Quest-ce quun APT ?

Dans le domaine de la cybersécurité, il existe un grand nombre de menaces malveillantes. Beaucoup de ces menaces écrivent des logiciels malveillants, bien qu'il existe de nombreuses autres façons pour les cybercriminels d'être malveillants. Le niveau de compétence entre eux varie cependant beaucoup. De nombreux "hackers" ne sont que des script kiddies , uniquement capables d'exécuter des outils existants et qui n'ont pas les compétences nécessaires pour créer les leurs. De nombreux pirates ont les compétences nécessaires pour fabriquer leurs logiciels malveillants, bien que le calibre exact varie énormément. Il existe cependant un autre niveau exclusif, l'APT.

APT signifie Advanced Persistent Threat. Ils sont la crème de la crème pour les pirates et sont généralement les meilleurs du secteur. Les APT ne sont pas seulement techniquement compétents dans le développement d'exploits ; ils emploient également une gamme d'autres compétences, notamment la subtilité, la patience et la sécurité opérationnelle. Généralement, on suppose que la plupart, sinon la totalité, des APT sont des acteurs de l'État-nation ou du moins parrainés par l'État. Cette hypothèse est construite à partir du temps, des efforts et du dévouement dont ils font preuve pour atteindre leur objectif.

Empreintes digitales d'un APT

Les objectifs précis d'un APT varient selon le pays, l'APT et l'attaque. La plupart des pirates sont motivés par le gain personnel et s'introduisent donc par effraction et essaient de récupérer le plus de données précieuses le plus rapidement possible. Les APT effectuent du sabotage, de l'espionnage ou des attaques perturbatrices et sont généralement motivés par des raisons politiques ou parfois économiques.

Alors que la plupart des acteurs de la menace sont généralement opportunistes, les APT ont tendance à être discrets ou même très ciblés. Plutôt que de simplement développer des exploits pour les vulnérabilités qu'ils trouvent, ils identifieront une cible, trouveront la meilleure façon de les infecter, puis rechercheront et développeront un exploit. En règle générale, ces exploits seront très soigneusement configurés pour être aussi discrets et subtils que possible. Cela minimise le risque de détection, ce qui signifie que l'exploit peut être utilisé sur d'autres cibles choisies avant qu'il ne soit découvert et que la vulnérabilité sous-jacente ne soit corrigée.

Développer des exploits est une activité technique et chronophage. Cela en fait une activité coûteuse, en particulier lorsqu'il s'agit de systèmes très complexes sans vulnérabilités connues. Comme les fonds des États-nations sont disponibles pour les APT, ils peuvent généralement consacrer beaucoup plus de temps et d'efforts à identifier ces vulnérabilités subtiles mais graves, puis à développer des exploits extrêmement complexes pour eux.

L'attribution est difficile

Attribuer une attaque à un groupe ou à un État-nation peut être difficile. En effectuant des analyses approfondies des logiciels malveillants réellement utilisés, des systèmes de support et même des cibles de suivi, il peut être possible de lier des souches individuelles de logiciels malveillants à un APT en toute confiance et de lier cet APT à un pays.

Beaucoup de ces exploits très avancés partagent des morceaux de code avec d'autres exploits. Des attaques spécifiques peuvent même utiliser les mêmes vulnérabilités zero-day. Ceux-ci permettent aux incidents d'être liés et suivis plutôt que comme un malware unique et extraordinaire.

Le suivi de nombreuses actions à partir d'un APT permet de construire une carte de leurs cibles choisies. Ceci, combiné à une connaissance des tensions géopolitiques, peut au moins réduire la liste des sponsors étatiques potentiels. Une analyse plus approfondie du langage utilisé dans le logiciel malveillant peut donner des indices, bien que ceux-ci puissent également être falsifiés pour encourager une mauvaise attribution.

La plupart des cyberattaques des APT s'accompagnent d'un démenti plausible car personne ne les reconnaît. Cela permet à chaque nation responsable d'accomplir des actions auxquelles elle ne voudrait pas nécessairement être associée ou accusée. Étant donné que la plupart des groupes APT sont attribués en toute confiance à des États-nations spécifiques, et qu'il est supposé que ces États-nations ont encore plus d'informations sur lesquelles fonder cette attribution, il est raisonnablement probable que tout le monde sache qui est responsable de quoi. Si une nation accusait officiellement une autre d'une attaque, elle serait probablement victime d'une attribution de représailles. En jouant à l'idiot, tout le monde arrive à garder son déni plausible.

Exemples

De nombreux groupes différents nomment les APT autrement, ce qui complique leur suivi. Certains noms ne sont que des désignations numérotées. Certains sont basés sur des noms d'exploits liés sont basés sur des noms stéréotypés.

Il y a au moins 17 APT attribuées à la Chine. Un numéro APT, tel que APT 1, fait référence à certains. APT 1 est également spécifiquement l'unité PLA 61398. Au moins deux APT chinois ont reçu des noms représentant des dragons : Double Dragon et Dragon Bridge. Il y a aussi Numbered Panda et Red Apollo.

De nombreux APT attribués à l'Iran comportent "chaton" dans le nom. Par exemple, Helix Kitten, Charming Kitten, Remix Kitten et Pioneer Kitten. L'APT russe comporte souvent des noms d'ours, notamment Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear et Primitive Bear. La Corée du Nord a été attribuée à trois APT : Ricochet Chollima, Lazarus Group et Kimsuky.

Israël, le Vietnam, l'Ouzbékistan, la Turquie et les États-Unis ont au moins un APT attribué. Un APT attribué aux États-Unis est appelé Equation Group, qui serait le TAO ou l'unité des opérations d'accès sur mesure de la NSA. Le groupe tire son nom du nom de certains de ses exploits et de son utilisation intensive du cryptage.

Le groupe d'équations est généralement considéré comme le plus avancé de tous les APT. Il est connu pour avoir interdit des appareils et les avoir modifiés pour inclure des logiciels malveillants. Il contenait également plusieurs logiciels malveillants capables d'infecter le micrologiciel des disques durs de divers fabricants, permettant au logiciel malveillant de persister lors d'effacements complets de disques, de réinstallations du système d'exploitation et de tout autre chose que la destruction de disques. Ce logiciel malveillant était impossible à détecter ou à supprimer et aurait nécessité l'accès au code source du micrologiciel du lecteur pour se développer.

Conclusion

APT signifie Advanced Persistent Threat et est un terme utilisé pour désigner des groupes de piratage hautement avancés, généralement avec des liens présumés entre les États-nations. Le niveau de compétence, de patience et de dévouement dont font preuve les APT est inégalé dans le monde criminel. Combiné avec les cibles souvent politiques, il est assez clair que ce ne sont pas vos groupes de piratage pour de l'argent. Plutôt que de se lancer dans des violations de données bruyantes, les APT ont tendance à être subtils et à brouiller les pistes autant que possible.

Généralement, l'utilisateur moyen n'a pas à se soucier des APT. Ils ne passent leur temps que sur des cibles qui leur sont particulièrement précieuses. L'individu moyen ne cache pas de secrets qu'un État-nation considère comme précieux. Ce ne sont que les grandes entreprises, en particulier celles qui font du travail gouvernemental, et les personnes particulièrement influentes qui risquent de manière réaliste d'être ciblées. Bien entendu, chacun doit prendre au sérieux sa sécurité, ainsi que celle de son entreprise.

L'opinion générale dans le monde de la sécurité, cependant, est que si un APT décide que vous êtes intéressant, il pourra pirater vos appareils d'une manière ou d'une autre, même s'il doit dépenser des millions de dollars en R&D. Cela peut être vu dans les quelques cas de logiciels malveillants soigneusement conçus pour sauter les « trous d'air » tels que le ver Stuxnet .