La première mention d’un APT, tel qu’il est défini aujourd’hui, remonte à 1986, quand un pirate ouest-allemand, travaillant pour le KGB soviétique, s’est infiltré dans un ordinateur en réseau au sein d’un laboratoire californien. Les détails de l’attaque sont vivement décrits dans le livre The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, écrit par Clifford Stoll, le même directeur informatique qui a découvert cette présence étrangère dans le système.

1. APT (menaces avancées) : peut-on toutes les attraper ?
Parfois, un incident en cybersécurité peut être si insignifiant que s’il était un éternuement, il arriverait à peine
nous faire cligner des yeux. D’autres fois, il peut être si profondément perturbant qu’il arriverait à faire trembler
tout notre corps. Malheureusement pour nous, la ligne entre les deux est très facile à franchir. Donnez aux virus
suffisamment de temps pour incuber et du jour au lendemain c’est l’arrêt complet de votre système. L’élément
clé ici – le temps, le temps nécessaire pour identifier les signaux faibles d’un virus inconnu avant qu’il n’explose
comme une véritable épidémie.
Même si cela peut sembler évident, le temps de détection moyen d’un cyber-attaque reste trop élevé (variant
entre 98 et 197 jours selon une étude menée par l’Institut Ponemon) pour qu‘une réponse se révèle 100%
efficace. Voici comment les infâmes menaces persistantes avancées (APT en anglais) se sont démarquées comme
étant les menaces les plus dangereuses dans le domaine de la sécurité informatique. Les APT peuve nt être
assimilées à des bombes silencieuses, attendant d’être déclenchées à distance. Pire encore, les plus
menaçantes d’entre elles ne refont jamais surface (lire à propos de l’exemple le plus récent ici).
Typiquement, une attaque APT doit être perçue comme un ensemble de processus de piratage en cours et
furtifs, ciblant généralement une entité spécifique, à travers l’exploitation d’une vulnérabilité dans le système,
dans le but d’extraire des informations précieuses. L’origine du terme est liée à l’armée de l’air américaine,
lorsqu’un représentant l’a utilisé en 2005 pour identifier des acteurs menaçants qui utilisent des logiciels
malveillants dans le cadre de leur attaque. Contrairement à un morceau de code automatisé, les APT sont
activement soutenues par une équipe de personnes (le centre de commandement et de contrôle). Le C&C se
charge de la surveillance continue du processus et s’assure de la réalisation des objectifs préétablis. Cela veut
dire que nous ne sommes pas confrontés à un virus ou un malware agissant par lui-même. Nous avons plutôt
en face un kit d’exploitation, toute une collection de techniques (nous allons éviter de dire « sophistiqués »
comme beaucoup d’autres gens, vous allez voir pour quelle raison plus tard).
APT + Pokédex = APTex
Il y a un total de 450 attaques détaillées dans le Pokédex. Nous ne tenterons pas d’énumérer ici chaque APT
qui ait jamais eu lieu dans l’histoire des APT, mais, dans le but de cet article, nous allons dresser une courte liste
(notre propre ‘best of’) des plus importantes attaques.
Tout a un début (et peut-être, un jour, nous en verrons aussi la fin). La première mention d’un APT, tel qu’il est
défini aujourd’hui, remonte à 1986, quand un pirate ouest-allemand, travaillant pour le KGB soviétique, s’est
infiltré dans un ordinateur en réseau au sein d’un laboratoire californien. Les détails de l’attaque sont vivement
décrits dans le livre The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, écrit par
Clifford Stoll, le même directeur informatique qui a découvert cette présence étrangère dans le système. Le livre
(à votre disposition ici) raconte comment le pirate a réussi à entrer dans le réseau en exploitant la faible sécurité
de leur communication par satellite. Le premier de son genre, cet incident a déclenché une forte réaction dans
la naissante communauté de la cybersécurité. Avec les ordinateurs connectés vient la grande responsabilité (ou
la grande vulnérabilité… ?).
Le passage au combat Multi-Coups

2. Originaires de Chine, ces attaques se sont distinguées par une utilisation élevée des tactiques d’ingénierie sociale
(lire notre précédent article sur « La cible humaine derrière la machine » ici).
En plus d’inciter le débat autour des APT, Titan Rain a également donné le ton à l’utilisation de plusieurs vecteurs
(canaux) d’attaque pour effectuer la manipulation et l’extraction des données. A partir de 2009, les bandes de
pirates ont commencé à étendre leur portée à toutes les grandes industries où la cybersécurité été pourtant
jugé sérieuse. GhostNet est un tel exemple – une autre opération d’origine chinoise, qui avait infiltré des cibles
politiques, économiques et médiatiques dans plus de 100 pays à travers le monde.
La nouveauté ici c’était l’emploi de campagnes de phishing, avec des pièces jointes malveillantes (une technique
maintenant très redoutée compte tenu de sa popularité avec les ransomware). Une fois téléchargé sur un
ordinateur, la charge virale permet l’exécution de commandes à distance sur le système infecté, y compris des
enregistrements audio et vidéo. Dans ce cas, le point d’entrée a été involontairement fourni par la vulnérabilité
humaine.
Une stratégie de bataille évoluée
Le paradigme a changé une fois de plus avec l’arrivée de Stuxnet. Après avoir fait surface en 2010, Stuxnet est
le premier malware ayant été découvert en essayant d’atteindre un objectif spécifique, plutôt que la réalisation
de la simple collecte de données. Cette menace a été spécialement conçue par les États-Unis pour espionner
les installations nucléaires de l’Iran, mais, plus important encore, pour désactiver son hardware. C’est, sans doute,
l’objet collector dans l’APTex et l’exemple parfait d’une attaque APT sophistiquée.
Pourtant… la triste vérité aujourd’hui est qu’il a des APT qui sont loin de pouvoir être appelés « sophistiquées »
et qui sont encore couronnées de succès. Prenez, par exemple, la dernière menace de type APT – Patchwork,
découverte récemment pour avoir infecté plus de 2500 organisations en Asie du Sud-Est. Surnommé l’APT «
Copier – Coller », cette attaque n’utilise pas un événement zero-day, mais fait usage du code déjà existant afin
de créer sa charge virale. Les morceaux de code utilisés sont facilement accessibles sur des forums de piratage
en ligne. De plus, Patchwork arrive à s’infiltrer dans le système en utilisant une vulnérabilité connue (CVE-2014-
4114). Cela étant dit, pouvons-nous contempler dans le silence la façon dont un tel kit de base, qui ne mérite
même pas d’être appelé une menace « avancé », est devenu si « réussi » ?
Au fil du temps, des kits de piratage sont devenus de plus en plus disponibles pour les pirates les moins avancés.
Alors que les entreprises se voyaient traiter les menaces, une par une, les cybercriminels les plus expérimentés
ont continué à pousser les limites du « mal » numérique. Voilà comment les virus inconnus sont nés et comment
des combinaisons uniques de vecteurs d’attaque ont pu naître. Une fois la « maladie » installée dans une
organisation, comment peut-elle survivre ? Pour cette réponse, vous aurez juste besoin de lire notre précédent
article. Analyse comportementale, je te choisis !
Liens :
https://www.reveelium.com/fr/apts-can-you-catchem-all/
https://www.itrust.fr/apt-menaces-avancees-peut-on-toutes-les-attraper/