Que sont les menaces persistantes avancées ?

Quelles sont les caractéristiques des menaces persistantes avancées (APT) ?

Les APT sont très différentes des attaques opportunistes comme le phishing à large spectre qui ont tendance à s’appuyer sur des tactiques d’exploitation de masse et peuvent être menées même par des acteurs peu expérimentés. Voici quelques-unes des caractéristiques distinctives des APT :

• Nature hautement ciblée : les APT sont soigneusement conçues pour compromettre des entreprises, des secteurs, des individus ou des gouvernements spécifiques. Leurs cibles possèdent généralement des données précieuses ou sensibles que les hackers peuvent manipuler, détruire ou vendre.
• Présence à long terme : les APT sont conçues pour rester indétectables au sein d’un réseau pendant des mois, voire des années. Cela donne aux hackers le temps d’analyser minutieusement leur cible, et d’accroître la valeur et le volume de leur attaque.
• Furtivité et évasion : les APT utilisent des techniques qui échappent aux mesures de sécurité de base. Parmi les stratégies les plus courantes figurent le chiffrement, l’usurpation d’identité (spoofing) et l’auto-réécriture (polymorphisme).
• Soutien d’un État-nation ou du crime organisé : les APT sont souvent financées par des entités gouvernementales ou criminelles qui poursuivent des objectifs politiques, des avantages concurrentiels ou des profits. Les acteurs malveillants peuvent utiliser ces ressources pour accéder à des outils et des exploits spécialisés.

Comment fonctionnent les menaces persistantes avancées

Les APT suivent un cycle de vie en plusieurs étapes pour infiltrer une cible, établir leur contrôle et éviter la détection. Les principales étapes sont les suivantes :

1. Reconnaissance : les hackers collectent des informations concernant leur cible afin de trouver l’angle d’attaque idéal. Il peut s’agir de détails sur le réseau, les applications, les utilisateurs (par exemple, noms ou identifiants de connexion), les partenaires, etc. de la cible.
2. Compromission initiale : les hackers accèdent au réseau cible, souvent par le biais de l’ingénierie sociale (par exemple, e-mails de spear phishing ou compromission d’e-mails professionnels), des exploits de type « zero day » ou des attaques de type « watering hole » (ou attaque de point d’eau).
3. Établissement d’une présence : les hackers déploient des malwares tels que des chevaux de Troie d’accès à distance (RAT) ou des portes dérobées, qui leur permettent de récupérer l’accès si leur point d’entrée initial est fermé.
4. Élévation des privilèges : les hackers utilisent des identifiants de connexion volés ou exploitent des failles de sécurité internes (par exemple, politiques d’accès laxistes ou erreurs de configuration) pour obtenir des autorisations de haut niveau ou un accès administrateur.
5. Déplacement latéral : les hackers utilisent leurs nouveaux privilèges pour se déplacer sur le réseau sans être détectés, renforçant ainsi leur emprise pendant qu’ils explorent l’environnement.
6. Exfiltration de données : les hackers transfèrent des données de valeur (par exemple, propriété intellectuelle, dossiers financiers, informations clients) vers un emplacement externe qu’ils contrôlent. Souvent, ils chiffrent les données ou les intègrent à un trafic légitime pour éviter d’être détectés.
7. Effacement des traces : pour conserver leur accès au réseau et continuer à échapper à la détection, les hackers peuvent modifier ou supprimer les journaux, modifier les horodatages, etc.
    

Tactiques, techniques et procédures APT émergentes

Outre celles mentionnées ci-dessus, les groupes APT continuent d’innover de nouvelles techniques pour contourner les méthodes de sécurité APT établies.

Détournement des services cloud

Les groupes APT détournent de plus en plus les services cloud légitimes tels que GitHub et Dropbox pour mener des attaques furtives. Ces services disposent d’un chiffrement natif, ce qui permet aux APT de passer facilement inaperçues via des tactiques telles que :

• L’utilisation malveillante des API permet d’exploiter les intégrations logicielles de confiance pour contourner les contrôles de sécurité.
• L’utilisation malveillante des webhooks permet d’exploiter les communications automatisées d’application à application pour dissimuler leur emplacement.
• Les résolveurs de boîte aux lettres morte (« dead drop resolvers ») permettent d’exploiter le stockage cloud pour protéger l’emplacement de leur infrastructure malveillante.
• L’hébergement de payloads permet de stocker des payloads malveillants sur des plateformes qui utilisent des outils de sécurité de confiance.

Détournement des réseaux sociaux

Les acteurs APT utilisent également les réseaux sociaux comme couverture pour des techniques sophistiquées d’ingénierie sociale, des boîtes aux lettres mortes, etc. En se faisant passer pour des recruteurs et des chercheurs en sécurité sur des plateformes telles que LinkedIn et X (Twitter), ils peuvent mener certaines parties de leurs attaques à la vue de tous.

Pour en savoir plus, consultez le rapport ThreatLabz sur les attaques chiffrées.

Qui lance les menaces persistantes avancées ?

Les hackers APT appartiennent généralement à l’une des catégories suivantes :

• Parrainés par un État-nation
• Groupes hacktivistes
• Organisations cybercriminelles
• Acteurs internes motivés par des facteurs externes

Les acteurs responsables des APT sont des pirates informatiques hautement qualifiés qui disposent généralement de ressources importantes et d’un soutien financier qui leur donnent accès à des méthodes et des outils avancés. Leurs commanditaires peuvent être des organisations criminelles à but lucratif, mais il s’agit principalement de groupes étatiques impliqués dans le cyberespionnage. Des groupes basés en Chine, en Iran, en Corée du Nord et en Russie sont régulièrement associés à des campagnes APT de grande envergure.

Exemples concrets d’attaques APT

Les APT constituent une menace active et croissante. Voici quelques incidents récents :

• Télétravailleurs nord-coréens en Occident : des acteurs malveillants nord-coréens ont utilisé l’ingénierie sociale, l’IA générative et des données volées, notamment du code source, des données personnelles et des portefeuilles cryptographiques, pour obtenir des opportunités de télétravail dans des pays occidentaux.
• Kimsuky (APT43) : ce groupe de menaces soutenu par la République populaire démocratique de Corée (RPDC) utilise diverses techniques, notamment des extensions Chrome malveillantes, pour voler des identifiants de connexion, des données de suivi et bien plus encore auprès de groupes de réflexion, d’agences gouvernementales et d’établissements scolaires sud-coréens.
• Earth Baku (APT41) : cet acteur malveillant basé en Chine utilise le chargeur furtif DodgeBox pour diffuser le malware de porte dérobée MoonWalk. Initialement connu pour cibler des organisations en Asie du Sud-Est, le groupe a également étendu ses activités à la région EMEA.

Parallèlement, d’autres attaques APT moins récentes ont également marqué les esprits :

• Attaque de SolarWinds (2020) : des acteurs étatiques russes ont déployé des mises à jour trojanisées sur le logiciel SolarWinds Orion, leur permettant d’installer des malwares sur les systèmes d’environ 18 000 clients de SolarWinds, dont des agences du gouvernement américain.
• Stuxnet (2010) : prétendument lié à une opération secrète de cyber-sabotage, ce ver malveillant a perturbé les processus industriels dans les installations nucléaires iraniennes, endommageant gravement près de mille centrifugeuses nucléaires.
• Opération Aurora (2009) : des acteurs malveillants soutenus par la Chine ont utilisé une faille de type « zero day » dans le navigateur Internet Explorer pour voler les données de dizaines de grandes entreprises, dont Adobe, Google et Yahoo. Cet incident a conduit Google à cesser ses activités en Chine.

Impacts de ces campagnes

Les attaques d’APT peuvent avoir des répercussions majeures, et les violations de données ne sont que le début. À la suite d’une violation, les victimes peuvent être confrontées à des pertes financières, ainsi qu’à des conséquences juridiques, réglementaires et d’atteinte à la réputation, ce qui peut parfois entraîner un très long processus de rétablissement.

Si une APT perturbe des opérations ou des systèmes critiques, elle peut entraîner des interruptions dans les chaînes d’approvisionnement, la production industrielle ou les services publics essentiels, voire provoquer des troubles politiques ou économiques plus larges. L’opération Aurora et les attaques Stuxnet démontrent notamment que les APT peuvent contribuer à des tensions sociopolitiques et géopolitiques à long terme.

Comment détecter et se défendre contre les APT

Les groupes APT conçoivent leurs attaques de manière experte afin qu’elles soient difficiles à détecter, bien que cela ne soit pas impossible. La défense contre les APT exige une architecture de sécurité robuste et proactive qui fournit les caractéristiques suivantes :

• Visibilité complète : la surveillance continue élimine les angles morts sur les terminaux, les réseaux et les clouds afin de détecter toute activité suspecte.
• Détection d’anomalies : les outils optimisés par l’IA peuvent identifier des schémas inhabituels, tels que des flux de trafic anormaux ou des tentatives déguisées d’exfiltration de données.
• Renseignements sur les menaces intégrés : les renseignements sur les menaces en temps réel relient les données externes à l’activité interne, permettant une identification plus rapide des tactiques spécifiques aux APT.
• Traque proactive des menaces : les experts en traque des menaces peuvent rechercher des activités telles que l’élévation de privilèges ou le déplacement latéral avant qu’elles ne déclenchent des alertes automatisées.
• Outils de détection avancés : des outils tels que la détection et la réponse aux menaces sur les terminaux (EDR), les systèmes de détection d’intrusion (IDS) et les sandbox peuvent révéler des signes de comportement APT que les outils traditionnels ne détectent pas.
• Architecture Zero Trust : les contrôles d’accès sur la base du moindre privilège, et la vérification continue des identités et des appareils minimisent les risques de déplacement latéral ou d’escalade.
   

Comment Zscaler gère les APT

Zscaler associe des fonctionnalités essentielles à une architecture Zero Trust cloud native et à des analyses avancées pour une sécurité APT complète. Notre approche combine les fonctionnalités suivantes :

• Inspection inline complète du trafic : notre architecture proxy cloud native inspecte l’ensemble du trafic entrant et sortant, y compris le trafic chiffré TLS/SSL, à une échelle infinie.
• Analyse sandbox cloud inline : notre sandbox optimisé par l’IA fournit une inspection illimitée et sans latence, ainsi que des verdicts en temps réel afin de bloquer les menaces avant qu’elles n’atteignent les terminaux.
• Renseignements experts sur les menaces : ThreatLabz, notre équipe de recherche sur les menaces suit activement les groupes APT les plus sophistiqués au monde afin de comprendre les tendances et les tactiques émergentes.