APT – Ce qu’il faut savoir sur les menaces persistantes avancées

APT

En mars 2018, un rapport sur le programme malveillant « Slingshot » a révélé que la menace était restée dissimulée dans les routeurs et les ordinateurs pendant environ six ans avant d’être découverte. Slingshot est l’exemple parfait du programme malveillant conçu pour lancer des attaques APT, c’est-à-dire par « menace persistante avancée ».

Qu’est-ce qu’une menace persistante avancée (APT) ?

Les menaces persistantes avancées sont des opérations à long terme conçues pour infiltrer et/ou exfiltrer le plus de données de valeur possible sans être découvert. Il est encore impossible d’estimer avec exactitude à quelle quantité de données Slingshot a permis d’accéder, mais les données rassemblées par Kaspersky indiquent que Slingshot a affecté environ 100 personnes en Afrique et au Moyen Orient, la plupart des cibles étant situées au Yémen et au Kenya. Comme c’était le cas de l’APT Stuxnet, Slingshot semble émaner d’un état-nation. Un APT qui reste indétecté pendant 6 ans… difficile de faire mieux.

Le cycle de vie des menaces persistantes avancées (APT)

APT advanced persistent threat lifecycle

Le cycle de vie d’un APT est bien plus long et complexe que celui des autres types d’attaques.

À titre d’exemple, Stuxnet a mené une attaque stratégique contre une cible de grande valeur : les programmeurs ont écrit un code spécial pour attaquer la commission de contrôle d’un fabricant utilisé par l’Iran pour enrichir de l’uranium. Le code ayant été écrit de façon à le rendre difficile à trouver, il a eu tout le temps de faire tous les dégâts possibles. Le cycle de vie d’un APT est bien plus long et compliqué que celui des autres types d’attaques.

  1. Définir la cible : définissez qui vous visez, votre objectif et ce qui vous motive.
  2. Trouver et organiser les complices : sélectionnez les membres de l’équipe, identifiez les compétences requises et cherchez à accéder à un utilisateur interne.
  3. Créer ou acquérir des outils : trouvez les outils actuellement disponibles ou créez de nouvelles applications pour disposer d’outils adaptés à la mission.
  4. Rechercher la cible : découvrez qui dispose de l’accès dont vous avez besoin, identifiez le matériel et le logiciel utilisés par la cible et déterminez comment conduire l’attaque de manière optimale.
  5. Tester la détection : déployez une petite version de test de votre logiciel, testez les communications et les alertes, identifiez les points faibles.
  6. Déploiement : on entre dans le vif du sujet. Déployez la suite complète et commencez l’infiltration.
  7. Intrusion initiale : une fois le réseau infiltré, déterminez où aller et trouvez la cible.
  8. Initialiser la connexion sortante : acquisition de la cible, demande d’évacuation. Créez un tunnel pour commencer à envoyer des données depuis la cible.
  9. Étendre l’accès et obtenir des données d’identification : créez un « réseau fantôme » que vous contrôlez dans le réseau cible, exploitez l’accès pour mieux vous déplacer.
  10. Renforcer sa position : exploitez d’autres vulnérabilités pour établir d’autres zombies ou étendez votre accès à d’autres emplacements précieux.
  11. Exfiltrer les données : une fois que vous avez trouvé ce que vous recherchez, ramenez-le à la base.
  12. Couvrir ses traces et rester indétecté : toute l’opération repose sur votre capacité à rester caché sur le réseau. Veillez à rester dissimulé et prenez soin de faire le ménage derrière vous.

Boîte à outils : menace persistante avancée

Compte tenu du nombre d’étapes et de personnes impliquées, les activités APT exigent une importante coordination. On retrouve quelques tactiques qui ont fait leurs preuves dans les différentes opérations APT :

  • Ingénierie sociale : la plus efficace et la plus ancienne des méthodes d’infiltration. Il vous sera bien plus facile de convaincre une personne de vous accorder l’accès dont vous avez besoin que de le voler ou de l’obtenir par vous-même. La plupart des attaques APT intègrent un élément d’ingénierie sociale, au début, lors de la phase de recherche de cible, ou vers la fin, pour couvrir vos traces.
  • Spear phishing : le Spear phishing est une tentative ciblée visant à voler des données d’identification à une personne précise. Cette personne est généralement identifiée au cours de la recherche de cible comme étant un vecteur possible d’infiltration. Comme le Shotgun phishing, le Spear phishing utilise un malware, un enregistreur de frappes (Keylogger) ou un e-mail pour inciter la personne à fournir ses identifiants.
  • Rootkits : les rootkits sont difficiles à détecter du fait qu’ils résident à proximité de la racine des systèmes informatiques. Le rootkit est efficace pour ce qui est de se cacher et d’accorder l’accès au système affecté. Une fois qu’il est installé, les auteurs de l’attaque peuvent l’utiliser pour accéder à l’entreprise visée. Ils peuvent continuer d’infiltrer d’autres systèmes une fois qu’ils sont sur le réseau, compliquant ainsi la tâche des équipes de sécurité chargées de contenir la menace.
  • Exploits : les bugs zero-day ou autres exploits connus constituent des proies faciles pour les APT. Une faille de sécurité non corrigée a permis à l’APT qui visait Equifax de rester indétecté pendant plusieurs mois.
  • Autres outils : si les outils ci-dessus sont les plus couramment utilisés, les autres solutions possibles semblent illimitées (téléchargements infectés, DNS tunnelling, WI-FI trafiqué, etc.) Et qui sait ce que la prochaine génération de hackers développera ou a déjà développé sans que nous ne le sachions ?

Qui est derrière les menaces persistantes avancées (APT) ?

Les auteurs d’attaques APT ont tendance à être motivés et impliqués. Ils ont un objectif en ligne de mire et sont organisés, dégourdis, et déterminés à parvenir à leurs fins. Certaines opérations sont menées sous couvert d’organisations de grande envergure, telles que des états-nations ou de grandes entreprises.
Ces groupes sont impliqués dans des opérations d’espionnage dans le seul but de réunir des renseignements ou de nuire à leurs cibles.

Parmi les groupes APT bien connus, on trouve :

  • APT28 (ou Fancy Bear)
  • Deep Panda
  • Equation
  • OilRig

Les grandes entreprises se livreront à de l’espionnage industriel avec des APT, les hacktivistes les utiliseront pour voler des éléments à charge contre leurs cibles. Des APT moins évolués ont été créés simplement pour voler de l’argent.
Ce sont de loin les plus répandus, mais leurs auteurs ne sont pas aussi expérimentés que ceux qui sont soutenus par des états-nations.

Les APT sont généralement motivées par l’espionnage, l’appât du gain ou l’obtention d’un avantage concurrentiel sur un rival, ou tout simplement par le vol et l’exploitation.

Quelles sont les principales cibles des menaces persistantes avancées (APT) ?

Généralement, les APT visent des entités de grande valeur telles que d’autres états-nations ou de grandes entreprises rivales. Néanmoins, n’importe qui peut être la cible d’un APT.

Deux caractéristiques révélatrices d’une attaque APT sont sa durée prolongée et les efforts répétés de dissimulation.

N’importe quelle donnée sensible peut être visée par une APT, tout comme la monnaie ou quasi-monnaie, tel que les données de compte bancaire et clés de portefeuille bitcoin. Parmi les cibles potentielles, on trouve :

  • Propriété intellectuelle (inventions, secrets commerciaux, brevets, conceptions, processus)
  • Données classifiées
  • Données personnelles permettant l’identification (PII)
  • Données sur l’infrastructure (telles que données de reconnaissance)
  • Identifiants d’accès
  • Communications sensibles ou incriminantes (voir Sony)

Comment gérer les menaces persistantes avancées (APT) ?

APT advanced persistent threats how to manage

Vous protéger des APT exige une approche de sécurité en couches :

  • Surveillez tout : réunissez toutes les informations possibles sur vos données. Où se trouvent vos données ? Qui a accès à ces données ? Qui apporte des modifications au pare-feu ? Qui modifie les données d’identification ? Qui a accès aux données sensibles ? Qui a accès à notre réseau et d’où viennent ces personnes ? Vous devez savoir tout ce qui se passe sur votre réseau et au niveau de vos données ? Les fichiers eux-mêmes sont des cibles. Si vous savez ce qui arrive à vos fichiers, vous pouvez réagir et empêcher les APT de nuire à votre organisation.
  • Procédez à une analyse de la sécurité des données : comparez l’activité des utilisateurs et celle des fichiers par rapport aux comportements classiques afin de savoir ce qui est normal et ce qui est suspect. Suivez et analysez les vulnérabilités potentielles et les activités suspectes afin de pouvoir bloquer une menace avant qu’il ne soit trop tard. Établissez un plan d’action pour gérer les menaces lorsque vous recevez les alertes. En fonction de leur nature, les menaces exigent un plan de réponse différent : vos équipes ont besoin de savoir comment procéder et enquêter sur chaque menace et incident de sécurité.
  • Protégez le périmètre : limitez et contrôlez l’accès au pare-feu et à l’espace physique. Tout point d’accès offre un point d’entrée potentiel à une APT. Les serveurs non corrigés, les routeurs WIFI ouverts, les salles serveur non verrouillées et les pare-feu non sécurisés sont autant d’opportunités d’infiltration. Bien que l’on ne puisse ignorer le périmètre, s’il fallait repenser totalement la sécurité des données, nous commencerions par surveiller les données.

Sans surveillance, les attaques APT peuvent être difficiles (voire impossibles) à détecter. Les hackers mettent tout en œuvre pour pouvoir continuer d’agir sans être détectés. Lorsqu’ils ont franchi le périmètre, ils passent pour un utilisateur comme un autre, ce qui empêche de les repérer lorsqu’ils volent des données ou endommagent vos systèmes.

La Plate-forme de sécurité des données Varonis apporte les capacités de surveillance et d’analyse dont vous avez besoin pour détecter et faire échec aux APT qui visent votre organisation, même lorsqu’elles sont dans la place.