs C&C et menace APT

Ces serveurs distants sont souvent appelés serveurs de commande et de contrôle . Ce sont des serveurs utilisés par les attaquants comme serveurs intermédiaires pour distribuer des ordres aux différentes machines affectées, ainsi que pour héberger et camoufler leurs malwares, outils et même les documents ou informations exfiltrées.Haut du formulai

Diagramme APT avec serveur C&C et clients

Plusieurs plateformes fournissent des documentations très intéressantes sur les APT (Advanced Persistent Threats) , et notamment la plateforme FireEye , une référence majeure dans le domaine de la cybersécurité . Ils fournissent tout d’abord une petite définition des groupes APT . Ils ne donnent pas de responsabilité présumée, car il est important de noter que ces attributions sont présumées. Une fois les attributions faites, elles ne sont pas toujours à 100 % certaines et peuvent être politiques. Ces attributions sont basées sur des mots détectés, etc.

De plus, il y a souvent un flou et une ambiguïté dans les rapports présentés. On ne parle pas vraiment des groupes APT liés au temps, par exemple, ou liés à plusieurs puissances européennes ou à une région spécifique.

FireEye et les groupes APT sur la cybercriminalité.

Par exemple, l ‘APT39 est associé à un responsable présumé en Iran . Il est généralement très ciblé dans ses attaques. Les présentations générales des groupes incluent les malwares associés , les vecteurs d’attaque et une analyse spécifique .

Généralement, ces groupes d’attaquants sont soutenus par des gouvernements et peuvent être utilisés pour l’espionnage industriel ou politique . Cependant, il est toujours important de noter qu’il y a toujours une cible, que ce soit financièrement, politiquement ou pour le cyberespionnage, etc. Donc, il existe différents groupes APT avec différents responsables.

APT39, menace persistante avancée liée à l'Iran.

D’ailleurs, au niveau de la documentation fournie, on trouve diverses ressources, liens et références vers différents groupes APT . On peut choisir parmi une variété de groupes et voir les présentations spécifiques de chacun. En explorant ces ressources, on peut accéder à des informations détaillées sur les activités, les attaques et les caractéristiques propres à chaque groupe, permettant ainsi une meilleure compréhension de la menace cybernétique .

Noms de groupes APT sur fond artistique

Par exemple, en cliquant sur  » Twisted Spider « , nous obtenons des informations sur ce groupe, notamment une brève description de ses activités et les différentes cibles qu’il vise. En général, on peut découvrir les pays qui pourraient être ciblés ainsi que les industries et les technologies susceptibles d’être visées par ce groupe. Cela permet de mieux appréhender les motivations et les objectifs des attaquants, ainsi que les secteurs à risque.

Illustration Twisted Spider, menace cybersécurité

De plus, il existe un fichier répertoriant tous les groupes disponibles, comme vous pouvez le voir ici. Vous pouvez choisir parmi différents groupes en fonction de vos besoins spécifiques. Il y a également des rapports détaillés que vous pouvez télécharger pour obtenir une analyse approfondie de chaque groupe, fournissant ainsi une vue d’ensemble complète des menaces potentielles et des stratégies d’attaque.

Tableau des cyber-menaces sur CrowdStrike

Enfin, nous avons également le site du MITRE qui répertorie ces différents groupes APT . Sur ce site, je peux choisir un groupe APT parmi ceux qui sont disponibles. Je trouve toujours une petite description du groupe, un identifiant donné par l’organisme du MITRE associé à ce groupe, ainsi que la date de création et la dernière modification. Cela offre une vue complète des groupes APT répertoriés, permettant une meilleure compréhension de leurs caractéristiques et de leurs activités.

Capture écran MITRE ATT&CK groupes APT

Et nous avons également tous les groupes associés avec une petite description. Nous pouvons y trouver les techniques qui seront utilisées par ces groupes, ainsi que les outils et logiciels utilisés. De plus, des références complémentaires sont disponibles, ce qui permet d’approfondir notre compréhension des activités et des méthodes de chaque groupe APT répertorié.

Page APT29 sur le site MITRE ATT&CK

Parlons maintenant de la Cyber Kill Chain , qui se compose de trois phases principales et de neuf étapes au total. Cette dernière commence par une phase de préparation d’attaque , suivie par la phase d’intrusion , et enfin la phase de compromission ou de breach .

Phases de la Cyber Kill Chain pour APT

Diagramme des phases APT : préparation, intrusion, brèche

Phase 1 : Préparation

  • Reconnaissance :
  • L’attaquant collecte des données sur la cible et les tactiques de l’attaque. Cela inclut la collecte d’adresses e-mail et la collecte d’autres informations.
  • Les scanners automatisés sont utilisés par les intrus pour trouver des points de vulnérabilité dans le système. Cela inclut l’analyse des pare-feu, des systèmes de prévention des intrusions, etc. pour obtenir un point d’entrée pour l’attaque
  • Weaponization
  • Les informations obtenues de l’étapes précédentes vont permettre de créer un moyen pour infiltrer le système d’information de la victime.
  • Pour cela, des logiciels malveillants ou malwares sont utilisées.

Phase 2 : d’intrusion

  • Delivery
  • Dans cette étape, le pirate va livrer (l’arme) qui sera utilisée pour atteindre la cible,
  • Par exemple le pirate peut envoyer un email en se faisant passer par la banque de l’utilisateur, cet email contient un lien qui redirige vers une page d’authentification factice. Le but est de collecter les vrais paramètres de l’authentification afin de les utiliser plus tard.
  • Les autres moyens de livraison peuvent être l’utilisation d’une clé USB, compromettre un site web ou l’interaction des réseaux sociaux.
  • Exploitation :
  • L’objectif ici est d’exploiter une vulnérabilité afin d’accéder au système d’information de la victime.
  • Pour cela plusieurs moyens peuvent être utilisés (faille 0 day, les vulnérabilités, l’ouverture d’une pièce jointe ou le fait de cliquer sur un lien malveillant).
  • Installation :
  • Un Cheval de Troie de porte dérobée ou d’accès à distance est installé par le logiciel malveillant qui permet à l’intrus d’accéder.
  • C’est également une autre étape importante où l’attaque peut être stoppée à l’aide de systèmes tels que HIPS (Host-based Intrusion Prevention System)

Phase 3 : Breach

  • Commande & Contrôle :
  • Le logiciel malveillant installé précédemment ouvre un canal de communication vers le pirate informatique. Ce logiciel est à l’entrée, prêt à exécuter les commandes du pirate.
  • Les canaux de communications généralement utilisés sont basés sur des protocoles WEB, DNS ou MAIL.
  • Action on objectiv :
  • L’attaquant extrait finalement les données du système.
  • L’objectif consiste à collecter, crypter et extraire des informations confidentielles de l’environnement de l’organisation.

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Qu'est-ce qu'un groupe APT?
Les groupes APT, ou Advanced Persistent Threats, sont des entités hautement qualifiées utilisant des techniques sophistiquées pour mener des attaques prolongées et furtives. Leur objectif principal est souvent l’exfiltration de données sensibles plutôt que de causer des dommages immédiats. Ces groupes sont souvent associés à des gouvernements et peuvent cibler des secteurs spécifiques pour l’espionnage industriel ou politique. Comprendre leur fonctionnement est crucial pour renforcer la cybersécurité.
Un groupe APT suit généralement un processus structuré lors d’une attaque. Cela commence par la reconnaissance, où ils collectent des informations sur la cible via des techniques comme l’OSINT. Ensuite, ils utilisent des méthodes telles que le phishing pour infiltrer le système, souvent en installant un logiciel malveillant qui permet un accès persistant. Les données collectées sont exfiltrées vers des serveurs C&C pour exploitation ultérieure. Ce processus est souvent furtif et ciblé pour maximiser l’impact.
Les serveurs C&C (Command and Control) jouent un rôle crucial dans les attaques APT en agissant comme des points de communication entre l’attaquant et le logiciel malveillant installé sur le système compromis. Ils permettent aux attaquants de contrôler à distance les machines infectées, de distribuer des commandes et de collecter les données exfiltrées. En camouflant ces activités, les serveurs C&C aident les attaquants à échapper à la détection tout en prolongeant leur présence au sein du réseau cible.
La Cyber Kill Chain est un modèle qui décrit les phases d’une attaque APT, permettant une meilleure compréhension et prévention des menaces. Elle se compose de trois phases principales : la préparation, l’intrusion et la compromission. Chaque étape, de la reconnaissance à l’exfiltration de données, est cruciale pour identifier les vulnérabilités et renforcer les défenses. En comprenant ce cycle, les organisations peuvent mieux anticiper les tactiques des attaquants et mettre en place des mesures de sécurité efficaces.
Les rapports sur les groupes APT, tels que ceux fournis par FireEye ou MITRE, sont essentiels pour la cybersécurité. Ils offrent des analyses détaillées des activités des groupes, y compris les techniques et outils utilisés. Ces informations permettent aux professionnels de la sécurité de mieux comprendre les menaces, d’identifier les tendances et de développer des stratégies de défense adaptées. Accéder à ces rapports aide à se préparer contre les attaques futures et à renforcer la résilience des systèmes.

Conclusion

Les Advanced Persistent Threats continuent de représenter un défi majeur pour la cybersécurité mondiale. Quelle stratégie adopteriez-vous pour détecter et contrer ces menaces avant qu’elles n’atteignent leurs objectifs?

ÉTIQUETÉ : SOC (Security Operations Center)
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire