Table des matières:
- Qu'est-ce qu'un APT?
- En quoi les APT sont-ils différents?
- Quelques exemples d'APT
- Où sont les APT?
- Menaces pour la sécurité au 21e siècle
Une attaque sur un réseau informatique n'est plus d'actualité, mais il existe un type d'attaque différent qui fait passer les problèmes de cybersécurité au niveau supérieur. Ces attaques sont appelées menaces persistantes avancées (APT). Découvrez en quoi ils diffèrent des menaces quotidiennes et pourquoi ils sont capables d'infliger autant de dégâts dans notre examen de certains cas très médiatisés qui se sont produits au cours des dernières années. (Pour une lecture de fond, consultez les 5 menaces les plus effrayantes de la technologie.)
Qu'est-ce qu'un APT?
Le terme menace persistante avancée (APT) peut désigner un attaquant disposant de moyens, d'une organisation et d'une motivation substantiels pour mener une cyberattaque soutenue contre une cible.
Un APT, sans surprise, est avancé, persistant et menaçant. Il est avancé car il utilise des méthodes furtives et d'attaques multiples pour compromettre une cible, souvent une ressource d'entreprise ou gouvernementale de grande valeur. Ce type d'attaque est également difficile à détecter, à supprimer et à attribuer à un attaquant particulier. Pire encore, une fois qu'une cible est violée, des portes dérobées sont souvent créées pour fournir à l'attaquant un accès continu au système compromis.
Les APT sont considérés comme persistants dans le sens où l'attaquant peut passer des mois à collecter des informations sur la cible et à utiliser ces informations pour lancer plusieurs attaques sur une longue période. Elle est menaçante car les auteurs recherchent souvent des informations très sensibles, telles que l'aménagement de centrales nucléaires ou des codes pour pénétrer dans des entreprises de défense américaines.
Une attaque APT a généralement trois objectifs principaux:
- Vol d'informations sensibles sur la cible
- Surveillance de la cible
- Sabotage de la cible
Les auteurs des APT utilisent souvent des connexions de confiance pour accéder aux réseaux et aux systèmes. Ces connexions peuvent être trouvées, par exemple, par un initié sympathique ou un employé involontaire qui est en proie à une attaque de phishing.
En quoi les APT sont-ils différents?
Les APT sont différents des autres cyberattaques à plusieurs égards. Premièrement, les APT utilisent souvent des outils et des techniques d'intrusion personnalisés - tels que des exploits de vulnérabilité, des virus, des vers et des rootkits - conçus spécifiquement pour pénétrer l'organisation cible. De plus, les APT lancent souvent plusieurs attaques simultanément pour violer leurs cibles et garantir un accès continu aux systèmes ciblés, y compris parfois un leurre pour faire croire à la cible que l'attaque a été repoussée avec succès.
Deuxièmement, les attaques APT se produisent sur de longues périodes pendant lesquelles les attaquants se déplacent lentement et silencieusement pour éviter d'être détectés. Contrairement aux tactiques rapides de nombreuses attaques lancées par des cybercriminels typiques, l'objectif de l'APT est de rester non détecté en se déplaçant "bas et lentement" avec une surveillance et une interaction continues jusqu'à ce que les attaquants atteignent leurs objectifs définis.
Troisièmement, les APT sont conçus pour satisfaire aux exigences de l'espionnage et / ou du sabotage, impliquant généralement des acteurs étatiques secrets. L'objectif d'un APT comprend la collecte de renseignements militaires, politiques ou économiques, la menace de données confidentielles ou de secrets commerciaux, la perturbation des opérations, voire la destruction d'équipements.
Quatrièmement, les APT visent une gamme limitée de cibles de grande valeur. Des attaques APT ont été lancées contre des agences et des installations gouvernementales, des sous-traitants de la défense et des fabricants de produits de haute technologie. Les organisations et les entreprises qui entretiennent et exploitent des infrastructures nationales sont également des cibles probables.
Quelques exemples d'APT
L'opération Aurora a été l'un des premiers APT largement diffusés; la série d'attaques contre des entreprises américaines était sophistiquée, ciblée, furtive et conçue pour manipuler des cibles.Les attaques, menées à la mi-2009, ont exploité une vulnérabilité du navigateur Internet Explorer, permettant aux attaquants d'accéder aux systèmes informatiques et de télécharger des logiciels malveillants sur ces systèmes. Les systèmes informatiques ont été connectés à un serveur distant et la propriété intellectuelle a été volée aux sociétés, dont Google, Northrop Grumman et Dow Chemical. (Lisez à propos d'autres attaques nuisibles dans les logiciels malveillants: vers, chevaux de Troie et bots, Oh mon Dieu!)
Stuxnet a été le premier APT à utiliser une cyberattaque pour perturber l'infrastructure physique. On pense qu'il a été développé par les États-Unis et Israël, le ver Stuxnet visait les systèmes de contrôle industriels d'une centrale nucléaire iranienne.
Bien que Stuxnet semble avoir été développé pour attaquer les installations nucléaires iraniennes, il s'est propagé bien au-delà de sa cible et pourrait également être utilisé contre des installations industrielles dans les pays occidentaux, y compris les États-Unis.
L'un des exemples les plus marquants d'un APT a été la violation de RSA, une société de sécurité informatique et réseau. En mars 2011, RSA a déclenché une fuite lorsqu'elle a été pénétrée par une attaque de spear phishing qui a accroché un de ses employés et a provoqué une énorme capture pour les cyberattaquants.
Dans une lettre ouverte à RSA publiée par des clients sur le site Web de l'entreprise en mars 2011, le président exécutif Art Coviello a déclaré qu'une attaque APT sophistiquée avait extrait des informations précieuses liées à son produit d'authentification à deux facteurs SecurID utilisé par les travailleurs distants pour accéder en toute sécurité au réseau de leur entreprise. .
"Bien qu'à l'heure actuelle, nous soyons convaincus que les informations extraites ne permettent pas une attaque directe réussie contre l'un de nos clients RSA SecurID, ces informations pourraient potentiellement être utilisées pour réduire l'efficacité d'une implémentation actuelle de l'authentification à deux facteurs dans le cadre d'une plus large attaque ", a déclaré Coviello.
Il s'est avéré que Coviello avait tort à ce sujet, car de nombreux clients de jetons RSA SecurID, y compris le géant américain de la défense Lockheed Martin, ont signalé des attaques résultant de la violation de RSA. Afin de limiter les dommages, RSA a accepté de remplacer les jetons pour ses principaux clients.
Où sont les APT?
Une chose est sûre: les APT vont continuer. Tant qu'il y aura des informations sensibles à voler, les groupes organisés s'en occuperont. Et tant que les nations existeront, il y aura espionnage et sabotage - physique ou cyber.
Il existe déjà un suivi du ver Stuxnet, surnommé Duqu, qui a été découvert à l'automne 2011. Comme un agent dormant, Duqu s'est rapidement intégré dans les principaux systèmes industriels et recueille des renseignements et attend son heure. Soyez assuré qu'il étudie les documents de conception pour trouver des points faibles pour de futures attaques.
Menaces pour la sécurité au 21e siècle
Certes, Stuxnet, Duqu et leurs héritiers vont de plus en plus tourmenter les gouvernements, les opérateurs d'infrastructures critiques et les professionnels de la sécurité de l'information. Il est temps de prendre ces menaces aussi au sérieux que les problèmes banals de sécurité de l'information de la vie quotidienne au 21 e siècle.
