Advanced Persistent Threat
Une Advanced Persistent Threat (Anglais: traduction littérale, menace persistante avancée ; souvent abrégé APT) désigne initialement un type de piratage informatique furtif et continu, ciblant une entité spécifique[1],[2].
Le terme Advanced Persistent Threat est également couramment utilisé par métonymie pour désigner des acteurs opérant des APT (aussi appelés « groupes APT »).
Il existe un flou sur le fait de savoir si le terme APT désigne une attaque ou un groupe[3] mais la distinction n'est pas nécessairement un problème significatif dans la mesure ou une attaque APT est nécessairement produite et contrôlée par un groupe, et un groupe prend le caractère APT uniquement s'il a produit une attaque de ce type.
Comme son nom l'indique une APT doit être :
- Sophistiquée : l'attaque est d'un haut niveau technique ce qui lui permet de pénétrer furtivement les systèmes d'informations d'acteurs évolués notamment les grandes entreprises ou les États.
- Persistante : l'attaque est capable de se maintenir pour de longues périodes de temps dans ces systèmes et d'y agir ou d'en extraire des informations sans se faire repérer.
La mise en œuvre d'une APT nécessite des ressources importantes (équipes de techniciens très qualifiés) stables dans le temps, c'est pourquoi ce secteur a été traditionnellement considéré comme relevant d’États ou de groupes sponsorisés par des États. Cependant certains experts considèrent que la dissémination des outils APT, notamment la reprise d'outils APT étatiques, a pu permettre l'émergence de groupes APT criminels indépendants[4].
Signification de l'expression Advanced Persistent Threat
[modifier | modifier le code]Dans l'expression Advanced Persistent Threat, le mot Advanced fait référence à des techniques sophistiquées utilisant des logiciels malveillants pour exploiter des vulnérabilités dans les systèmes ; le mot persistent suggère qu'un système de commandement et de contrôle externe suit et extrait des données d'une cible sur une longue période de temps ; le mot threat indique une implication humaine dans l'orchestration de l'attaque[5].
Historique
[modifier | modifier le code]La première attaque de ce type, l'opération Titan Rain, a été découverte en 2003. Elle aurait duré environ 3 ans.
Les premières mises en garde contre des courriels malveillants ciblés et utilisant des techniques d'ingénierie sociale qui installaient des chevaux de Troie pour exfiltrer des informations sensibles ont été publiées par des Computer Emergency Response Team (CERT) du Royaume-Uni et des États-Unis en 2005. À cette époque, le terme Advanced Persistent Threat n'était pas utilisé[6].
On reconnaît généralement que le terme Advanced Persistent Threat est apparu dans l'United States Air Force en 2006[7] et on attribue au colonel Greg Rattray la création du terme[8].
Ce type d'attaque a été popularisé à la suite de différentes affaires, comme l'attaque contre le journal The New York Times par un groupe chinois qui sera par la suite appelé APT1[9],[10], ou plus anciennement l'Opération Aurora.
Une idée fausse communément répandue est que les Advanced Persistent Threats ne visent que les gouvernements occidentaux. Bien que les Advanced Persistent Threats contre les gouvernements occidentaux soient plus publicisées que les autres, de très nombreux pays de toute allégeance ont utilisé le cyberespace pour recueillir des renseignements sur des individus et des groupes[11],[12],[13].
Aux États-Unis, c'est le United States Cyber Command qui est chargé de coordonner la réponse de l'armée américaine aux Advanced Persistent Threat et aux cyberattaques en général.
Principales caractéristiques des APT
[modifier | modifier le code]Les APT sont des menaces complexes combinant souvent différents vecteurs et stratégies d'attaques, pouvant utiliser des techniques inconnues ou des failles zero day, durant assez longtemps sans être détectées, et la plupart du temps ciblées.
Cycle de vie APT
[modifier | modifier le code]Les acteurs derrière les APT créent un risque croissant et changeant aux actifs financiers, à la propriété intellectuelle, et à la réputation des organismes[14] en suivant un processus continu :
- S'organiser spécifiquement en fonction de la cible pour un objectif singulier
- Tenter de gagner un équilibre dans l'environnement, la tactique commune inclut l'hameçonnage par courriels
- Utiliser les systèmes compromis comme accès dans le réseau de la cible
- Couvrir les voies afin de maintenir l'accès pour de futures initiatives
Groupes APT
[modifier | modifier le code]Une APT cible généralement une organisation pour des motifs d'affaires ou un État pour des motifs politiques. Une APT exige un degré élevé de dissimulation sur une longue période de temps. Le but d'une telle attaque est de placer du code malveillant personnalisé sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu pendant la plus longue période possible.
Le terme Advanced Persistent Threat est aussi utilisé pour désigner un groupe, comme un gouvernement, avec à la fois la capacité et l'intention de cibler, de façon persistante et efficace, une entité spécifique. Un individu, comme un pirate informatique, n'est généralement pas désigné comme un Advanced Persistent Threat, car il n'a pas les ressources pour être à la fois avancé et persistant[15].
L'activité des groupes APT est documentée notamment par les entreprises de sécurité informatique, des universités, des États ou la presse. La partie qui suit présente une liste non-exhaustive de groupes APT dont les activités ont fait l'objet de publication. Ces groupes étant clandestins leur nationalité ou leur rattachement à des États n'est pas officiel et en général non reconnus par les États concernés même quand il existe de forts éléments de preuve et un consensus parmi les experts.
Les groupes APT peuvent prendre plusieurs formes:
- des groupes clandestins directement intégrés à des États, par exemple des unités d'armées régulières ou des services de renseignement étatiques (ex: l'unité 61398 de l'Armée populaire de libération chinoise).
- des groupes indépendants ou présumés indépendants mais entretenant de forts liens avec des États (ex: le groupe Fancy Bear considéré proche du GRU Russe).
- l'existence de groupes indépendants est spéculée: certains groupes comme the Shadow Broker sont parfois cités mais la notion reste contestée[16],[17].
Les noms indiqués correspondent généralement à des désignations proposées par des organismes ayant identifiés les groupes APT. Occasionnellement ces noms sont revendiqués par les groupes APT eux-mêmes.
Chine
[modifier | modifier le code]- PLA Unit 61398 (aussi appelée APT1)
- PLA Unit 61486 (en) (aussi appelée APT2)
- Buckeye (aussi appelée APT3)[18]
- Red Apollo (en) (aussi appelée APT 10, MenuPass, Stone Panda, ou POTASSIUM)
- Numbered Panda (en) (aussi appelée APT12)
- DeputyDog (aussi appelée APT17)[19]
- Codoso Team (aussi appelée APT19)
- Wocao (aussi appelée APT20)[20],[21]
- PLA Unit 78020 (aussi appelée APT30 and Naikon)
- Zirconium[22] (aussi appelée APT31)[23]
- Periscope Group (en) (aussi appelée APT40)
- Double Dragon (en)[24] (aussi appelée APT41, Winnti Group, Barium, ou Axiom)[25],[26],[27]
- Tropic Trooper[28],[29]
- Hafnium (en)[30],[31]
France
[modifier | modifier le code]- Animal Farm identifié en 2016 comme ayant été opéré par la DGSE[32],[33]
Iran
[modifier | modifier le code]- Elfin Team (en) (aussi appelée APT33)
- Helix Kitten (en) (aussi appelée APT34)
- Charming Kitten (en) (aussi appelée APT35)
- APT39
- Pioneer Kitten[34]
Israël
[modifier | modifier le code]Corée du Nord
[modifier | modifier le code]- Kimsuky (en)
- Groupe Lazarus (aussi appelée APT38)
- Ricochet Chollima (en) (aussi appelée APT37)
Russie
[modifier | modifier le code]- Fancy Bear (aussi appelée APT28)
- Cozy Bear (aussi appelée APT29)
- Sandworm (en)
- Berserk Bear (en)
- FIN7 (en)
- Venomous Bear
États-Unis
[modifier | modifier le code]Ouzbékistan
[modifier | modifier le code]- SandCat (aussi appelée National Security Service (Uzbekistan))[36]
Vietnam
[modifier | modifier le code]- OceanLotus (aussi appelée APT32)[37],[38]
Les stratégies de défense
[modifier | modifier le code]Il y a des centaines de milliers de variations de programmes malveillants, ce qui rend extrêmement difficile le développement de défense efficace contre les Advanced Persistent Threat. Bien que les activités des Advanced Persistent Threat soient furtives et difficiles à détecter, le trafic réseau associé au commandement et au contrôle (C&C ou C²) des Advanced Persistent Threat peut être détecté au niveau de la couche réseau. Des analyses profondes et des corrélations des historiques d'événements de diverses sources peuvent détecter des Advanced Persistent Threat. Des logiciels peuvent être utilisés pour collecter des historiques d'événements (TCP et UDP) directement à partir des serveurs syslog. Ensuite, des outils d'information et de gestion des événements de sécurité (Security Information and Event Management ou SIEM) peuvent corréler et analyser les historiques d'événements. Bien qu'il soit difficile de séparer le bruit du trafic légitime, un logiciel doté de règles de corrélation correctement définies peut filtrer le trafic légitime pour permettre au personnel de sécurité de se concentrer sur le bruit[5]. Gartner a publié un document sur les meilleures pratiques de défense contre les Advanced Persistent Threat.
Un bon outil de gestion des ressources d'un ordinateur peut aussi aider les experts en sécurité à détecter les nouveaux fichiers suspects sur l'ordinateur.
Une méthode de plus en plus utilisée pour améliorer la détection de ce type d'attaque est la Threat Intelligence, ou renseignement de menace. Cette discipline, basée sur des techniques du Renseignement, a pour but de collecter et d'organiser toutes les informations liées à des attaques du passé afin de dresser un portrait du possible attaquant (ou groupe d'attaquant). Ce profiling permet de mieux se défendre et d'anticiper au mieux les différents incidents en permettant une détection aux prémices d'une attaque d'envergure.
Les informations peuvent être des marqueurs, indicateurs de compromissions (IOC tels que des hash, des noms de domaine, des adresses IP), historiques d'attaques, mais aussi des signes comme la réutilisation d'architecture ou de plateforme ayant servi dans le passé, l'utilisation de services, techniques, signatures, méthodes spécifiques.
Bibliographie
[modifier | modifier le code]- Cédric Pernet, Sécurité et espionnage informatique : Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, , 221 p. (ISBN 978-2212139655)
Références
[modifier | modifier le code]- « What Is an Advanced Persistent Threat (APT)? », Kaspersky Labs (consulté le )
- « What Is an Advanced Persistent Threat (APT)? », Cisco Systems (consulté le )
- « Advanced Persistent Threat », sur Deloitte Switzerland (consulté le )
- (en) Sarah Maloney, « What is an Advanced Persistent Threat (APT)? », sur Cybereason (consulté le ).
- (en) Dr. Sam Musa, « Advanced Persistent Threat - APT », sur academia.edu, (consulté le ).
- Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D., « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains », Lockheed Martin Corporation Abstract (consulté le )
- « Assessing Outbound Traffic to Uncover Advanced Persistent Threat », SANS Technology Institute (consulté le )
- « Introducing Forrester's Cyber Threat Intelligence Research », Forrester Research (consulté le )
- (en) Michael Mimoso, « Inside the targetted attack on New York Times », threatpost.com,
- (en) « APT1: Exposing One of China's Cyber Espionage Units », Mandiant
- « An Evolving Crisis », BusinessWeek, (version du sur Internet Archive)
- « The New E-spionage Threat », BusinessWeek, (version du sur Internet Archive)
- « Google Under Attack: The High Cost of Doing Business in China », Der Spiegel, (version du sur Internet Archive)
- (en) « Advanced Persistent Threats: Higher Education Security Risks »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), sur SecureWorks, Dell (consulté le ).
- « The changing threat environment ... », Command Five Pty Ltd (consulté le )
- (en-US) « Did NSA Hackers The Shadow Brokers have a Broker? », sur The Security Ledger with Paul F. Roberts, (consulté le )
- (en) Bruce Schneier, « Who Are the Shadow Brokers? », sur The Atlantic, (consulté le )
- « Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak » [archive du ], Symantec, (consulté le )
- « APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic », FireEye, (lire en ligne)
- Maarten van Dantzig et Erik Schamper, « Wocao APT20 », sur fox-it.com, NCC Group (en),
- Jai Vijayan, « China-Based Cyber Espionage Group Targeting Orgs in 10 Countries », sur www.darkreading.com, Dark Reading, (consulté le )
- Sean Lyngaas, « Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm », sur www.cyberscoop.com, Cyberscoop, (consulté le )
- Sean Lyngaas, « Google offers details on Chinese hacking group that targeted Biden campaign », sur Cyberscoop, (consulté le )
- « Double Dragon APT41, a dual espionage and cyber crime operation », sur FireEye, (consulté le )
- « Bureau names ransomware culprits », sur www.taipeitimes.com, Taipei Times, (consulté le )
- Mathieu Tartare et Martin Smolár, « No "Game over" for the Winnti Group », sur www.welivesecurity.com, We Live Security (consulté le )
- Andy Greenberg, « Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry », sur wired.com, (consulté le )
- Joey Chen, « Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments », sur Trend Micro, Trend Micro (consulté le )
- Catalin Cimpanu, « Hackers target the air-gapped networks of the Taiwanese and Philippine military », sur ZDnet (consulté le )
- (en) Ryan Naraine, « Microsoft: Multiple Exchange Server Zero-Days Under Attack by Chinese Hacking Group », sur securityweek.com, Wired Business Media, (consulté le )
- (en) Tom Burt, « New nation-state cyberattacks », sur blogs.microsoft.com, Microsoft, (consulté le )
- « SNOWGLOBE: From Discovery to Attribution », Centre de la sécurité des télécommunications Canada, document publié par Der Spiegel
- « Les confessions d’un maître de l’espionnage français », Le Monde.fr, (lire en ligne, consulté le )
- « Pioneer Kitten APT Sells Corporate Network Access », sur threatpost.com
- « Equation: The Death Star of Malware Galaxy » [archive du ], Kaspersky Lab, (consulté le )
- Sean Gallagher, « Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV », sur arstechnica.com, Ars Technica (consulté le )
- Ankit Panda, « Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19 », sur thediplomat.com, The Diplomat (consulté le )
- Hakan Tanriverdi, Max Zierer, Ann-Kathrin Wetter, Kai Biermann, Thi Do Nguyen, Lisa Wreschniok (editor), Robert Schöffel (editor) et Verena Nierle (editor), « Lined up in the sights of Vietnamese hackers », Bayerischer Rundfunk, (lire en ligne) :
« In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots. »
Annexes
[modifier | modifier le code]Articles connexes
[modifier | modifier le code]- Cyberattaque
- Cyber-espionnage
- Opération Aurora
- Opération Shady RAT
- Unité 61398
- Tailored Access Operations
Liens externes
[modifier | modifier le code]
- Notice dans un dictionnaire ou une encyclopédie généraliste :
- (en) Gartner, Best Practices for Mitigating Advanced Persistent Threats, 2013
- Livre blanc par Hitachi pour les menaces persistantes avancées
- Blog Kaspersky
- Présentation du CERT-IST sur les APT
- Liste des rapports publiés sur les APT (2006-2015)