Advanced Persistent Threat (APT)

 Qu’est-ce qu’une menace persistante avancée ?


Une menace persistante avancée (APT) est une cyberattaque sophistiquée et soutenue dans laquelle un intrus établit une présence non détectée dans un réseau afin de voler des données sensibles sur une période prolongée. Une attaque APT est soigneusement planifiée et conçue pour infiltrer une organisation spécifique, échapper aux mesures de sécurité existantes et passer inaperçue.

L’exécution d’une attaque APT nécessite un degré de personnalisation et de sophistication plus élevé qu’une attaque traditionnelle. Les adversaires sont généralement des équipes de cybercriminels expérimentés et bien financés qui ciblent des organisations de grande valeur. Ils ont consacré beaucoup de temps et de ressources à rechercher et à identifier les vulnérabilités au sein de l’organisation.

Les objectifs des APT se répartissent en quatre catégories générales :

  1. Cyberespionnage, y compris le vol de propriété intellectuelle ou de secrets d'État
  2. La cybercriminalité pour un gain financier
  3. Hacktivisme
  4. Destruction

Quelles sont les 3 étapes d’une attaque APT ?


Pour prévenir, détecter et résoudre une APT, vous devez reconnaître ses caractéristiques. La plupart des APT suivent le même cycle de vie de base : infiltrer un réseau, étendre l'accès et atteindre l'objectif de l'attaque, qui consiste le plus souvent à voler des données en les extrayant du réseau.

Étape 1 : Infiltration


Dans la première phase, les menaces persistantes avancées sont souvent accessibles via des techniques d’ingénierie sociale. Un indice d'APT est un e-mail de phishing qui cible de manière sélective des individus de haut niveau tels que des cadres supérieurs ou des responsables technologiques, en utilisant souvent des informations obtenues auprès d'autres membres de l'équipe qui ont déjà été compromises. Les attaques par courrier électronique ciblant des individus spécifiques sont appelées « spear phishing ».

L'e-mail peut sembler provenir d'un membre de l'équipe et inclure des références à un projet en cours. Si plusieurs dirigeants déclarent avoir été trompés par une attaque de spear phishing, commencez à rechercher d’autres signes d’APT.

Étape 2 : escalade et mouvement latéral


Une fois l’accès initial obtenu, les attaquants insèrent des logiciels malveillants dans le réseau d’une organisation pour passer à la deuxième phase, l’expansion. Ils se déplacent latéralement pour cartographier le réseau et recueillir des informations d'identification telles que des noms de compte et des mots de passe afin d'accéder aux informations commerciales critiques.

Ils peuvent également établir une « porte dérobée », un système qui leur permet de se faufiler ultérieurement dans le réseau pour mener des opérations furtives. Des points d'entrée supplémentaires sont souvent établis pour garantir que l'attaque puisse se poursuivre si un point compromis est découvert et fermé.

Étape 3 : Exfiltration


Pour se préparer à la troisième phase, les cybercriminels stockent généralement les informations volées dans un emplacement sécurisé au sein du réseau jusqu'à ce que suffisamment de données aient été collectées. Ils l’extraient ensuite, ou « l’exfiltrent » sans être détectés. Ils peuvent utiliser des tactiques telles qu'une attaque par déni de service (DoS) pour distraire l'équipe de sécurité et immobiliser le personnel du réseau pendant l'exfiltration des données. Le réseau peut rester compromis, en attendant le retour des voleurs à tout moment.

Caractéristiques d'une attaque APT


Étant donné que les menaces persistantes avancées utilisent des techniques différentes de celles des pirates informatiques ordinaires, elles laissent derrière elles des signes différents. Outre les campagnes de spear phishing ciblant les dirigeants de l'organisation, les symptômes d'une menace persistante avancée incluent :

  •  Activité inhabituelle sur les comptes d'utilisateurs, telle qu'une augmentation des connexions de haut niveau tard dans la nuit
  • Présence généralisée de chevaux de Troie de porte dérobée
  • Ensembles de données inattendus ou inhabituels, pouvant indiquer que des données ont été collectées en vue de l'exfiltration
  • Flux d'informations inattendus, tels que des anomalies dans les données sortantes ou une augmentation soudaine et inhabituelle des opérations de bases de données impliquant des quantités massives de données


Exemples de menaces persistantes avancées


GOBLIN PANDA (APT27) a été observé pour la première fois en septembre 2013 lorsque CrowdStrike a découvert des indicateurs d'attaque (IOA) dans le réseau d'une entreprise technologique opérant dans plusieurs secteurs. Cet adversaire basé en Chine utilise deux documents d'exploitation Microsoft Word avec des thèmes liés à la formation pour supprimer les fichiers malveillants lors de leur ouverture.

FANCY BEAR (APT28), un attaquant basé en Russie, utilise des messages de phishing et des sites Web falsifiés qui ressemblent beaucoup à des sites légitimes afin d'accéder à des ordinateurs et appareils mobiles conventionnels. 


Cozy Bear (APT29) est un adversaire d’origine russe, considéré comme susceptible d’agir au nom du service de renseignement étranger de la Fédération de Russie. Cet adversaire a été identifié en tirant parti de campagnes de spear phishing à grande échelle pour diffuser une large gamme de types de logiciels malveillants dans le cadre d'un effort visant à cibler des entités politiques, scientifiques et de sécurité nationale dans divers secteurs.


Ocean Buffalo (APT32) est un adversaire d'intrusion ciblée basé au Vietnam qui serait actif depuis au moins 2012. Cet adversaire est connu pour employer un large éventail de tactiques, de techniques et de procédures (TTP), y compris l'utilisation à la fois de tactiques personnalisées et off- outils du commerce ainsi que la distribution de logiciels malveillants via des opérations Strategic Web Compromise (SWC) et des e-mails de spear phishing contenant des pièces jointes malveillantes.

HELIX KITTEN (APT34) est actif depuis au moins fin 2015 et est probablement basé en Iran. Il cible les organisations des secteurs de l'aérospatiale, de l'énergie, de la finance, du gouvernement, de l'hôtellerie et des télécommunications et utilise des messages de spear phishing bien documentés et structurés qui sont très pertinents pour le personnel ciblé. 


Wicked Panda (APT41) a été l’un des adversaires basés en Chine les plus prolifiques et les plus efficaces du milieu des années 2010 jusqu’aux années 2020. Wicked Panda est constitué d'un sur-ensemble de groupes impliquant plusieurs sous-traitants travaillant dans les intérêts de l'État chinois tout en menant des activités criminelles à but lucratif, probablement avec une certaine forme d'approbation tacite des responsables du PCC.

Comment vous protéger contre les attaques APT ?


Il existe de nombreuses solutions de cybersécurité et de renseignement pour aider les organisations à mieux se protéger contre les attaques APT. Voici quelques-unes des meilleures tactiques à utiliser :

  1.     Couverture du capteur (Sensor Coverage). Les organisations doivent déployer des capacités qui offrent à leurs défenseurs une visibilité totale sur leur environnement afin d’éviter les angles morts qui peuvent devenir un refuge pour les cybermenaces.
  2. Renseignement technique(Technical Intelligence). Tirez parti des informations techniques, telles que les indicateurs de compromission (IOC), et intégrez-les dans un gestionnaire d'informations et d'événements de sécurité (SIEM) à des fins d'enrichissement des données. Cela permet d'obtenir plus d'intelligence lors de la corrélation d'événements, mettant potentiellement en évidence des événements sur le réseau qui, autrement, n'auraient pas été détectés.
  3. Fournisseur de services(Service Provider). S'associer à une entreprise de cybersécurité parmi les meilleures du secteur est une nécessité. Si l’impensable se produisait, les organisations pourraient avoir besoin d’aide pour répondre à une cybermenace sophistiquée.
  4. Un pare-feu d'application Web (Web Application Firewall) est un dispositif de sécurité conçu pour protéger les organisations au niveau des applications en filtrant, surveillant et analysant le trafic du protocole de transfert hypertexte (HTTP) et du protocole de transfert hypertexte sécurisé (HTTPS) entre l'application Web et Internet.
  5. Renseignements sur les menaces(Threat Intelligence). Les renseignements sur les menaces facilitent le profilage des acteurs malveillants, le suivi des campagnes et le suivi des familles de logiciels malveillants. De nos jours, il est plus important de comprendre le contexte d’une attaque plutôt que de simplement savoir qu’elle a eu lieu, et c’est là que le renseignement sur les menaces joue un rôle essentiel.
  6. Chasse aux menaces(Threat Hunting). De nombreuses organisations auront besoin d’une chasse aux menaces gérée et humaine 24 heures sur 24, 7 jours sur 7, pour accompagner leur technologie de cybersécurité déjà en place.


 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Inversehacker Le systeme des Hackeurs

Image
Un toolkit bugbounty concis pour le hackeur Le bug bounty est une pratique qui consiste à rémunérer des personnes pour la découverte et la divulgation de vulnérabilités de sécurité dans des logiciels ou des services. Le pentest, ou test d'intrusion, est une activité similaire qui consiste à tester la sécurité d'un système informatique ou d'un réseau. Pour mener à bien ces activités, les pentesters et les bug bounty hunters ont besoin d'outils et de ressources adaptés. Une image Docker, appelée Inversehacker, peut être un excellent moyen de se lancer dans ces domaines. Inversehacker : un toolkit complet Inversehacker est une image Docker qui contient un ensemble d'outils et de ressources pour le bug bounty et le pentest. Elle comprend notamment : Un ensemble de scanners de vulnérabilités, tels que Dnsenum, Nmap et Recon-ng. Un ensemble d'outils d'analyse de vulnérabilités, tels que Commix et Burp Suite. Un ensemble d'outils de fuzzing, tels que Gobuster e
Lire la suite

Pirater Git avec GitGraber part1

Image
 GITGRABER   GitGraber est un outil d'extraction de données Git. Il permet aux attaquants de télécharger des référentiels Git à partir de serveurs distants. GitGraber est un outil puissant qui peut être utilisé pour voler des données sensibles, telles que des codes source, des bases de données et des informations personnelles. Comment fonctionne GitGraber ? GitGraber utilise une variété de techniques pour télécharger des référentiels Git, notamment : Force brute   : GitGraber essaie de deviner le mot de passe de l'utilisateur Git en générant un nombre important de combinaisons. Reconnaissance   : GitGraber utilise des techniques de reconnaissance pour identifier les vulnérabilités dans la configuration Git du serveur. Ingénierie sociale   : GitGraber peut être utilisé pour tromper un utilisateur Git afin qu'il divulgue son mot de passe. Comment se protéger contre GitGraber ? Il existe plusieurs façons de se protéger contre GitGraber, notamment : Utiliser un mot de passe fo
Lire la suite

Tout sur APT29

Image
  L'APT29, également connu sous le nom de Cozy Bear ou The Dukes, est un groupe de pirates informatiques russes qui est actif depuis au moins 2008. Ce groupe est responsable d'une série d'attaques contre des agences gouvernementales, des entreprises et des organisations non gouvernementales dans le monde entier. L'APT29 est considéré comme un acteur étatique, ce qui signifie qu'il est soutenu par le gouvernement russe. Ce groupe est connu pour son utilisation de techniques et d'outils sophistiqués pour mener ses attaques. Les principales activités de l'APT29 comprennent : L'espionnage : L'APT29 utilise ses attaques pour collecter des informations sensibles sur ses victimes. Ces informations peuvent inclure des informations financières, des secrets commerciaux ou des informations sensibles sur la défense nationale. Le sabotage : L'APT29 peut également utiliser ses attaques pour saboter les systèmes de ses victimes. Cela peut inclure la suppressi
Lire la suite