Advanced Persistent Threat

Une Advanced Persistent Threat (Anglais: traduction littérale, menace persistante avancée ; souvent abrégé APT) désigne initialement un type de piratage informatique furtif et continu, ciblant une entité spécifique^[1],[2].

Le terme Advanced Persistent Threat est également couramment utilisé par métonymie pour désigner des acteurs opérant des APT (aussi appelés « groupes APT »).

Il existe un flou sur le fait de savoir si le terme APT désigne une attaque ou un groupe^[3] mais la distinction n'est pas nécessairement un problème significatif dans la mesure ou une attaque APT est nécessairement produite et contrôlée par un groupe, et un groupe prend le caractère APT uniquement s'il a produit une attaque de ce type.

Comme son nom l'indique une APT doit être :

• Sophistiquée : l'attaque est d'un haut niveau technique ce qui lui permet de pénétrer furtivement les systèmes d'informations d'acteurs évolués notamment les grandes entreprises ou les États.
• Persistante : l'attaque est capable de se maintenir pour de longues périodes de temps dans ces systèmes et d'y agir ou d'en extraire des informations sans se faire repérer.

La mise en œuvre d'une APT nécessite des ressources importantes (équipes de techniciens très qualifiés) stables dans le temps, c'est pourquoi ce secteur a été traditionnellement considéré comme relevant d’États ou de groupes sponsorisés par des États. Cependant certains experts considèrent que la dissémination des outils APT, notamment la reprise d'outils APT étatiques, a pu permettre l'émergence de groupes APT criminels indépendants^[4].

Signification de l'expression Advanced Persistent Threat

Dans l'expression Advanced Persistent Threat, le mot Advanced fait référence à des techniques sophistiquées utilisant des logiciels malveillants pour exploiter des vulnérabilités dans les systèmes ; le mot persistent suggère qu'un système de commandement et de contrôle externe suit et extrait des données d'une cible sur une longue période de temps ; le mot threat indique une implication humaine dans l'orchestration de l'attaque^[5].

Historique

La première attaque de ce type, l'opération Titan Rain, a été découverte en 2003. Elle aurait duré environ 3 ans.

Les premières mises en garde contre des courriels malveillants ciblés et utilisant des techniques d'ingénierie sociale qui installaient des chevaux de Troie pour exfiltrer des informations sensibles ont été publiées par des Computer Emergency Response Team (CERT) du Royaume-Uni et des États-Unis en 2005. À cette époque, le terme Advanced Persistent Threat n'était pas utilisé^[6].

On reconnaît généralement que le terme Advanced Persistent Threat est apparu dans l'United States Air Force en 2006^[7] et on attribue au colonel Greg Rattray la création du terme^[8].

Ce type d'attaque a été popularisé à la suite de différentes affaires, comme l'attaque contre le journal The New York Times par un groupe chinois qui sera par la suite appelé APT1^[9],[10], ou plus anciennement l'Opération Aurora.

Une idée fausse communément répandue est que les Advanced Persistent Threats ne visent que les gouvernements occidentaux. Bien que les Advanced Persistent Threats contre les gouvernements occidentaux soient plus publicisées que les autres, de très nombreux pays de toute allégeance ont utilisé le cyberespace pour recueillir des renseignements sur des individus et des groupes^{[11],[12],[13]}.

Aux États-Unis, c'est le United States Cyber Command qui est chargé de coordonner la réponse de l'armée américaine aux Advanced Persistent Threat et aux cyberattaques en général.

Principales caractéristiques des APT

Les APT sont des menaces complexes combinant souvent différents vecteurs et stratégies d'attaques, pouvant utiliser des techniques inconnues ou des failles zero day, durant assez longtemps sans être détectées, et la plupart du temps ciblées.

Cycle de vie APT

 

Diagramme montrant le cycle de vie de l'Advanced Persistent Threat (APT).

Les acteurs derrière les APT créent un risque croissant et changeant aux actifs financiers, à la propriété intellectuelle, et à la réputation des organismes^[14] en suivant un processus continu :

1. S'organiser spécifiquement en fonction de la cible pour un objectif singulier
2. Tenter de gagner un équilibre dans l'environnement, la tactique commune inclut l'hameçonnage par courriels
3. Utiliser les systèmes compromis comme accès dans le réseau de la cible
4. Couvrir les voies afin de maintenir l'accès pour de futures initiatives

Groupes APT

Une APT cible généralement une organisation pour des motifs d'affaires ou un État pour des motifs politiques. Une APT exige un degré élevé de dissimulation sur une longue période de temps. Le but d'une telle attaque est de placer du code malveillant personnalisé sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu pendant la plus longue période possible.

Le terme Advanced Persistent Threat est aussi utilisé pour désigner un groupe, comme un gouvernement, avec à la fois la capacité et l'intention de cibler, de façon persistante et efficace, une entité spécifique. Un individu, comme un pirate informatique, n'est généralement pas désigné comme un Advanced Persistent Threat, car il n'a pas les ressources pour être à la fois avancé et persistant^[15].

L'activité des groupes APT est documentée notamment par les entreprises de sécurité informatique, des universités, des États ou la presse. La partie qui suit présente une liste non-exhaustive de groupes APT dont les activités ont fait l'objet de publication. Ces groupes étant clandestins leur nationalité ou leur rattachement à des États n'est pas officiel et en général non reconnus par les États concernés même quand il existe de forts éléments de preuve et un consensus parmi les experts.

Les groupes APT peuvent prendre plusieurs formes:

• des groupes clandestins directement intégrés à des États, par exemple des unités d'armées régulières ou des services de renseignement étatiques (ex: l'unité 61398 de l'Armée populaire de libération chinoise).
• des groupes indépendants ou présumés indépendants mais entretenant de forts liens avec des États (ex: le groupe Fancy Bear considéré proche du GRU Russe).
• l'existence de groupes indépendants est spéculée: certains groupes comme the Shadow Broker sont parfois cités mais la notion reste contestée^[16],[17].

Les noms indiqués correspondent généralement à des désignations proposées par des organismes ayant identifiés les groupes APT. Occasionnellement ces noms sont revendiqués par les groupes APT eux-mêmes.

Chine

• PLA Unit 61398 (aussi appelée APT1)
• PLA Unit 61486 (en) (aussi appelée APT2)
• Buckeye (aussi appelée APT3)^[18]
• Red Apollo (en) (aussi appelée APT 10, MenuPass, Stone Panda, ou POTASSIUM)
• Numbered Panda (en) (aussi appelée APT12)
• DeputyDog (aussi appelée APT17)^[19]
• Codoso Team (aussi appelée APT19)
• Wocao (aussi appelée APT20)^[20],[21]
• PLA Unit 78020 (aussi appelée APT30 and Naikon)
• Zirconium^[22] (aussi appelée APT31)^[23]
• Periscope Group (en) (aussi appelée APT40)
• Double Dragon (en)^[24] (aussi appelée APT41, Winnti Group, Barium, ou Axiom)^{[25],[26],[27]}
• Tropic Trooper^[28],[29]
• Hafnium (en)^[30],[31]

France

• Animal Farm identifié en 2016 comme ayant été opéré par la DGSE^[32],[33]

Iran

• Elfin Team (en) (aussi appelée APT33)
• Helix Kitten (en) (aussi appelée APT34)
• Charming Kitten (en) (aussi appelée APT35)
• APT39
• Pioneer Kitten^[34]

Israël

• Unit 8200

Corée du Nord

• Kimsuky (en)
• Lazarus Group (en) (aussi appelée APT38)
• Ricochet Chollima (en) (aussi appelée APT37)

Russie

• Fancy Bear (aussi appelée APT28)
• Cozy Bear (aussi appelée APT29)
• Sandworm (en)
• Berserk Bear (en)
• FIN7 (en)
• Venomous Bear

États-Unis

• Equation Group^[35]

Ouzbékistan

• SandCat (aussi appelée National Security Service (Uzbekistan))^[36]

Vietnam

• OceanLotus (aussi appelée APT32)^[37],[38]

Les stratégies de défense

Il y a des centaines de milliers de variations de programmes malveillants, ce qui rend extrêmement difficile le développement de défense efficace contre les Advanced Persistent Threat. Bien que les activités des Advanced Persistent Threat soient furtives et difficiles à détecter, le trafic réseau associé au commandement et au contrôle (C&C ou C²) des Advanced Persistent Threat peut être détecté au niveau de la couche réseau. Des analyses profondes et des corrélations des historiques d'événements de diverses sources peuvent détecter des Advanced Persistent Threat. Des logiciels peuvent être utilisés pour collecter des historiques d'événements (TCP et UDP) directement à partir des serveurs syslog. Ensuite, des outils d'information et de gestion des événements de sécurité (Security Information and Event Management ou SIEM) peuvent corréler et analyser les historiques d'événements. Bien qu'il soit difficile de séparer le bruit du trafic légitime, un logiciel doté de règles de corrélation correctement définies peut filtrer le trafic légitime pour permettre au personnel de sécurité de se concentrer sur le bruit^[5]. Gartner a publié un document sur les meilleures pratiques de défense contre les Advanced Persistent Threat.

Un bon outil de gestion des ressources d'un ordinateur peut aussi aider les experts en sécurité à détecter les nouveaux fichiers suspects sur l'ordinateur.

Une méthode de plus en plus utilisée pour améliorer la détection de ce type d'attaque est la Threat Intelligence, ou renseignement de menace. Cette discipline, basée sur des techniques du Renseignement, a pour but de collecter et d'organiser toutes les informations liées à des attaques du passé afin de dresser un portrait du possible attaquant (ou groupe d'attaquant). Ce profiling permet de mieux se défendre et d'anticiper au mieux les différents incidents en permettant une détection aux prémices d'une attaque d'envergure.

Les informations peuvent être des marqueurs, indicateurs de compromissions (IOC tels que des hash, des noms de domaine, des adresses IP), historiques d'attaques, mais aussi des signes comme la réutilisation d'architecture ou de plateforme ayant servi dans le passé, l'utilisation de services, techniques, signatures, méthodes spécifiques.

Bibliographie

• Cédric Pernet, Sécurité et espionnage informatique : Connaissance de la menace APT (Advanced Persistent Threat) et du cyberespionnage, Eyrolles, 12 décembre 2014, 221 p. (ISBN 978-2212139655)

Références

1. « What Is an Advanced Persistent Threat (APT)? », Kaspersky Labs (consulté le 23 juillet 2021)
2. « What Is an Advanced Persistent Threat (APT)? », Cisco Systems (consulté le 23 juillet 2021)
3. « Advanced Persistent Threat », sur Deloitte Switzerland (consulté le 9 août 2023)
4. (en) Sarah Maloney, « What is an Advanced Persistent Threat (APT)? », sur Cybereason (consulté le 23 juillet 2021).
5. (en) Dr. Sam Musa, « Advanced Persistent Threat - APT », sur academia.edu, 6 mars 2014 (consulté le 12 novembre 2023).
6. Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D., « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains », Lockheed Martin Corporation Abstract (consulté le 13 mars 2013)
7. « Assessing Outbound Traffic to Uncover Advanced Persistent Threat », SANS Technology Institute (consulté le 14 avril 2013)
8. « Introducing Forrester's Cyber Threat Intelligence Research », Forrester Research (consulté le 14 avril 2014)
9. (en) Michael Mimoso, « Inside the targetted attack on New York Times », threatpost.com, 31 juillet 2013
10. (en) « APT1: Exposing One of China's Cyber Espionage Units », Mandiant
11. « An Evolving Crisis », BusinessWeek, 10 avril 2008 (version du 10 janvier 2010 sur Internet Archive)
12. « The New E-spionage Threat », BusinessWeek, 10 avril 2008 (version du 18 avril 2011 sur Internet Archive)
13. « Google Under Attack: The High Cost of Doing Business in China », Der Spiegel, 19 janvier 2010 (version du 21 janvier 2010 sur Internet Archive)
14. (en) « Advanced Persistent Threats: Higher Education Security Risks »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, sur SecureWorks, Dell (consulté le 25 septembre 2014).
15. « The changing threat environment ... », Command Five Pty Ltd (consulté le 31 mars 2011)
16. (en-US) « Did NSA Hackers The Shadow Brokers have a Broker? », sur The Security Ledger with Paul F. Roberts, 20 décembre 2016 (consulté le 23 juillet 2021)
17. (en) Bruce Schneier, « Who Are the Shadow Brokers? », sur The Atlantic, 23 mai 2017 (consulté le 23 juillet 2021)
18. « Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak » [archive du 7 mai 2019], Symantec, 7 mai 2019 (consulté le 23 juillet 2019)
19. « APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic », FireEye,‎ mai 2015 (lire en ligne)
20. Maarten van Dantzig et Erik Schamper, « Wocao APT20 », sur fox-it.com, NCC Group (en), 19 décembre 2019
21. Jai Vijayan, « China-Based Cyber Espionage Group Targeting Orgs in 10 Countries », sur www.darkreading.com, Dark Reading, 19 décembre 2019 (consulté le 12 janvier 2020)
22. Sean Lyngaas, « Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm », sur www.cyberscoop.com, Cyberscoop, 12 février 2019 (consulté le 16 octobre 2020)
23. Sean Lyngaas, « Google offers details on Chinese hacking group that targeted Biden campaign », sur Cyberscoop, 16 octobre 2020 (consulté le 16 octobre 2020)
24. « Double Dragon APT41, a dual espionage and cyber crime operation », sur FireEye, 16 octobre 2019 (consulté le 14 avril 2020)
25. « Bureau names ransomware culprits », sur www.taipeitimes.com, Taipei Times, 17 mai 2020 (consulté le 22 mai 2020)
26. Mathieu Tartare et Martin Smolár, « No "Game over" for the Winnti Group », sur www.welivesecurity.com, We Live Security (consulté le 22 mai 2020)
27. Andy Greenberg, « Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry », sur wired.com, 6 août 2020 (consulté le 7 août 2020)
28. Joey Chen, « Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments », sur Trend Micro, Trend Micro (consulté le 16 mai 2020)
29. Catalin Cimpanu, « Hackers target the air-gapped networks of the Taiwanese and Philippine military », sur ZDnet (consulté le 16 mai 2020)
30. (en) Ryan Naraine, « Microsoft: Multiple Exchange Server Zero-Days Under Attack by Chinese Hacking Group », sur securityweek.com, Wired Business Media, 2 mars 2021 (consulté le 3 mars 2021)
31. (en) Tom Burt, « New nation-state cyberattacks », sur blogs.microsoft.com, Microsoft, 2 mars 2021 (consulté le 3 mars 2021)
32. « SNOWGLOBE: From Discovery to Attribution », Centre de la sécurité des télécommunications Canada, document publié par Der Spiegel
33. « Les confessions d’un maître de l’espionnage français », Le Monde.fr,‎ 3 septembre 2016 (lire en ligne, consulté le 23 juillet 2021)
34. « Pioneer Kitten APT Sells Corporate Network Access », sur threatpost.com
35. « Equation: The Death Star of Malware Galaxy » [archive du 11 juillet 2019], Kaspersky Lab, 16 février 2015 (consulté le 23 juillet 2019)
36. Sean Gallagher, « Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV », sur arstechnica.com, Ars Technica (consulté le 5 octobre 2019)
37. Ankit Panda, « Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19 », sur thediplomat.com, The Diplomat (consulté le 29 avril 2020)
38. Hakan Tanriverdi, Max Zierer, Ann-Kathrin Wetter, Kai Biermann, Thi Do Nguyen, Lisa Wreschniok (editor), Robert Schöffel (editor) et Verena Nierle (editor), « Lined up in the sights of Vietnamese hackers », Bayerischer Rundfunk,‎ 8 octobre 2020 (lire en ligne) :

    « In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots. »

Annexes

Articles connexes

• Cyberattaque
• Cyber-espionnage
• Opération Aurora
• Opération Shady RAT
• Unité 61398
• Tailored Access Operations

Liens externes

• Notice dans un dictionnaire ou une encyclopédie généraliste  :

  • Britannica
• (en) Gartner, Best Practices for Mitigating Advanced Persistent Threats, 2013
• Livre blanc par Hitachi pour les menaces persistantes avancées
• Blog Kaspersky
• Présentation du CERT-IST sur les APT
• Liste des rapports publiés sur les APT (2006-2015)

•   Portail de l’informatique
•   Portail de la sécurité informatique