Article

Advanced persistent threat - Menace persistante avancée (MPA)

Security
Temps de lecture : 11 minutes

Comme son nom l'indique, une menace persistante avancée (MPA), également appelée « cyberattaque persistante » (CP), est une cyberattaque à la fois sophistiquée et prolongée, exécutée par une organisation qui possède de nombreuses ressources (par exemple, des États nations et des syndicats du crime) et visant généralement une cible précise. Les menaces persistantes avancées sont complexes, de grande envergure et de longue durée. La violation initiale est souvent suivie d'une attente prolongée, au cours de laquelle les agresseurs surveillent l'activité et se déplacent latéralement pour étendre leurs positions au sein de l'entreprise ciblée.

Les tactiques adoptées dans le cadre d'une menace persistante avancée varient. Dans certains cas, des données sensibles sont exfiltrées lentement. Dans d'autres, l'attaque est furtive et massive. Les objectifs des menaces persistantes avancées appartiennent à plusieurs catégories :

  • Le cyberespionnage
  • Destruction et perturbation (par exemple, de l'infrastructure ou des réseaux)
  • L'extorsion
  • Le vol financier
  • Le cyberactivisme

Les menaces persistantes avancées visent toutes sortes de cibles. Par exemple :

  • Les identifiants d'accès
  • Les dnnées classifiées
  • Les actifs financiers
  • Les données d'infrastructure
  • La propriété intellectuelle (par exemple, les dessins, les inventions, les brevets, les procédés et secrets commerciaux)
  • Les informations personnelles identifiables (PII)

Les composantes d'une menace persistante avancée

Une menace persistante avancée se distingue par ses trois composantes distinctes. Certaines menaces n'ont parfois qu'une ou deux de ces composantes, mais pour qu'une cyberattaque constitue une menace persistante avancée, les trois composantes doivent être réunies.

Avancée

Une menace avancée est le fait d'un groupe ayant les moyens d'exploiter des failles qui lui permettent de :

  • Tirer parti de l'environnement et des vulnérabilités d'une cible spécifique ;
  • Mener une attaque à grande échelle en exploitant des failles de sécurité informatique accessibles au public ;
  • Profiter de ces deux conditions à la fois.

Un autre aspect qui confère à ces attaques un caractère « avancé » est l'existence de capacités de collecte de renseignements ed'une extrême sophistication.

Persistante

S'agissant d'une menace persistante avancée, le terme « persistante » renvoie à l'idée que l'attaque poursuit un objectif spécifique, plutôt que d'être opportuniste ou le fruit d'une approche globale et sans discernement. De par leur nature persistante, ces cyberattaques sont particulièrement dangereuses, car l'adversaire dispose du soutien et de l'engagement nécessaires pour poursuivre l'attaque jusqu'à ce qu'il ait atteint son objectif. La persistance sous-entend également que l'attaquant peut et entend consacrer le temps nécessaire à l'exécution d'une attaque à long terme et en plusieurs étapes.

Menace

On parle ici de menace, car il ne s'agit pas simplement d'un logiciel malveillant diffusé et livré à lui-même sans intervention humaine. Une menace persistante avancée peut certes recourir à des logiciels malveillants, mais des êtres humains doivent participer directement à son exécution, ses progrès et ses actions.

Avec les menaces persistantes avancées, pour exécuter des logiciels sophistiqués et garantir la réussite de la mission, la technologie fait nécessairement partie intégrante de l'intervention, sous la supervision humaine.

Les malfaiteurs ont un objectif précis, ils sont compétents, motivés, organisés et disposent d'importants moyens financiers. Et ils n'appartiennent pas seulement à des groupes appuyés par des États.

Petit rappel historique des menaces persistantes avancées

En 2005, au Royaume-Uni et aux États-Unis, les centres d'alerte et de réaction aux attaques informatiques (Computer Security Incident Response Team, CSIRT en Europe, ou CERT, aux États-Unis) relevant du ministère de la sécurité intérieure ont publié des mises en garde contre des attaques hautement sophistiquées et ciblées menées sur des informations sensibles. Si les cyberattaques n'étaient pas nouvelles en tant que telles, elles dépassaient en complexité tout ce que l'on avait connu jusque-là.

Le terme « advanced persistent threat » a été inventé en 2007 par le colonel Greg Rattray, de l'US Air Force.

« En 2007, j'ai inventé le terme 'menace persistante avancée' pour caractériser de nouveaux adversaires que nous avions à combattre en collaboration avec la base industrielle de défense... Depuis lors, la nature de nos adversaires a évolué, tout comme la définition même de ce qu'est une menace persistante avancée. Ce qui n'a pas changé, c'est que dans le cyberespace, les attaquants avancés s'acharnent sur des cibles qu'ils veulent piller, quelle que soit la puissance des défenses en place. »

Colonel Greg Rattray, US Air Force

Les menaces persistantes avancées les plus connues sont présentées ci-dessous. Bien que certaines d'entre elles aient été identifiées avant même la création de ce terme, elles sont toujours considérées comme des exemples de menaces persistantes avancées.

The Cuckoo's Egg

  • C'est dans ce livre célèbre de Clifford Stoll (« Les Œufs du coucou ») qu'est citée la première attaque menée contre des établissements de recherche militaire.
  • Elle fut perpétrée par des pirates informatiques ouest-allemands
  • Les attaquants réussirent à pénétrer dans des ordinateurs en réseau pour voler des secrets liés au programme militaire américain « Star Wars ».

Moonlight Maze

  • Il s'agit d'une série d'attaques dirigées contre des sites du gouvernement. américain
  • Elles sont passées sous les radars pendant près de deux ans.
  • Les attaquants sont parvenus à infiltrer les systèmes du Pentagone, de la Nasa et du ministère américain de l'Énergie, ainsi que des universités et des laboratoires de recherche associés à la recherche militaire.

Titan Rain

  • Il s'agit d'une série d'attaques de cyberespionnage lancées contre des acteurs de la sécurité nationale américaine .
  • Elle serait d'origine chinoise, bien que le gouvernement chinois l'ait démenti.

Sykipot

  • Elle fut détectée en 2006, mais selon certaines sources, elle aurait été lancée bien avant cette date.
  • Les attaquants sont parvenus à collecter des secrets et des documents de propriété intellectuelle et à s'en emparer.
  • Ils ont utilisé des courriels de harponnage contenant des pièces jointes malveillantes, des liens vers un site web infecté et des attaques contre des failles dites « zero-day ».
  • De nombreuses entreprises américaines et britanniques en furent victimes

GhostNet

  • L'attaque « réseau fantôme » est une opération de cyberespionnage de grande envergure.
  • Elle serait d'origine chinoise, bien que le gouvernement chinois l'ait démenti.
  • Elle recourait à des courriels de harponnage contenant des pièces jointes malveillantes qui chargeaient un cheval de Troie exécutant des commandes à partir d'un système de commande distant. Ce dernier téléchargeait d'autres logiciels malveillants sur le système compromis afin d'en prendre le contrôle total.
  • Des enregistreurs audio et vidéo furent utilisés pour surveiller les emplacements des systèmes compromis.
  • L'opération permit d'infiltrer des cibles politiques, économiques et médiatiques dans plus de 100 pays.

Opération « Aurora »

  • Cette opération exploitait une faille zero-day pour installer un cheval de Troie malveillant nommé Hydraq. L'objectif était de dérober des informations.
  • Elle serait d'origine chinoise, bien que le gouvernement chinois l'ait démenti.
  • Les premières victimes d'attaques de type MPA n'ont pas fait état publiquement de ce qui leur était arrivé, à l'exception de Google.

Attaque contre les infrastructures SecurID (RSA)

  • Relativement simple, mais efficace, cette attaque commença par un courriel de phishing exploitant une faille d'Adobe Flash intégrée dans une feuille de calcul en pièce jointe.
  • Elle se traduisit par le vol d'informations confidentielles, notamment de données relatives à la technologie d'authentification de RSA
  • Elle fit appel à un logiciel malveillant appelé « Poison Ivy », qui était à l'époque un cheval de Troie facile à obtenir et mis en œuvre à distance.

Stuxnet

  • Il s'agirait du premier logiciel malveillant rencontré dans le domaine public.
  • Il fut conçu pour espionner et détourner des logiciels et équipements industriels.
  • Il serait d'origine américaine et israélienne, bien que les deux pays l'aient démenti.
  • C'est le premier logiciel malveillant connu pour comporter un passe-droit d'automate programmable (PLC).
  • Il était programmé pour s'effacer à une date précise.

Flame (ver informatique)

  • Il s'agit d'un logiciel malveillant découvert par l'équipe du centre iranien d'alerte et de réaction aux attaques informatiques (CSIRT).
  • Ce ver informatique fut utilisé pour organiser des attaques de cyberespionnage sophistiquées contre des ministères, des établissements d'enseignement et des particuliers dans les pays du Moyen-Orient.
  • Il infecta plus de 1 000 systèmes en Iran, en Israël, au Soudan, en Syrie, au Liban, en Arabie saoudite et en Égypte.
  • Volumineux et complexe, ce logiciel malveillant était conçu pour se propager sur les réseaux locaux ou par le biais de clés USB.
  • Il enregistrait des données audio, l'activité du clavier, le trafic réseau et réalisait des captures d'écran.
  • Il avait même la capacité de dérober des coordonnées sur tout appareil compatible Bluetooth® se trouvant à proximité.

Le cycle de vie d'une menace persistante avancée

Une menace persistante avancée s'exécute en une série d'étapes méthodiques qui peuvent se succéder rapidement ou se dérouler sur une longue période pour échapper à la détection. En voici les principales phases d'exécution :

Accéder au système en s'y introduisant ou s'y infiltrant

Après avoir choisi une cible, une menace persistante avancée y accède principalement par les trois moyens suivants : des utilisateurs autorisés, des ressources réseau ou des ressources web. Plusieurs approches sont mises en œuvre pour pénétrer dans la cible (parfois complétées par une attaque par déni de service distribué (DDoS) pour créer une distraction), par exemple :

  • Des vulnérabilités dans les applications
  • Des courriels de hameçonnage
  • Inclusion de fichiers à distance (RFI)
  • Une injection de code SQL
  • Des chevaux de Troie se faisant passer pour des logiciels légitimes

Prendre pied

Une fois la cible atteinte, les attaquants créent un réseau de portes dérobées et de tunnels qui leur permettent de s'immiscer dans les systèmes sans être détectés. Souvent, les logiciels malveillants sont conçus pour effacer les traces laissées par les attaquants lors de leurs déplacements. Ils établissent également un accès à distance au réseau, au moyen de serveurs de commande et de contrôle (C&C).

S'étendre et monter en puissance

Après avoir pris pied, les attaquants accèdent aux profondeurs des systèmes et augmentent leur emprise par des mouvements latéraux, en infiltrant d'autres serveurs, d'autres parties sécurisées du réseau et d'autres réseaux. Une fois à l'intérieur, ils utilisent des enregistreurs de frappe et des attaques par la force brute pour s'emparer d'informations sur les comptes privilégiés, qui renforcent leurs propres privilèges.

Lancer une attaque et extraire des informations

Une fois l'accès souhaité obtenu, les attaquants entament le processus d'exfiltration, qui consiste généralement à centraliser, chiffrer et compresser les informations afin d'accélérer l'extraction sans être repérés. Mais la plupart des menaces persistantes avancées ne s'arrêtent pas là. Dans bien des cas, la menace reste dissimulée en arrière-plan, attendant d'organiser une nouvelle attaque ou continuant tranquillement à siphonner des données.

Atténuer les menaces persistantes avancées

Devant l'ampleur et la complexité des menaces persistantes avancées, leur atténuation nécessite une approche multidimensionnelle qui s'appuie sur la plupart des éléments du programme de sécurité d'une entreprise et sur les utilisateurs en bout de chaîne.

On peut faire appel à des solutions de cybersécurité et de renseignement qui peuvent pour atténuer les menaces persistantes avancées. En voici quelques-unes :

  • Les contrôles de l'accès, qui font appel au principe du privilège minimum
  • Une liste blanche des applications et domaines
  • Une analyse de la sécurité des données
  • Le chiffrement
  • La protection des terminaux
  • La détection des intrusions
  • La détection des logiciels malveillants
  • La microsegmentation du réseau
  • La correction des vulnérabilités des logiciels du réseau et des systèmes d'exploitation
  • Les tests de pénétration
  • La veille technique, pour renseigner par exemple avec des indicateurs de compromission (IOC) utilisés en parallèle avec un outil de gestion des informations et des événements de sécurité (SIEM)
  • La surveillance du trafic
  • Les pare-feu d'application web (WAF)

La sensibilisation et la préparation sont les clés d'une réaction adéquate en cas de menace persistante avancée

Par nature, les menaces persistantes avancées sont très créatives et efficaces lorsqu'il s'agit de cibler les failles. Pour se défendre contre elels comme il se doit, un rigoureux dispositif de sécurité et une approche globale de la sécurité sont incontournables. Tous les points d'entrée possibles, qu'il s'agisse de machines ou d'humains, doivent être pris en compte et défendus.

Cette surface d'attaque est vaste, mais il existe une multitude de systèmes et de services pour la défendre. Toutefois, afin de prévenir ou d'atténuer les conséquences potentiellement catastrophiques d'une menace persistante avancée, les mesures mises en place doivent s'accompagner d'une sensibilisation accrue à tous les vecteurs humains.

Lancez-vous

Découvrez ce que la sécurité des identités peut faire pour votre entreprise

Découvrez comment les solutions SailPoint permettent à l’entreprise moderne de résoudre l’équation : garantir un accès sécurisé aux ressources sans nuire à la productivité ou à l’innovation.

Demander une démoContactez-nous