Que sont les attaques APT ?

11 Juin 2013

Le sigle APT désigne ce qu’on appelle les « menaces persistantes avancées » (en anglais, Advanced Persistent Threat). Celles-ci ont été rendues célèbres par  un dossier du New York Times qui détaillait une campagne d’attaques d’un mois dans laquelle un groupe militaire chinois, connu désormais sous le nom de « APT1 », a pénétré les réseaux du journal grâce à une série d’e-mails d’hameçonnage et à une importante quantité de malwares conçus spécialement pour cette attaque.

apt_title_fr

Il existe deux manières de voir les choses : les APT en tant qu’attaques et les APT en tant que personnes. D’un côté une APT désigne une cyber-attaque extrêmement précise. D’un autre, elle désigne un groupe, souvent sponsorisé par un État ou par un autre groupe, qui est responsable de ces attaques ciblées.

Les vraies APT peuvent paraître illogiques. Quand on pense à la plupart des cybercriminels et autres créateurs de virus, on a tendance à croire que leur but est d’infecter le plus d’ordinateurs possible grâce au vol d’identité, à la création de botnets, ou d’autres logiciels malveillants. Plus leurs filets sont grands, plus ils auront l’opportunité de voler de l’argent, des ressources informatiques, ou autres. À l’inverse, les responsables des attaques APT cherchent à infecter les ordinateurs de personnes en particulier.

Le but d’une attaque APT est de compromettre un ordinateur sur lequel on peut trouver des informations de valeur. Il serait plus facile pour un pirate de réussir à installer un enregistreur de frappes ou d’installer une porte dérobée sur l’ordinateur du directeur général ou du directeur de l’information d’une grande entreprise, mais il faudrait se lever de bonne heure pour pouvoir piéger ces derniers. Ils sont malins. Ils ont des équipes de sécurité et des outils qui les protègent. En d’autres termes, il est sûrement bien trop compliqué de pirater ces individus.

Au lieu de cibler le PDG, les groupes APT choisissent souvent de cibler des employés moins importants, tels qu’un copywriter, ou un designer graphique, qui n’a peut être pas d’informations de valeur sur son ordinateur mais qui est sur le même réseaux que les ordinateurs qui contiennent des données importantes et qui pourraient donc les aider à accéder aux ordinateurs qui possèdent ces informations de valeur. Pour récapituler : il suffit de compromettre l’ordinateur du copywriter pour ensuite utiliser son adresse e-mail afin de mener une attaque d’hameçonnage contre le PDG.

Cependant, cette tactique est parfois également trop compliquée car les compagnies investissent de plus en plus d’argent dans des logiciels de sécurité pour les entreprises ainsi que dans l’éducation de leurs employés. Les pirates spécialisés en APT ont donc choisi de s’attaquer à des cibles plus obscures dans le but de créer une série d’infections complexes qui pourraient éventuellement leur permettre d’obtenir des données de valeur. Par exemple, votre grand oncle est peut-être haut placé chez Boeing ou vous travaillez peut-être comme ingénieur dans une compagnie importante qui développe des composants utilisés par Boeing. Les groupes APT pourraient alors essayer de vous utiliser comme point de départ pour ensuite réussir à compromettre Boeing.

Le fait est que vous n’avez pas besoin d’être PDG pour être la cible d’une attaque APT. Presque tout le monde disposant d’une connexion Internet peut être une cible potentielle.

Juste la semaine dernière, nos amis de Securelist ont découvert une campagne d’espionnage APT  appelée « NetTraveler » qui pourraient avoir existé depuis près de dix ans dans le but de cibler des diplomates, des sous-traitants militaires, et des agences gouvernementales dans plus de 40 pays. Cette attaque, comme de nombreuses attaques APT a commencé avec des attaques d’hameçonnage qui exploitaient des vulnérabilités de Microsoft connues. Les pirates ont fini par déployer un outil capable d’extraire des systèmes d’information, de mettre en place des malwares enregistreurs de frappes, de voler des documents Office tels que des fichiers Word, Excel et PowerPoint, et même de modifier certaines configurations afin de voler des designs Corel Draw, des fichiers AutoCAD et d’autres types de fichiers utilisés dans le domaine militaire. Cette attaque pourrait être considérée comme une menace  avancée persistante car il semble qu’elle aurait seulement ciblé des individus et des organisations dont les ordinateurs pourraient contenir des informations de valeur. Comme je l’ai mentionné précédemment, les APT peuvent également désigner les pirates. Dans ce cas, le groupe APT est un groupe prolifique. Peut-être pas aussi prolifique que le célèbre Comment Crew (alias APT1), mais les chercheurs de Kaspersky Lab affirment que ceux qui ont lancé NetTraveler sont probablement également responsables des attaques Titan Rain et GhostNet.