voir APT.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
Une Advanced Persistent Threat (Anglais: traduction littérale, menace persistante avancée ; souvent abrégé APT) désigne initialement un type de piratage informatique furtif et continu, ciblant une entité spécifique.
Le terme Advanced Persistent Threat est également couramment utilisé par métonymie pour désigner des acteurs opérant des APT (aussi appelés « groupes APT »).
Il existe un flou sur le fait de savoir si le terme APT désigne une attaque ou un groupe mais la distinction n'est pas nécessairement un problème significatif dans la mesure ou une attaque APT est nécessairement produite et contrôlée par un groupe, et un groupe prend le caractère APT uniquement s'il a produit une attaque de ce type.
Comme son nom l'indique une APT doit être :
Sophistiquée : l'attaque est d'un haut niveau technique ce qui lui permet de pénétrer furtivement les systèmes d'informations d'acteurs évolués notamment les grandes entreprises ou les États.
Persistante : l'attaque est capable de se maintenir pour de longues périodes de temps dans ces systèmes et d'y agir ou d'en extraire des informations sans se faire repérer.
La mise en œuvre d'une APT nécessite des ressources importantes (équipes de techniciens très qualifiés) stables dans le temps, c'est pourquoi ce secteur a été traditionnellement considéré comme relevant d’États ou de groupes sponsorisés par des États. Cependant certains experts considèrent que la dissémination des outils APT, notamment la reprise d'outils APT étatiques, a pu permettre l'émergence de groupes APT criminels indépendants.
Signification de l'expression Advanced Persistent Threat
Dans l'expression Advanced Persistent Threat, le mot Advanced fait référence à des techniques sophistiquées utilisant des logiciels malveillants pour exploiter des vulnérabilités dans les systèmes ; le mot persistent suggère qu'un système de commandement et de contrôle externe suit et extrait des données d'une cible sur une longue période de temps ; le mot threat indique une implication humaine dans l'orchestration de l'attaque.
Historique
La première attaque de ce type, l'opération Titan Rain, a été découverte en 2003. Elle aurait duré environ 3 ans.
Les premières mises en garde contre des courriels malveillants ciblés et utilisant des techniques d'ingénierie sociale qui installaient des chevaux de Troie pour exfiltrer des informations sensibles ont été publiées par des Computer Emergency Response Team (CERT) du Royaume-Uni et des États-Unis en 2005. À cette époque, le terme Advanced Persistent Threat n'était pas utilisé.
On reconnaît généralement que le terme Advanced Persistent Threat est apparu dans l'United States Air Force en 2006 et on attribue au colonel Greg Rattray la création du terme.
Ce type d'attaque a été popularisé à la suite de différentes affaires, comme l'attaque contre le journal The New York Times par un groupe chinois qui sera par la suite appelé APT1, ou plus anciennement l'Opération Aurora.
Une idée fausse communément répandue est que les Advanced Persistent Threats ne visent que les gouvernements occidentaux. Bien que les Advanced Persistent Threats contre les gouvernements occidentaux soient plus publicisées que les autres, de très nombreux pays de toute allégeance ont utilisé le cyberespace pour recueillir des renseignements sur des individus et des groupes.
Aux États-Unis, c'est le United States Cyber Command qui est chargé de coordonner la réponse de l'armée américaine aux Advanced Persistent Threat et aux cyberattaques en général.
Principales caractéristiques des APT
Les APT sont des menaces complexes combinant souvent différents vecteurs et stratégies d'attaques, pouvant utiliser des techniques inconnues ou des failles zero day, durant assez longtemps sans être détectées, et la plupart du temps ciblées.
Cycle de vie APT
Diagramme montrant le cycle de vie de l'Advanced Persistent Threat (APT).
Les acteurs derrière les APT créent un risque croissant et changeant aux actifs financiers, à la propriété intellectuelle, et à la réputation des organismes en suivant un processus continu :
S'organiser spécifiquement en fonction de la cible pour un objectif singulier
Tenter de gagner un équilibre dans l'environnement, la tactique commune inclut l'hameçonnage par courriels
Utiliser les systèmes compromis comme accès dans le réseau de la cible
Couvrir les voies afin de maintenir l'accès pour de futures initiatives
Groupes APT
Une APT cible généralement une organisation pour des motifs d'affaires ou un État pour des motifs politiques. Une APT exige un degré élevé de dissimulation sur une longue période de temps. Le but d'une telle attaque est de placer du code malveillant personnalisé sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu pendant la plus longue période possible.
Le terme Advanced Persistent Threat est aussi utilisé pour désigner un groupe, comme un gouvernement, avec à la fois la capacité et l'intention de cibler, de façon persistante et efficace, une entité spécifique. Un individu, comme un pirate informatique, n'est généralement pas désigné comme un Advanced Persistent Threat, car il n'a pas les ressources pour être à la fois avancé et persistant.
L'activité des groupes APT est documentée notamment par les entreprises de sécurité informatique, des universités, des États ou la presse. La partie qui suit présente une liste non-exhaustive de groupes APT dont les activités ont fait l'objet de publication. Ces groupes étant clandestins leur nationalité ou leur rattachement à des États n'est pas officiel et en général non reconnus par les États concernés même quand il existe de forts éléments de preuve et un consensus parmi les experts.
Les groupes APT peuvent prendre plusieurs formes:
des groupes clandestins directement intégrés à des États, par exemple des unités d'armées régulières ou des services de renseignement étatiques (ex: l'unité 61398 de l'Armée populaire de libération chinoise).
des groupes indépendants ou présumés indépendants mais entretenant de forts liens avec des États (ex: le groupe Fancy Bear considéré proche du GRU Russe).
l'existence de groupes indépendants est spéculée: certains groupes comme the Shadow Broker sont parfois cités mais la notion reste contestée.
Les noms indiqués correspondent généralement à des désignations proposées par des organismes ayant identifiés les groupes APT. Occasionnellement ces noms sont revendiqués par les groupes APT eux-mêmes.
Chine
PLA Unit 61398 (aussi appelée APT1)
PLA Unit 61486 (en) (aussi appelée APT2)
Buckeye (aussi appelée APT3)
Red Apollo (en) (aussi appelée APT 10, MenuPass, Stone Panda, ou POTASSIUM)
Numbered Panda (en) (aussi appelée APT12)
DeputyDog (aussi appelée APT17)
Codoso Team (aussi appelée APT19)
Wocao (aussi appelée APT20)
PLA Unit 78020 (aussi appelée APT30 and Naikon)
Zirconium[22] (aussi appelée APT31)
Periscope Group (en) (aussi appelée APT40)
Double Dragon (en)[24] (aussi appelée APT41, Winnti Group, Barium, ou Axiom)
Tropic Trooper
Hafnium (en)
France
Animal Farm identifié en 2016 comme ayant été opéré par la DGSE
Iran
Elfin Team (en) (aussi appelée APT33)
Helix Kitten (en) (aussi appelée APT34)
Charming Kitten (en) (aussi appelée APT35)
APT39
Pioneer Kitten
Israël
Unit 8200
Corée du Nord
Kimsuky (en)
Groupe Lazarus (aussi appelée APT38)
Ricochet Chollima (en) (aussi appelée APT37)
Russie
Fancy Bear (aussi appelée APT28)
Cozy Bear (aussi appelée APT29)
Sandworm (en)
Berserk Bear (en)
FIN7 (en)
Venomous Bear
États-Unis
Equation Group
Ouzbékistan
SandCat (aussi appelée National Security Service (Uzbekistan))
Vietnam
OceanLotus (aussi appelée APT32)
Les stratégies de défense
Il y a des centaines de milliers de variations de programmes malveillants, ce qui rend extrêmement difficile le développement de défense efficace contre les Advanced Persistent Threat. Bien que les activités des Advanced Persistent Threat soient furtives et difficiles à détecter, le trafic réseau associé au commandement et au contrôle (C&C ou C²) des Advanced Persistent Threat peut être détecté au niveau de la couche réseau. Des analyses profondes et des corrélations des historiques d'événements de diverses sources peuvent détecter des Advanced Persistent Threat. Des logiciels peuvent être utilisés pour collecter des historiques d'événements (TCP et UDP) directement à partir des serveurs syslog. Ensuite, des outils d'information et de gestion des événements de sécurité (Security Information and Event Management ou SIEM) peuvent corréler et analyser les historiques d'événements. Bien qu'il soit difficile de séparer le bruit du trafic légitime, un logiciel doté de règles de corrélation correctement définies peut filtrer le trafic légitime pour permettre au personnel de sécurité de se concentrer sur le bruit. Gartner a publié un document sur les meilleures pratiques de défense contre les Advanced Persistent Threat.
Un bon outil de gestion des ressources d'un ordinateur peut aussi aider les experts en sécurité à détecter les nouveaux fichiers suspects sur l'ordinateur.
Une méthode de plus en plus utilisée pour améliorer la détection de ce type d'attaque est la Threat Intelligence, ou renseignement de menace. Cette discipline, basée sur des techniques du Renseignement, a pour but de collecter et d'organiser toutes les informations liées à des attaques du passé afin de dresser un portrait du possible attaquant (ou groupe d'attaquant). Ce profiling permet de mieux se défendre et d'anticiper au mieux les différents incidents en permettant une détection aux prémices d'une attaque d'envergure.
Les informations peuvent être des marqueurs, indicateurs de compromissions (IOC tels que des hash, des noms de domaine, des adresses IP), historiques d'attaques, mais aussi des signes comme la réutilisation d'architecture ou de plateforme ayant servi dans le passé, l'utilisation de services, techniques, signatures, méthodes spécifiques.
