Advanced Persistent Threat

De quoi s’agit-il ?

L’APT pour Advanced Persistent Threat, désigne un groupe agissant d’une manière non liée à une opportunité déterminée (« non-opportunistic group ») attaquant des organisations d'une manière stratégique, à long terme et avec des objectifs précis. Par ailleurs, ils ne seront pas facilement dissuadés dans leurs actions avant d’avoir atteint le but fixé. Le graphique suivant fournit une brève explication de chaque terme.

En termes simples, les APT sont des « cyber hulks » (menaces informatiques excessivement sophistiquées) existants quelque part dans l’environnement informatique, totalement différentes des auteurs de menaces opportunistes qui, par exemple, cherchent seulement à voler quelques données de carte de crédit afin de réaliser un gain à court terme.

En outre, un APT n'est jamais constitué uniquement d’un composant d’un malware même s’ils utilisent parfois un logiciel sophistiqué spécifiquement développé par leurs soins pour mener à bien leurs attaques. Les APT sont dangereux en raison des personnes qui sont à l'origine de l’opération, celles qui planifient, exécutent les campagnes APT et exercent un contrôle sur les outils.

Derniers développements

Le rapport « APT1 » de Mandiant, publié en 2013, ressemblait à l’ouverture d’une période de chasse aux groupes d’APT. Des sociétés du monde entier, Kaspersky, CrowdStrike, HP et TrendMicro pour n'en citer que quelques-unes, ont commencé à publier des informations détaillées sur les groupes d’APT identifiés, à l’instar de « Putter Panda », « FancyBear », « KungFu Kittens » et « Playful Dragon ». Et la période de chasse est loin d’être terminée.

Depuis lors, ces entreprises ont identifié plus de 150 groupes d'APT à l'échelle mondiale. Grâce à ces rapports, le secteur a non seulement pris conscience de l’existence de cette menace en constante évolution, mais dispose désormais d’informations détaillées quant à leurs tactiques, leurs techniques et leurs procédures. Il semble malheureusement que les tactiques aient peu évolué ces dernières années. Cet état des choses est peut-être dû au fait que les groupes d’APT parviennent encore à leurs fins en ayant recours à leur approche actuelle, qui repose sur :

• des attaques par phishing ciblées au moyen d’e-mails et d’attaques de type « watering hole » (à savoir, placer un malware sur un site en lequel un groupe d'utilisateurs a confiance).
• un malware personnalisé assorti de plusieurs phases d’infection
• l’exfiltration par DNS, HTTP POST et approches similaires.

Les seules choses qui ont évolué ces dernières années sont :

• Les groupes d’APT (Menace Persistante Avancée) ne se restent plus à l’ombre à l’issue de campagnes réussies
• Persistance en baisse
• Usage accru d’outils OS natifs pour les opérations

Première observation

Notre première observation concernant une «mise à l’ombre» fait référence à un groupe qui ferme ses infrastructures et cesse immédiatement toutes ses activités dès qu’il a atteint ses objectifs et/ou qu’il est détecté par les chercheurs en sécurité. Il est surprenant de voir un tel changement de comportement. On pourrait penser qu’un groupe d’APT se mette à l’ombre, disparaisse et demeure caché pour se protéger d’une telle détection. C’est exactement ce qu’ont démontré les premières grandes campagnes perpétrées; toutefois, récemment, ces groupes poursuivent leurs activités même après avoir été publiquement exposés. En fait, c’est comme s’ils exploitaient immédiatement les informations obtenues contre de nouvelles cibles et enchaînaient leurs activités sans être inquiétés. Ce mode de fonctionnement offre une excellente opportunité de se préparer et de se défendre. Et cela, parce que les auteurs/groupes d’ATP sont désormais plus facilement identifiables par leur infrastructure, leurs tactiques, techniques et procédures - dans la mesure où ils sont identifiés rapidement et où les organisations sont de même promptes à échanger les informations relatives à la menace.

Seconde observation

La deuxième observation faite doit être distinguée des entrées dans le «Registre des cyberattaques ciblées». Bien que le nombre de campagnes soit en hausse, leur durée est en fait en baisse. Le groupe Carbanak, également connu sous le nom de groupe Anunak, illustre bien cette tendance. Ce groupe passe 42 jours en moyenne uniquement au sein du réseau ciblé jusqu’à l’accomplissement de ses objectifs. Sur des périodes aussi courtes, une détection et une réaction rapides sont cruciales.

Troisième observation

La troisième et dernière observation porte sur l’usage croissant d’outils de système d’exploitation natifs tels que powershell, commandline, psexec, etc. Une explication possible de ce phénomène est la nature même de ces outils, dans la mesure où les organisations sont rares à en superviser l’usage et que les systèmes AV ne les détectent pas comme étant malveillants. De plus, ils sont très puissants et comparativement plus économiques à utiliser qu’un malware autodéveloppé sur mesure que les chercheurs en sécurité détectent et marquent («détruire») rapidement lors de leur «chasse continue aux APT». Un exemple notable d’une cyberattaque, durant laquelle les auteurs ont compromis une organisation et dérobé des douzaines de giga-octets de données par le biais d’outils OS, a récemment fait la une des journaux en Suisse.

Au vu de la pression que cause cette «chasse aux APT», il est possible que nous soyons confrontés à l’avenir à des campagnes d’APT caractérisées par un malware ciblant la mémoire uniquement, comme le prédisent déjà les acteurs de l’industrie depuis quelque temps. En fait, pour des malwares tels que le Mirai DDoS Bot, il existe déjà des versions pour mémoire uniquement qui vident l’appareil lors de la réinitialisation. Alors qu’une version plus sophistiquée du Mirai (appelée «Hajime») circule dans la nature, il est possible que nous assistions à des campagnes APT dont la panoplie inclut également un malware sur mesure pour mémoire uniquement.

La détection est essentielle dans la lutte contre les APT et il existe deux concepts simples que de nombreuses entreprises tardent encore à mettre en œuvre systématiquement, mais qui sont cruciaux pour détecter un danger:

• Enregistrement : Enregistrez les événements proxy, les événements webserver, DNS, AV (oui, également les événements «nettoyés» et «mis en quarantaine»), stockez-les tous dans un endroit centralisé et demandez à vos équipes de sécurité de les examiner.
• Surveillez l’usage des outils OS natifs tels que powershell et psexec. L’utilisateur habituel n’en a généralement pas besoin.
• Utilisez deux facteurs d’authentification dans la mesure du possible, y compris pour les comptes Active Directory hautement privilégiés.

Même si ces groupes sont réputés comme étant «sophistiqués», cela ne signifie pas que vous n’avez aucune chance de protéger vos données contre leurs attaques. Souvent, vous ne pouvez pas vous protéger contre une infection, mais l’infection elle-même et l’atteinte à votre réseau laissent toujours des traces qui peuvent être identifiées et qui permettent ainsi de déclencher des mesures.

Felix Rieder - Consultant Sénior, Cyber Risk Services

Felix Rieder est Consultant Sénior au sein de l’équipe Cyber Risk Services chez Deloitte en Suisse. Son expertise englobe la préparation avancée à des menaces, l’évaluation de la sécurité, les engagements en matière de stratégie sur la sécurité et les tests de pénétration.

Email
+41 58 279 6515