Les organisations sont constamment menacées par des groupes APT sophistiqués.
Ces menaces peuvent exfiltrer des données sensibles, causant des pertes financières et de réputation.
Cet article explore les schémas d’attaque des APT et comment se protéger efficacement contre eux.
Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.
Qu'est-ce qu'un Advanced Persistent Threat ?
- APT :Advanced Persistent Threat
Ils représentent des groupes hautement qualifiés, dotés d’outils sophistiqués et de buts précis. Leurs objectifs ne sont pas toujours de causer des dégâts, mais plutôt de persister dans le temps avec une furtivité et une exfiltration de données, souvent associés à des gouvernements. Il convient de prendre garde aux faux indices (attribution)
Schéma d'une attaque APT en cybersécurité
Généralement, un groupe APT (Advanced Persistent Threat) suit un mode opératoire bien défini lors d’une attaque. En parlant de l’attaque de manière générale, nous pouvons schématiser le processus comme suit :
Le groupe commence par collecter des informations sur l’organisation et ses ressources, en effectuant des analyses OSINT (Open Source Intelligence) et des reconnaissances pour préparer une attaque de type phishing. La plupart du temps, l’attaque est exploitée à ce stade, bien que des exploitations directes puissent également être utilisées.
Cependant, dans la plupart des cas, l’attaque prend la forme d’une distribution via des e-mails de phishing , et peut être plus précise avec du spear phishing . Dans le phishing, une fois que les utilisateurs sont piégés, l’attaquant incite à l’installation d’un port dérobé (backdoor) qui permet un accès persistant à la machine affectée. Cela permet à l’attaquant de prendre le contrôle total de la machine et de récupérer et d’exfiltrer les données sensibles, telles que des documents. Ces données sont souvent déposées sur le serveur C&C (Command and Control) pour être exploitées ultérieurement par les attaquants.
Serveurs C&C et menace APT
Ces serveurs distants sont souvent appelés serveurs de commande et de contrôle . Ce sont des serveurs utilisés par les attaquants comme serveurs intermédiaires pour distribuer des ordres aux différentes machines affectées, ainsi que pour héberger et camoufler leurs malwares, outils et même les documents ou informations exfiltrées.Haut du formulai
Plusieurs plateformes fournissent des documentations très intéressantes sur les APT (Advanced Persistent Threats) , et notamment la plateforme FireEye , une référence majeure dans le domaine de la cybersécurité . Ils fournissent tout d’abord une petite définition des groupes APT . Ils ne donnent pas de responsabilité présumée, car il est important de noter que ces attributions sont présumées. Une fois les attributions faites, elles ne sont pas toujours à 100 % certaines et peuvent être politiques. Ces attributions sont basées sur des mots détectés, etc.
De plus, il y a souvent un flou et une ambiguïté dans les rapports présentés. On ne parle pas vraiment des groupes APT liés au temps, par exemple, ou liés à plusieurs puissances européennes ou à une région spécifique.
Par exemple, l ‘APT39 est associé à un responsable présumé en Iran . Il est généralement très ciblé dans ses attaques. Les présentations générales des groupes incluent les malwares associés , les vecteurs d’attaque et une analyse spécifique .
Généralement, ces groupes d’attaquants sont soutenus par des gouvernements et peuvent être utilisés pour l’espionnage industriel ou politique . Cependant, il est toujours important de noter qu’il y a toujours une cible, que ce soit financièrement, politiquement ou pour le cyberespionnage, etc. Donc, il existe différents groupes APT avec différents responsables.
D’ailleurs, au niveau de la documentation fournie, on trouve diverses ressources, liens et références vers différents groupes APT . On peut choisir parmi une variété de groupes et voir les présentations spécifiques de chacun. En explorant ces ressources, on peut accéder à des informations détaillées sur les activités, les attaques et les caractéristiques propres à chaque groupe, permettant ainsi une meilleure compréhension de la menace cybernétique .
Par exemple, en cliquant sur » Twisted Spider « , nous obtenons des informations sur ce groupe, notamment une brève description de ses activités et les différentes cibles qu’il vise. En général, on peut découvrir les pays qui pourraient être ciblés ainsi que les industries et les technologies susceptibles d’être visées par ce groupe. Cela permet de mieux appréhender les motivations et les objectifs des attaquants, ainsi que les secteurs à risque.
De plus, il existe un fichier répertoriant tous les groupes disponibles, comme vous pouvez le voir ici. Vous pouvez choisir parmi différents groupes en fonction de vos besoins spécifiques. Il y a également des rapports détaillés que vous pouvez télécharger pour obtenir une analyse approfondie de chaque groupe, fournissant ainsi une vue d’ensemble complète des menaces potentielles et des stratégies d’attaque.
Enfin, nous avons également le site du MITRE qui répertorie ces différents groupes APT . Sur ce site, je peux choisir un groupe APT parmi ceux qui sont disponibles. Je trouve toujours une petite description du groupe, un identifiant donné par l’organisme du MITRE associé à ce groupe, ainsi que la date de création et la dernière modification. Cela offre une vue complète des groupes APT répertoriés, permettant une meilleure compréhension de leurs caractéristiques et de leurs activités.
Et nous avons également tous les groupes associés avec une petite description. Nous pouvons y trouver les techniques qui seront utilisées par ces groupes, ainsi que les outils et logiciels utilisés. De plus, des références complémentaires sont disponibles, ce qui permet d’approfondir notre compréhension des activités et des méthodes de chaque groupe APT répertorié.
Parlons maintenant de la Cyber Kill Chain , qui se compose de trois phases principales et de neuf étapes au total. Cette dernière commence par une phase de préparation d’attaque , suivie par la phase d’intrusion , et enfin la phase de compromission ou de breach .
Phases de la Cyber Kill Chain pour APT
Phase 1 : Préparation
- Reconnaissance :
- L’attaquant collecte des données sur la cible et les tactiques de l’attaque. Cela inclut la collecte d’adresses e-mail et la collecte d’autres informations.
- Les scanners automatisés sont utilisés par les intrus pour trouver des points de vulnérabilité dans le système. Cela inclut l’analyse des pare-feu, des systèmes de prévention des intrusions, etc. pour obtenir un point d’entrée pour l’attaque
- Weaponization
- Les informations obtenues de l’étapes précédentes vont permettre de créer un moyen pour infiltrer le système d’information de la victime.
- Pour cela, des logiciels malveillants ou malwares sont utilisées.
Phase 2 : d’intrusion
- Delivery
- Dans cette étape, le pirate va livrer (l’arme) qui sera utilisée pour atteindre la cible,
- Par exemple le pirate peut envoyer un email en se faisant passer par la banque de l’utilisateur, cet email contient un lien qui redirige vers une page d’authentification factice. Le but est de collecter les vrais paramètres de l’authentification afin de les utiliser plus tard.
- Les autres moyens de livraison peuvent être l’utilisation d’une clé USB, compromettre un site web ou l’interaction des réseaux sociaux.
- Exploitation :
- L’objectif ici est d’exploiter une vulnérabilité afin d’accéder au système d’information de la victime.
- Pour cela plusieurs moyens peuvent être utilisés (faille 0 day, les vulnérabilités, l’ouverture d’une pièce jointe ou le fait de cliquer sur un lien malveillant).
- Installation :
- Un Cheval de Troie de porte dérobée ou d’accès à distance est installé par le logiciel malveillant qui permet à l’intrus d’accéder.
- C’est également une autre étape importante où l’attaque peut être stoppée à l’aide de systèmes tels que HIPS (Host-based Intrusion Prevention System)
Phase 3 : Breach
- Commande & Contrôle :
- Le logiciel malveillant installé précédemment ouvre un canal de communication vers le pirate informatique. Ce logiciel est à l’entrée, prêt à exécuter les commandes du pirate.
- Les canaux de communications généralement utilisés sont basés sur des protocoles WEB, DNS ou MAIL.
- Action on objectiv :
- L’attaquant extrait finalement les données du système.
- L’objectif consiste à collecter, crypter et extraire des informations confidentielles de l’environnement de l’organisation.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.
FAQ
Qu'est-ce qu'un groupe APT?
Comment un groupe APT mène-t-il une attaque?
Quels sont les rôles des serveurs C&C dans une attaque APT?
Quelle est l'importance de la Cyber Kill Chain pour comprendre les attaques APT?
Comment les rapports sur les groupes APT aident-ils à la cybersécurité?
Conclusion
Les Advanced Persistent Threats continuent de représenter un défi majeur pour la cybersécurité mondiale. Quelle stratégie adopteriez-vous pour détecter et contrer ces menaces avant qu’elles n’atteignent leurs objectifs?