Qu'est-ce qu'une Menace Persistante Avancée (APT) ?

mars 16, 2022

Définition d’une menace persistante avancée

Une menace persistante avancée (Advanced Persistent Threat – APT) est une cyberattaque sophistiquée de longue durée, au cours de laquelle un intrus établit une présence non détectée sur un réseau pour voler des données sensibles sur une période prolongée. Il s’agit d’une forme d’attaque conçue et planifiée avec soin dans le but d’infiltrer une entreprise déterminée, de contourner les dispositifs de sécurité existants et d’échapper à toute détection.

L’exécution d’une attaque APT exige un niveau de personnalisation et de sophistication plus élevé que pour les attaques classiques. Les cyberadversaires font généralement partie d’équipes cybercriminelles expérimentées disposant de moyens financiers importants et ciblant des entreprises de premier plan. Ils consacrent un temps et des ressources considérables à la recherche et à l’identification de vulnérabilités au sein de ces entreprises.

Les objectifs visés par les menaces persistantes avancées relèvent de quatre catégories générales :

  • Cyberespionnage, dont le vol de propriété intellectuelle ou de secrets d’État
  • Cybercriminalité à des fins de gains financiers
  • Cyberactivisme
    Destruction

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Les trois phases d’une attaque APT

Pour prévenir, détecter et neutraliser efficacement une attaque APT, il est essentiel d’en reconnaître les caractéristiques. La plupart de ces attaques suivent le même cycle de fonctionnement de base : infiltration du réseau, ouverture de l’accès et exécution de l’attaque en vue d’atteindre l’objectif visé, qui consiste généralement à dérober des données en les extrayant depuis le réseau.

Phase 1 – Infiltration

Lors de cette première phrase, les menaces persistantes avancées accèdent souvent au réseau par le biais de techniques d’ingénierie sociale. Une menace persistante avancée peut prendre la forme d’un e-mail de phishing ciblant de manière sélective des personnes haut placées, telles que des cadres dirigeants ou des leaders technologiques, et s’appuyant généralement sur les informations obtenues auprès de collègues préalablement compromis. Les attaques par e-mail ciblant des personnes spécifiques sont qualifiées d’attaques de « harponnage » ou de « spear phishing ».

L’e-mail concerné peut apparaître comme provenant d’un collègue et contenir des références à un projet en cours. Si plusieurs cadres signalent avoir été trompés par une attaque de spear phishing, cherchez d’autres signes d’une attaque APT.

Phase 2 – Élévation des privilèges et déplacement latéral

Après s’être introduits dans le réseau de l’entreprise, les cyberattaquants y injectent un malware, ou logiciel malveillant, afin de lancer la deuxième phase : l’ouverture de l’accès. Ils se déplacent alors de manière latérale afin d’établir une cartographie du réseau et de recueillir des identifiants de connexion, tels que des noms de comptes et des mots de passe, qui leur permettront d’accéder à des données métier critiques.

Ils peuvent également créer une « porte dérobée », destinée à leur permettre de s’introduire à nouveau sur ce réseau pour y mener des opérations furtives. D’autres points d’entrée sont souvent établis afin de permettre à l’attaque de se poursuivre dans le cas où un point compromis serait découvert et neutralisé.

Phase 3 – Exfiltration

En préparation de la troisième et dernière phase, les cybercriminels conservent généralement les informations dérobées dans un emplacement sécurisé au sein du réseau jusqu’à ce qu’ils aient recueilli suffisamment de données. Ces données sont ensuite extraites, ou « exfiltrées », en toute discrétion. Pour ce faire, les cybercriminels peuvent recourir à des techniques telles qu’une attaque par déni de service (DoS) afin de détourner l’attention de l’équipe de sécurité et de neutraliser les responsables du réseau pendant l’exfiltration des données. Le réseau peut rester compromis et ainsi ouvert aux cybercriminels, qui pourront y accéder à leur guise.

EN SAVOIR PLUS

Vous souhaitez rester au fait des activités récentes des cyberadversaires ? Consultez le blog Research and Threat Intel, consacré à la recherche et à la cyberveille, pour prendre connaissance des dernières études, tendances et informations sur les cybermenaces émergentes.Blog Research and Threat Intel

Exemples de menaces persistantes avancées

CrowdStrike surveille actuellement plus de 150 cyberadversaires dans le monde, notamment des États, des cybercriminels et des cyberactivistes. Le système de désignation des cyberadversaires de CrowdStrike reflète le pays à la solde duquel ils agissent : « BEAR » pour la Russie, « CHOLLIMA » pour la Corée du Nord, « PANDA » pour la Chine et « KITTEN » pour l’Iran. L’appellation « SPIDER » désigne les cybercriminels qui ne sont à la solde d’aucun État.

Vous trouverez ci-dessous quelques exemples notables de menaces persistantes avancées détectées par CrowdStrike :

APT27 (GOBLIN PANDA)

Goblin Panda For Blog

GOBLIN PANDA (APT27) a été observé pour la première fois en septembre 2013, lorsque CrowdStrike a découvert des indicateurs d’attaque sur le réseau d’une société de technologies active dans plusieurs secteurs. Ce cyberadversaire basé en Chine s’appuie sur deux documents d’exploit Microsoft Word sur le thème de la formation pour distribuer des fichiers malveillants dès leur ouverture. Les cibles opèrent pour la plupart dans les secteurs de la défense, de l’énergie et des pouvoirs publics en Asie du Sud-Est, et plus particulièrement au Vietnam.

Découvrez notre profil APT complet de Goblin Panda

APT28 (FANCY BEAR)

Fancy Bear Blog

FANCY BEAR utilise des messages de phishing et de faux sites web ressemblant à s’y méprendre aux sites légitimes pour accéder à des ordinateurs traditionnels et à des terminaux mobiles. Actif depuis au moins 2008, ce cyberattaquant russe s’en est pris à des instances politiques américaines, à des organisations militaires européennes et à des acteurs de différents secteurs à travers le monde.

Découvrez notre profil complet du groupe APT Fancy Bear

APT29 (COZY BEAR)

profile picture of apt29 cozy bear

Cozy Bear est un cyberadversaire d’origine russe suspecté d’agir au nom du service de renseignement extérieur (SVR) de la Fédération de Russie. Ce cyberadversaire a été identifié avec un degré de confiance modéré comme étant l’auteur de campagnes de spear phishing de grande envergure conçues pour distribuer toute une série de malwares, dans le but d’attaquer des entités politiques, scientifiques et de sécurité nationale de différents secteurs dont les activités correspondent vraisemblablement aux objectifs de collecte de données persistants de plusieurs directions opérationnelles du SVR.

Découvrez notre profil complet du groupe APT Cozy Bear

APT32 (OCEAN BUFFALO)

profile picture of apt32

Actif depuis au moins 2012, Ocean Buffalo est un cyberadversaire vietnamien spécialisé dans les intrusions ciblées. Il est connu pour exploiter tout un éventail de tactiques, techniques et procédures (TTP) et s’appuie à la fois sur des outils personnalisés et clés en main, mais aussi sur la distribution de malwares par le biais d’opérations de compromission de sites web stratégiques et d’e-mails de spear phishing contenant des pièces jointes malveillantes.

APT34 (HELIX KITTEN)

HELIX KITTEN

HELIX KITTEN est un cyberadversaire vraisemblablement iranien, actif depuis au moins fin 2015. Il cible les entreprises des secteurs de l’aérospatiale, de l’énergie, de la finance, des services publics, de l’hôtellerie et des télécommunications, et utilise des e-mails de spear phishing structurés, parfaitement documentés et particulièrement pertinents pour les personnes ciblées. Il distribue généralement un implant PowerShell personnalisé par le biais de documents Microsoft Office intégrant des macros.

Découvrez le profil APT complet de HELIX KITTEN

APT41 (WICKED PANDA)

profile picture of apt41

Wicked Panda s’est révélé être l’un des cyberadversaires chinois les plus prolifiques et performants depuis le milieu des années 2010 jusqu’aux années 2020. D’après l’équipe CrowdStrike Intelligence, Wicked Panda consiste en un super-ensemble de groupes incluant plusieurs sous-traitants œuvrant pour le compte de l’État chinois, tout en continuant à mener des opérations criminelles à but lucratif, probablement avec l’accord tacite de hauts responsables du Parti communiste chinois.

Découvrez le profil APT complet de WICKED PANDA

Secteurs ciblés

Services financiers : les sommes considérables qui transitent par les établissements financiers, ainsi que le rôle essentiel que joue le secteur financier au sein des économies nationales et internationales, en font une cible logique aussi bien pour les cybercriminels que pour les cyberadversaires à la solde d’États.

Santé : la pandémie de COVID-19 a donné lieu à une déferlante de cyberactivité malveillante émanant à la fois de cybercriminels et de cyberadversaires à la solde d’États, qui ont profité de l’incertitude provoquée par la pandémie pour lancer des campagnes de spam ou, dans le cas des cyberadversaires spécialisés dans les intrusions ciblées, réorienter leurs efforts de collecte afin de cibler des informations scientifiques susceptibles d’aider un gouvernement national dans sa réponse à la pandémie de COVID-19 et dans le développement de vaccins.

Fabrication : les fabricants détiennent souvent des éléments de propriété intellectuelle de grande valeur, ce qui en fait des cibles privilégiées pour les auteurs de menaces persistantes avancées engagés dans des missions d’espionnage économique.

Télécommunications : en raison du rôle essentiel que jouent les entreprises de télécommunication dans un grand nombre d’autres secteurs, ainsi que des répercussions physiques et psychologiques que peut avoir une attaque contre l’une de ces entreprises, celles-ci font face à une multitude de menaces émanant de cyberadversaires à la solde d’États, de cybercriminels ou de cyberactivistes.

Aviation : les compagnies aériennes et les aéroports présentent un intérêt majeur dans le cadre des opérations de collecte de renseignements d’État. Ces entités constituent en outre pour les cybercriminels (en particulier ceux intéressés par la chasse au gros gibier) des cibles potentiellement lucratives.

Caractéristiques d’une attaque APT

Dans la mesure où les menaces persistantes avancées s’appuient sur des techniques différentes des attaques classiques, elles laissent des traces différentes. Outre les campagnes de spear phishing ciblant les dirigeants d’entreprises, divers signes peuvent indiquer une menace persistante avancée, notamment :

  • Activité inhabituelle des comptes utilisateur (augmentation des connexions à des comptes de haut niveau pendant la nuit, par exemple)
  • Présence massive de chevaux de Troie exploitant des portes dérobées
  • Ensembles de données inattendus ou inhabituels, pouvant indiquer que celles-ci ont été regroupées en vue de leur exfiltration
  • Flux d’informations exceptionnels (par exemple, anomalies dans les données sortantes ou augmentation soudaine et inhabituelle des opérations liées aux bases de données impliquant des volumes importants de données)

Protection contre les menaces avancées : l’importance de la vitesse

La vitesse est devenue l’aspect le plus crucial pour la cybersécurité. Pour assurer votre protection, vous devez vous montrer plus rapide que vos cyberadversaires. Chez CrowdStrike, nous tirons parti du temps de propagation pour déterminer le degré de sophistication opérationnelle des cybercriminels et la vitesse à laquelle une réponse doit être apportée.

Le temps de propagation est le temps nécessaire à un intrus pour commencer à se déplacer latéralement au sein d’un réseau après avoir obtenu l’accès à celui-ci. Il s’agit d’un indicateur critique pour mesurer la vitesse à laquelle les cyberadversaires peuvent agir, mais aussi pour évaluer les délais de détection et d’intervention des équipes de sécurité.

Pour empêcher les compromissions, une entreprise doit être en mesure de détecter les menaces, de mener les investigations nécessaires et de prendre les mesures de correction qui s’imposent dans les plus brefs délais. CrowdStrike applique la « règle 1-10-60 », selon laquelle une intrusion doit être détectée au cours de la 1ère minute, examinée dans les 10 premières minutes et neutralisée dans les 60 minutes. Une telle approche est essentielle pour devancer les cyberadversaires, même si certains cyberattaquants peuvent se montrer encore plus rapides.

Examinons les temps de propagation moyens actuels des principaux cybercriminels par pays :

CybercriminelsTemps de propagation moyen
Russie00:18:49
Corée du Nord02:20:14
Chine04:00:26
Iran05:09:04
Cybercriminels non à la solde d'États09:42:23

Notez que le temps de propagation des cybercriminels qui ne sont à la solde d’aucun État constitue une moyenne pour l’ensemble des groupes et que certains cyberadversaires peuvent agir beaucoup plus rapidement que ne le laisse penser ce délai moyen. Ces moyennes permettent aux entreprises d’ajuster leur délai d’intervention cible en fonction, notamment, des types de cyberadversaires auxquels elles ont le plus de risque d’être confrontées, compte tenu de leur secteur d’activité et de l’orientation régionale de leurs opérations. Par exemple, si votre entreprise est visée par un cyberattaquant agissant pour le compte de la Russie, une compromission majeure peut facilement avoir lieu en moins d’une heure.

Pour respecter la règle 1-10-60 et stopper net les attaques APT, les entreprises peuvent compter sur la plateforme CrowdStrike Falcon®, qui comprend l’antivirus de nouvelle génération Falcon Prevent. Falcon Prevent est un antivirus natif au cloud qui va au-delà de la simple détection des malwares et prévient les attaques zero day et sans malwares.

La solution de détection et d’intervention sur les endpoints (EDR) Falcon Insight, autre composant essentiel de la plateforme Falcon, recherche les indicateurs d’attaque afin d’intervenir avant que des données soient compromises. La solution CrowdStrike Falcon® Intelligence facilite l’investigation des incidents et accélère les interventions en cas de compromission grâce à l’intégration transparente d’une cyberveille automatisée et d’indicateurs personnalisés pour la protection des endpoints. Combinée à l’expertise de l’équipe mondiale CrowdStrike Falcon Intelligence™, la plateforme Falcon permet aux entreprises de toutes tailles de réagir plus rapidement et de contrer les attaques APT de façon proactive.