Embed Size (px)
Citation preview
APT (menaces avancées) : peut-on toutes les attraper ?
Parfois, un incident en cybersécurité peut être si insignifiant que s’il était un éternuement, il arriverait à peine nous faire cligner des yeux. D’autres fois, il peut être si profondément perturbant qu’il arriverait à faire trembler tout notre corps. Malheureusement pour nous, la ligne entre les deux est très facile à franchir. Donnez aux virus suffisamment de temps pour incuber et du jour au lendemain c’est l’arrêt complet de votre système. L’élément clé ici – le temps, le temps nécessaire pour identifier les signaux faibles d’un virus inconnu avant qu’il n’explose comme une véritable épidémie.
Même si cela peut sembler évident, le temps de détection moyen d’un cyber-attaque reste trop élevé (variant entre 98 et 197 jours selon une étude menée par l’Institut Ponemon) pour qu‘une réponse se révèle 100% efficace. Voici comment les infâmes menaces persistantes avancées (APT en anglais) se sont démarquées comme étant les menaces les plus dangereuses dans le domaine de la sécurité informatique. Les APT peuvent être assimilées à des bombes silencieuses, attendant d’être déclenchées à distance. Pire encore, les plus menaçantes d’entre elles ne refont jamais surface (lire à propos de l’exemple le plus récent ici).
Typiquement, une attaque APT doit être perçue comme un ensemble de processus de piratage en cours et furtifs, ciblant généralement une entité spécifique, à travers l’exploitation d’une vulnérabilité dans le système, dans le but d’extraire des informations précieuses. L’origine du terme est liée à l’armée de l’air américaine, lorsqu’un représentant l’a utilisé en 2005 pour identifier des acteurs menaçants qui utilisent des logiciels malveillants dans le cadre de leur attaque. Contrairement à un morceau de code automatisé, les APT sont activement soutenues par une équipe de personnes (le centre de commandement et de contrôle). Le C&C se charge de la surveillance continue du processus et s’assure de la réalisation des objectifs préétablis. Cela veut dire que nous ne sommes pas confrontés à un virus ou un malware agissant par lui-même. Nous avons plutôt en face un kit d’exploitation, toute une collection de techniques (nous allons éviter de dire « sophistiqués » comme beaucoup d’autres gens, vous allez voir pour quelle raison plus tard).
APT + Pokédex = APTex
Il y a un total de 450 attaques détaillées dans le Pokédex. Nous ne tenterons pas d’énumérer ici chaque APT qui ait jamais eu lieu dans l’histoire des APT, mais, dans le but de cet article, nous allons dresser une courte liste (notre propre ‘best of’) des plus importantes attaques.Tout a un début (et peut-être, un jour, nous en verrons aussi la fin). La première mention d’un APT, tel qu’il est défini aujourd’hui, remonte à 1986, quand un pirate ouest-allemand, travaillant pour le KGB soviétique, s’est infiltré dans un ordinateur en réseau au sein d’un laboratoire californien. Les détails de l’attaque sont vivement décrits dans le livre The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, écrit par Clifford Stoll, le même directeur informatique qui a découvert cette présence étrangère dans le système. Le livre (à votre disposition ici) raconte comment le pirate a réussi à entrer dans le réseau en exploitant la faible sécurité de leur communication par satellite. Le premier de son genre, cet incident a déclenché une forte réaction dans la naissante communauté de la cybersécurité. Avec les ordinateurs connectés vient la grande responsabilité (ou la grande vulnérabilité… ?).
Le passage au combat Multi-Coups
Originaires de Chine, ces attaques se sont distinguées par une utilisation élevée des tactiques d’ingénierie sociale (lire notre précédent article sur « La cible humaine derrière la machine » ici).
En plus d’inciter le débat autour des APT, Titan Rain a également donné le ton à l’utilisation de plusieurs vecteurs (canaux) d’attaque pour effectuer la manipulation et l’extraction des données. A partir de 2009, les bandes de pirates ont commencé à étendre leur portée à toutes les grandes industries où la cybersécurité été pourtant jugé sérieuse. GhostNet est un tel exemple – une autre opération d’origine chinoise, qui avait infiltré des cibles politiques, économiques et médiatiques dans plus de 100 pays à travers le monde.
La nouveauté ici c’était l’emploi de campagnes de phishing, avec des pièces jointes malveillantes (une technique maintenant très redoutée compte tenu de sa popularité avec les ransomware). Une fois téléchargé sur un ordinateur, la charge virale permet l’exécution de commandes à distance sur le système infecté, y compris des enregistrements audio et vidéo. Dans ce cas, le point d’entrée a été involontairement fourni par la vulnérabilité humaine.
Une stratégie de bataille évoluée
Le paradigme a changé une fois de plus avec l’arrivée de Stuxnet. Après avoir fait surface en 2010, Stuxnet est le premier malware ayant été découvert en essayant d’atteindre un objectif spécifique, plutôt que la réalisation de la simple collecte de données. Cette menace a été spécialement conçue par les États-Unis pour espionner les installations nucléaires de l’Iran, mais, plus important encore, pour désactiver son hardware. C’est, sans doute, l’objet collector dans l’APTex et l’exemple parfait d’une attaque APT sophistiquée.
Pourtant… la triste vérité aujourd’hui est qu’il a des APT qui sont loin de pouvoir être appelés « sophistiquées » et qui sont encore couronnées de succès. Prenez, par exemple, la dernière menace de type APT – Patchwork, découverte récemment pour avoir infecté plus de 2500 organisations en Asie du Sud-Est. Surnommé l’APT « Copier – Coller », cette attaque n’utilise pas un événement zero-day, mais fait usage du code déjà existant afin de créer sa charge virale. Les morceaux de code utilisés sont facilement accessibles sur des forums de piratage en ligne. De plus, Patchwork arrive à s’infiltrer dans le système en utilisant une vulnérabilité connue (CVE-2014-4114). Cela étant dit, pouvons-nous contempler dans le silence la façon dont un tel kit de base, qui ne mérite même pas d’être appelé une menace « avancé », est devenu si « réussi » ?
Au fil du temps, des kits de piratage sont devenus de plus en plus disponibles pour les pirates les moins avancés. Alors que les entreprises se voyaient traiter les menaces, une par une, les cybercriminels les plus expérimentés ont continué à pousser les limites du « mal » numérique. Voilà comment les virus inconnus sont nés et comment des combinaisons uniques de vecteurs d’attaque ont pu naître. Une fois la « maladie » installée dans une organisation, comment peut-elle survivre ? Pour cette réponse, vous aurez juste besoin de lire notre précédent article. Analyse comportementale, je te choisis !
Liens :
https://www.reveelium.com/fr/apts-can-you-catchem-all/
https://www.itrust.fr/apt-menaces-avancees-peut-on-toutes-les-attraper/
