Une menace persistante avancée (APT) est une attaque prolongée, attaque ciblée sur une cible spécifique avec l’intention de compromettre son système et d’obtenir des informations de ou sur cette cible.
La cible peut être une personne, une organisation ou une entreprise. Lorsque ces menaces ont été adoubées, leurs cibles étaient les gouvernements et les organisations militaires. Le mot menace ne signifie pas qu’il n’y a qu’un seul type de malware impliqué, car une APT se compose généralement de plusieurs attaques différentes.
Trop de professionnels du domaine de la sécurité une attaque ne peut être qualifiée d’APT que si elle est initiée par un gouvernement (agence) ou une organisation similaire. Compte tenu des ressources et de la patience nécessaires, cela a certainement du sens.
Alors, qu’est-ce que cela signifie dans le paysage actuel des menaces ?
Les acteurs de la menace utilisent différents « outils » et méthodes pour prendre pied et élargir la brèche une fois qu’ils y sont. Lorsqu’il s’agit de voler des informations, une partie importante du travail consiste à garder la brèche secrète. En effet, souvent, les informations volées perdront leur valeur assez rapidement une fois que l’objet de la brèche sera au courant de la situation.
Evidemment, il est également important de cacher l’identité des attaquants, car l’attribution d’APT pourrait conduire à certains conflits du monde réel. Les attaquants voudront donc dissimuler leurs traces. Il n’est pas rare de voir l’utilisation de vulnérabilités non corrigées (zero-days) dans ce type d’opérations.
Étapes d’une menace persistante avancée
Toutes les étapes énumérées ci-dessous ne seront pas nécessaires dans toutes les situations et, selon la cible et les informations recherchées par les attaquants, les tâches de la liste peuvent être très différentes en termes de temps, et de quantité d’efforts, consacrés à ces tâches. Celles-ci peuvent être très différentes d’un cas à l’autre.
- D’apprendre à connaître la cible. Cela peut varier de déterminer s’il y a quelque chose qui vaut la peine d’être volé à compiler une liste d’employés, ou encore mieux, d’ex-employés mécontents. Découvrez ce qui intéresse les sujets, afin de pouvoir utiliser ces informations. dans ou des attaques de spear-phishing.
- Trouver une entrée. Cela implique généralement des techniques d’ingénierie sociale comme le spear phishing et les trous d’eau afin de délivrer des logiciels malveillants personnalisés.
- Accomplir une prise de pied. Obtenir d’une cible qu’elle exécute le malware sur son système qui se trouve à l’intérieur du réseau des cibles.
- Élargir soigneusement le champ d’action à partir du point d’appui créé. Par exemple la reconnaissance du réseau à partir d’un ordinateur infecté. Cela inclut la mise en place de logiciels malveillants et d’autres outils sur le système compromis et leur dissimulation.
- Trouver et voler les informations recherchées ou d’autres informations précieuses. Pour ce faire, il peut être nécessaire d’élever les privilèges du ssytem compromis dans le réseau.
- Une fois qu’une prise ferme sur le réseau est établie, il peut être nécessaire de déplacer ou d’élargir les points d’entrée dans le réseau afin qu’un accès plus permanent aux informations soit sécurisé. S’il n’y a pas besoin d’une surveillance permanente, les outils seront généralement retirés pour brouiller les pistes. Parfois, une porte dérobée est laissée en place pour faciliter un retour.
Les professionnels de la sécurité grognent
La raison pour laquelle les chercheurs en sécurité grogneront en entendant l’expression APT est le fait que certaines personnes ont tendance à l’utiliser dans les cas où la menace ne répond pas aux exigences que nous avons spécifiées dans notre définition.
Apparemment, cela semble moins grave lorsque vous expliquez que vous avez été violé par quelque chose d' »avancé » plutôt que par un malware qui aurait dû être détecté il y a des mois.
Par exemple, un ver qui attaque uniquement les ordinateurs qui exécutent un certain type de logiciel, presque exclusivement utilisé dans les hôpitaux, n’est pas un APT. Il vise un type d’organisations et non une organisation particulière.
Résumé
Cet article explique que les menaces persistantes avancées sont des attaques spécialisées et prolongées visant des cibles spécifiques. Elles sont généralement parrainées par des nations ou de très grandes organisations.
Liens
Les cybercriminels et leurs techniques APT et AVT
Chaîne de mise à mort
Pieter Arntz
.