Qu'est-ce qu'une menace persistante de forme avancée (APT) ?

Une menace persistante de niveau avancé est une attaque ciblée au cours de laquelle des individus malintentionnés pénètrent dans le réseau et restent cachés longtemps.

Les attaquants utilisent une gamme d'outils techniques modernes avec la prise de décision humaine, et beaucoup sont doués pour étudier un système pour y accéder discrètement avant de collecter des données précieuses.

Ce que vous devez savoir :

• Un APT est une cyberattaque ciblée à long terme qui utilise des opérateurs humains et furtifs. Ces groupes s'efforcent de rester à l'intérieur d'un réseau plutôt que de causer des dommages rapides.
• Les attaquants s'appuient sur des tactiques telles que le phishing, les exploits zero-day, l'ingénierie sociale et les méthodes assistées par l'IA pour obtenir et conserver l'accès.
• Les APT se concentrent sur les organisations, mais les individus peuvent être affectés par la divulgation de leurs données ou l'endommagement d'appareils.
• Les violations de grande envergure incluent souvent des informations personnelles que les attaquants réutilisent ou vendent.
• Les attaques APT se déroulent par étapes et de nombreux groupes modernes utilisent désormais l'IA pour rétablir l'accès si les défenseurs mettent fin à une partie de l'attaque.
• Les utilisateurs peuvent réduire les risques en mettant à jour leurs appareils et en utilisant de bonnes habitudes de sécurité informatique et des outils de sécurité basés sur le comportement.
• Des affaires APT récentes mettent en évidence des attaques contre la chaîne d'approvisionnement et une ingénierie sociale plus réaliste.

Qu'est-ce que l'APT en matière de cybersécurité ?

Une menace persistante avancée (APT) est une attaque ciblée par laquelle un individu malveillant parvient à accéder à un système et y reste pendant une longue période.

Le mot avancé fait référence aux outils et aux techniques utilisés pour accéder par effraction. Les exploits zero-day , les programmes malveillants personnalisés et les méthodes assistées par l'IA sont des exemples de méthodes utilisées par les escrocs. Persistant signifie que l'agresseur ne part pas une fois entré. Ils ne cessent de surveiller le système et de rétablir l'accès si les défenseurs les ont bloqués. Il ajuste et fait évoluer son approche selon les besoins.

Les APT modernes ne sont pas entièrement automatisés. Des opérateurs humains guident l'attaque et réagissent aux défenses pour donner une approche plus ciblée. L'IA joue un rôle croissant en permettant aux attaquants d'agir plus rapidement et de maintenir leur présence avec moins d'effort. Cela peut également les aider à masquer leur identité et à éviter d'être détectés.

Les descriptions classiques des APT dans Cybersécurité énumèrent souvent cinq étapes, mais ces étapes continuent d'évoluer. Les attaques plus récentes ajoutent une persistance basée sur l'IA via l'automatisation, et des méthodes souples de commande et de contrôle peuvent également permettre aux attaquants de rester sur place même si une partie de leurs opérations est détectée.

Pourquoi le facteur humain est-il important

La plupart des attaques APT commencent par une escroquerie. L'ingénierie sociale offre une ouverture aux individus malintentionnés et elle reste l'un des moyens les plus fiables d'y accéder.

Même les défenses techniques les plus solides peuvent être brisées si un attaquant parvient à convaincre une personne seule de cliquer sur un lien ou de révéler une petite information.

Les tactiques modernes deviennent de plus en plus avancées et ne lancent pas un filet aussi large. Les messages de phishing utilisent désormais les données réelles de l'entreprise ou des fils de discussion volés. L'écriture générée par l'IA peut leur donner un aspect authentique et professionnel.

L'appâtage a aussi évolué. Les attaquants peuvent utiliser de fausses pages de connexion au Cloud et des notifications urgentes qui imitent les systèmes internes. Ces techniques empêchent les utilisateurs de détecter un piège, en particulier lorsque les messages semblent provenir d'un collègue ou d'un partenaire de confiance de manière convaincante.

Les décisions humaines façonnent les premiers stades de nombreuses intrusions dans l'APT. Le moment où vous vous distrayez ou un message d'arnaque bien conçu peut fournir à l'attaquant l'accès nécessaire pour s'installer dans le réseau.

Comment fonctionne une attaque APT ?

Une attaque par APT se déroule en une série d'étapes qui permettent aux individus malintentionnés d'entrer dans le réseau et d'agir sans attirer l'attention. La plupart des attaques suivent un schéma bien connu :

Étape 1 : Accéder

l'accès est la première étape. Les cybercriminels pénètrent généralement dans le réseau par le biais d'un fichier infecté, d'un courrier indésirable ou d'une vulnérabilité d'application pour insérer un programme malveillant dans le réseau cible. En raison des techniques modernes, cette étape est souvent automatisée. Les attaquants automatisent, testent plusieurs points d'entrée à la fois et adaptent leur approche lorsque les outils de sécurité bloquent une tentative.

Étape 2 : Établir un point d'ancrage

Les cybercriminels implantent des programmes malveillants qui permettent de créer un réseau de backdoors et de tunnels utilisé pour se déplacer dans des systèmes sans être détectés. Les programmes malveillants emploient souvent des techniques telles que la réécriture du code pour aider les pirates à dissimuler leurs traces.

Les socles modernes sont conçus pour survivre aux tentatives de suppression et peuvent se réinstaller automatiquement. Certains adoptent de nouveaux chemins d'accès à la suite de l'intervention des défenseurs.

Étape 3 : Approfondir l'accès

Une fois infiltrés, les pirates utilisent des techniques telles que le craquage de mot de passe pour accéder aux droits d'administrateur afin de pouvoir contrôler davantage le système et obtenir des niveaux d'accès supérieurs. Ce processus peut également désormais être guidé par des outils et des scripts automatisés qui mappent les autorisations et s'adaptent rapidement en cas de restriction ou de surveillance de l'accès. Il est ainsi plus difficile d'éliminer les attaquants.

Étape 4 : Se déplacer latéralement

Au plus profond du système et grâce aux droits d'administrateur, les pirates peuvent se déplacer à volonté. Ils peuvent également tenter d'accéder à d'autres serveurs et à d'autres parties du réseau sécurisés. Il s'agit d'un autre domaine que de plus en plus d'escrocs ont automatisé pour essayer de mieux s'implanter et de mieux comprendre le système.

Étape 5: Regarder, apprendre et rester

Une fois à l'intérieur du système, les individus malintentionnés apprennent à comprendre comment celui-ci fonctionne et quels sont ses points faibles. Cela leur permet de collecter discrètement les informations qu'ils recherchent. En même temps, ils s'adaptent aux mesures de sécurité et utilisent des techniques avancées de dissimulation pour rester à l'intérieur de l'organisme le plus longtemps possible.

Comment les individus malintentionnés peuvent-ils s'introduire et prendre le contrôle ?

Les groupes APT commencent souvent par trouver un point faible et en profitent petit à petit. Cela peut être une faille dans le système de l'entreprise, sur un appareil personnel ou dans un service en ligne que les gens utilisent tous les jours.

Leurs méthodes sont de plus en plus convaincantes. Un exploit zero-day exploite une faille logicielle qui n'a pas encore été corrigée et peut affecter à la fois les logiciels d'entreprise et les applications grand public. Une attaque contre un trou d'eau consiste à infecter des sites Internet que certains groupes d'utilisateurs visitent régulièrement. Les appâts ont également évolué et incluent désormais souvent de fausses pages de connexion au Cloud ou des invites système urgentes qui semblent réelles et sont conçues pour tromper les employés comme les utilisateurs privés.

De nombreuses attaques APT ne commencent pas par la cible principale elle-même. Au lieu de cela, les attaquants s'introduisent souvent d'abord dans des fournisseurs de services plus petits ou dans des outils logiciels largement utilisés. De là, ils peuvent atteindre les organisations et les utilisateurs individuels qui font confiance à ces services, en particulier lorsque les comptes ou les appareils professionnels et personnels sont connectés.

Les attaquants prennent généralement pied en installant des portes dérobées ou des shells distants. Ces outils les aident à se reconnecter au système quand ils le souhaitent et bloquent les tentatives de suppression de l'accès. Les escrocs s'efforcent alors d'étendre l'accès en exploitant les failles internes du système. Ils élèvent également leurs privilèges pour prendre le contrôle sur plus de systèmes.

Comment les attaquants déplacent, masquent et conservent l'accès à long terme

Une fois que les attaquants disposent d'un accès renforcé, ils commencent à explorer les systèmes, comptes et outils de communication connectés tout en restant cachés. Il peut s'agir de serveurs d'entreprise, de services Cloud ou même de réseaux domestique et personnels connectés via des appareils de travail ou des comptes partagés.

Leur but est de comprendre comment fonctionne l'environnement et comment ils peuvent passer inaperçus tout en causant des dommages. Cela leur donne plus de temps pour accéder aux informations personnelles, aux comptes utilisateurs connectés et aux autres données sensibles liées à la fois aux organisations et aux individus.

Les attaquants s'appuient sur des techniques qui laissent peu de traces. Ils peuvent altérer les journaux ou parfois utiliser un programme malveillant sans fichier sophistiqué qui s'exécute en mémoire. Certains acheminent leurs communications via des canaux chiffrés conçus pour se fondre dans le trafic normal. Nous avons également vu l'utilisation de la persistance assistée par l'IA qui peut modifier le comportement lorsque les outils de sécurité réagissent et reconstruire l'accès s'il est supprimé.

Les meilleures défenses utilisent également l'IA et l'apprentissage automatique pour riposter. Ces outils recherchent des comportements inhabituels au sein de vos comptes en ligne et de vos réseaux et peuvent détecter des schémas de connexion ou une activité des données qui ne correspondent pas à votre utilisation normale. Cela est important, car de nombreuses attaques avancées ne reposent pas sur un logiciel malveillant évident. Ils se mélangent et attendent.

Du point de vue de la sécurité des personnes, cela signifie que la protection moderne se concentre sur la réduction précoce des risques plutôt que sur la simple réaction après que quelque chose ne va pas. Les outils de sécurité peuvent détecter de petits signes avant-coureurs et limiter l'accès avant que les attaquants n'aient le temps de se déplacer ou de rester connectés.

Les défenses de l'APT continuent d'évoluer

Certaines défenses sont encore en cours de développement. Le chiffrement résistant quantique est une approche émergente conçue pour protéger les données sensibles contre de futures méthodes d'attaque qui pourraient enfreindre les normes de chiffrement actuelles. Même si la plupart des consommateurs n'ont pas besoin de configurer cette fonctionnalité, elle est de plus en plus utilisée dans les coulisses par les prestataires de services pour renforcer la protection des données à long terme.

Des incidents récents montrent à quelle vitesse les méthodes APT évoluent et que la définition avancée de la menace persistante continue d'évoluer avec la technologie. Les attaques plus récentes ont utilisé des mises à jour logicielles empoisonnées et même des faux sons audio à des fins d'ingénierie sociale. Certains ont été préoccupés par les nouvelles techniques de «vivre de la terre» qui s'appuient sur des outils légitimes à l'intérieur du réseau. Chaque cas montre à quel point ces groupes peuvent être flexibles et patients.

Même lorsqu'une opération APT semble être fermée, la menace peut ne pas avoir disparu. Les attaquants laissent souvent des portes dérobées et des implants secondaires cachés qui leur permettent de revenir plus tard. La compréhension du cycle de vie complet d'une APT aide les organisations et les individus à comprendre de quel type de menace il s'agit.

Qui sont les attaquants des menaces persistantes avancées ?

Les attaques APT sont généralement menées par de grands groupes disposant de ressources suffisantes et non par des pirates informatiques.

Nombre d'entre elles sont liées à des programmes des États-nations, dans le cadre desquels les gouvernements financent des cyberopérations à long terme dans le but de recueillir des informations ou d'acquérir un avantage stratégique.

Il existe également des acteurs hybrides qui brouillent la frontière entre groupes soutenus par le gouvernement et réseaux criminels. Il existe également des groupes organisés de cybercriminels qui peuvent utiliser des tactiques de type APT (parmi tant d'autres) pour voler des données ou extorquer de l'argent.

Ces attaquants se concentrent souvent sur les secteurs qui prennent en charge des services critiques ou stockent de gros volumes de données sensibles.

Pourquoi lancent-ils des campagnes APT

Les groupes APT ne sont pas tous pareils : ils mènent des campagnes pour des raisons différentes.

Certains se concentrent sur l'espionnage et la surveillance à long terme dans le cadre d'un gain politique. D'autres visent un gain financier à court terme. Ce qu'ils partagent, c'est la patience et la planification. Ces attaques sont conçues pour offrir de la valeur sur la durée, et non dans un but immédiat.

Les attaques d'APT affectent-elles les gens normaux ?

L'impact de l'APT atteint souvent les utilisateurs quotidiens dans le cadre de brèches beaucoup plus importantes. Ils peuvent également s'attaquer aux personnes qui ont des liens avec des organisations.

Comment des individus deviennent des victimes indirectes

Lorsque des individus malintentionnés s'introduisent dans une entreprise ou un service public, ils accèdent souvent à de nombreux dossiers personnels. Même si vous n'étiez pas la cible visée, vos informations peuvent quand même être prises dans la brèche. c'est important

Comment les appareils personnels peuvent-ils activer des attaques

Les appareils personnels et professionnels sont souvent utilisés comme points d'entrée. Un ordinateur portable ou un réseau domestique compromis peut permettre à un attaquant de pénétrer dans un environnement plus vaste lorsque les appareils se connectent aux systèmes de l'entreprise. Les foyers étant de plus en plus nombreux aux appareils connectés, les faiblesses de la sécurité domestique peuvent également exposer les systèmes pour la maison connectée, les réseaux personnels et les comptes associés à des attaques plus larges.

Quels sont les signes que les utilisateurs ordinaires peuvent remarquer

L'activité APT est généralement subtile par conception. Mais certains signes peuvent apparaître. Il peut s'agir d'alertes de connexion inattendues, d'une activité inhabituelle sur le compte et d'appareils plus lents que d'habitude. Il faut aussi être attentif aux tentatives répétées de phishing qui semblent très personnalisées.

Ignorer les signes avant-coureurs peut donner aux personnes malveillantes plus de temps pour rester cachés et même augmenter le risque d'usurpation du compte à long terme ou d'une exposition plus large des données.

En quoi APT est-il différent d'un logiciel malveillant normal ?

Un APT n'est pas une attaque rapide ou au fusil à dispersion. Il est ciblé et conçu pour être furtif et rester caché pendant de longues périodes.

Les programmes malveillants courants se propagent généralement largement et causent des dommages immédiats, mais les groupes APT choisissent des victimes spécifiques et travaillent d'une manière détaillée et précise pour éviter d'être détectés. Ils sont en fait à l' opposé de certaines approches de logiciels malveillants.

Les attaques de ransomware peuvent être une forme d'APT et visent à verrouiller des fichiers et à exiger paiement en quelques heures. Les acteurs d'APT préfèrent un accès silencieux qui leur permet d'étudier les systèmes et de recueillir des données précieuses sur des semaines ou des mois. Ils profitent de la prise de décision humaine et des techniques qui changent selon la réaction des défenseurs. Ce niveau de contrôle les distingue des programmes malveillants de base qui suivent un script fixe.

Procédure de détection d'une menace avancée persistante

La détection avancée des menaces persistantes est rendue plus difficile par le fait que l'activité est conçue pour se fondre dans un comportement normal. Cela ne signifie pas qu'il fonctionne toujours parfaitement ou qu'il est indétectable, et de nombreux signes peuvent toujours vous avertir. Soyez attentif aux comportements étranges :

• Accès aux fichiers à des moments étranges
• Transferts de données inattendus ou inexpliqués
• Connexions de comptes depuis un emplacement inconnu
• Performances de l'appareil plus lentes
• Utilisation élevée du réseau
• La modification de paramètres sans votre intervention peut également indiquer des problèmes

Vous devez également rechercher des applications inconnues ou des tâches en arrière-plan vous n'avez pas installé. La surveillance des fichiers importants et des configurations peut vous aider à remarquer les petits changements à l'avance, avant que les attaquants ne se propagent.

Les antivirus et les pare-feu traditionnels reposaient en grande partie sur les signatures de programmes malveillants connus. Nos outils de sécurité ont évolué vers une surveillance basée sur le comportement et basée sur l'IA, qui recherche des actions inhabituelles au lieu de rechercher uniquement les menaces familières.

Les experts en détection des menaces et en analyse et suppression de virus de Kaspersky peuvent aider à protéger les consommateurs et à éliminer toute menace qui a franchi les défenses.

Alertes de sécurité et surveillance des comptes

Activez les alertes de connexion à vos comptes les plus importants afin d'être averti si quelqu'un tente d'accéder à votre compte. Dans les journaux d'activité de tous vos comptes et outils en ligne, vous êtes le seul à vous connecter. Ces alertes peuvent vous avertir tôt si quelqu'un tente d'utiliser vos identifiants volés.

Des outils de détection utiles

Utilisez des logiciels de sécurité sophistiqués qui surveillent les comportements suspects, pas seulement les signatures de programmes malveillants connus. Les outils comportementaux et basés sur l'IA peuvent détecter les anomalies plus tôt et empêcher les attaquants de s'infiltrer dans votre système.

Activez toujours les mises à jour automatiques pour que votre appareil bénéficie des dernières protections contre les nouvelles techniques APT. Les outils de Kaspersky peuvent également vous protéger contre les faux sites et les faux emails créés par les cybercriminels dans le but de voler votre identité et votre argent.

Comment les individus peuvent-ils se protéger des tactiques d'APT ?

Les mises à jour logicielles régulières, l'authentification multifacteur, les mots de passe forts et la détection permanente du phishing suppriment la plupart des ouvertures sur lesquelles ces groupes s'appuient.

Même une seule tentative bloquée peut empêcher un attaquant d'obtenir l'accès dont il a besoin pour s'enfoncer dans le réseau. Si ces attaques ciblent généralement les grandes organisations, les habitudes personnelles comptent toujours. Des défenses solides sont nécessaires à tous les niveaux. Les appareils domestiques, les comptes de messagerie personnels et les mots de passe réutilisés sont souvent le maillon faible que les attaquants exploitent pour atteindre des systèmes plus gros.

L'utilisation d'un logiciel de sécurité moderne réduit les risques. Les outils d'aujourd'hui se concentrent moins sur la détection des programmes malveillants connus que sur la limitation des comportements suspects et la prévention des modifications non autorisées. Cela permet de réduire l'exposition au fil du temps, au lieu de réagir uniquement après que les dommages ont été causés.

De nouvelles approches de protection voient également le jour grâce aux progrès technologiques. Certaines plateformes utilisent désormais le traçage basé sur la blockchain pour créer des enregistrements infalsifiables de l'activité système et des modifications apportées aux fichiers. En consignant les événements sous une forme qui ne peut être modifiée discrètement, ces systèmes empêchent les individus malintentionnés de masquer les modifications ou de réécrire l'historique après y avoir accédé. Ces techniques permettent à un attaquant de modifier des fichiers ou de masquer son activité plus difficilement.

Que faire en cas de suspicion de compromission ?

Si vous pensez que votre appareil ou vos comptes ont été compromis, le plus important est d'agir rapidement.

Déconnectez-vous d'abord du réseau. Modifiez vos mots de passe depuis un appareil sécurisé et vérifiez si vous avez des noms d'utilisateur ou des paramètres inconnus dans l'activité de votre compte. Exécutez une analyse de sécurité complète à l'aide d'un logiciel capable de détecter les comportements inhabituels et les menaces actuelles réelles .

Si les problèmes persistent ou si des comptes sensibles ont été consultés, il est important de comprendre que des personnes malveillantes avancées peuvent avoir laissé des portes dérobées cachées. Celles-ci leur permettent d'y accéder de nouveau une fois que certains problèmes semblent avoir été corrigés.

Dans les cas où des signes répétés d'intrusion subsistent, un effacement complet de l'appareil et une réinstallation peuvent être l'option la plus sûre. Cela peut supprimer les outils cachés qui sont difficiles à détecter et peuvent continuer à menacer votre sécurité.

De bonnes habitudes en matière de cybersécurité restent importantes. Activez l'authentification multifacteur dans la mesure du possible pour rester protégé. Vérifiez l'activité du compte à la recherche de connexions ou d'options de récupération que vous ne reconnaissez pas.

Ce que les exemples APT récents montrent comment fonctionnent ces attaques

Il ne s'agit pas d'une menace abstraite. Des incidents APT récents donnent une image claire de la façon dont de vrais attaquants se déplacent discrètement dans les réseaux.

Incidents majeurs depuis 2020

Solar Winds :

l' attaque contre SolarWinds Orion en 2020 a fait le plus grand bruit. Il s'est avéré que les attaquants « avaient été en mesure d'ajouter une modification malveillante aux produits SolarWinds Orion qui leur permettait d'envoyer des commandes de niveau administrateur à toute installation affectée.

Lorsque les clients ont installé cette mise à jour, ils ont, sans le savoir, donné aux personnes malveillantes l'accès à distance à leurs réseaux internes. Les attaquants ont choisi les victimes à étudier plus en détail et ont utilisé des outils supplémentaires pour étendre l'accès et maintenir la persistance.

MOVEit :

Plus récemment encore, la violation des données MOVEit en 2023 a mis en évidence le risque des outils de transfert de fichiers administrés. Un groupe de ransomware a exploité une vulnérabilité zero-day du logiciel MOVEit pour installer des shells Internet sur les serveurs exposés, puis a volé en douce des données à des milliers d'organisations avant que le problème ne soit connu du public.

Ce que ces incidents apprennent aux consommateurs

Ils montrent que les agresseurs ne s'attaquent pas toujours directement aux individus. Ils compromettent souvent les logiciels ou les fournisseurs de services de confiance, puis utilisent cette position pour contacter plusieurs organisations à la fois.

De même, ils montrent également comment fonctionne la persistance à plusieurs étapes dans la pratique. Ces exemples montrent que les attaquants ont installé des portes dérobées ou utilisé des shells Web cachés. Ils se déplaçaient d'un système à l'autre à la recherche d'informations importantes.

La leçon pour les utilisateurs quotidiens est simple : vous dépendez de plus d'ordinateurs que vous n'en possédez . De solides habitudes de sécurité personnelles et une action rapide lorsque vous recevez des notifications d'incident contribuent à réduire les risques pour vos données au fil du temps.

Articles connexes :

• Que sont les exploits Zero-day ?
• Qu'est-ce que la sécurité des terminaux ?
• Qu’est-ce qu’un crimeware ?
• Comment se protéger du piratage de l'IA ?

Produits connexes :

• Solutions de Kaspersky Lab pour grandes entreprises
• Kaspersky Premium
• Téléchargez une version d'essai gratuite de 30 jours de notre plan premium

FAQ

Combien de temps l'attaquant APT reste-t-il habituellement dans le système ?

Les attaquants APT peuvent rester à l'intérieur du système pendant des semaines, voire des années. Leur objectif est de rester inaperçu le plus longtemps possible afin de pouvoir collecter des données et observer le fonctionnement de l'organisation.

Pourquoi les attaques APT sont-elles si difficiles à détecter ?

De telles attaques sont difficiles à détecter car elles utilisent des tactiques furtives telles que des outils personnalisés et une activité normale du système. Ils intègrent leurs attaques dans le trafic réseau quotidien.

Les groupes APT sont-ils liés à des pays particuliers ?

De nombreux groupes APT seraient liés ou soutenus par un État-nation en particulier, tandis que d'autres sont des groupes criminels qui peuvent travailler au-delà des frontières. Les rapports publics utilisent souvent des noms de code au lieu de nommer directement les pays.

Comment les auteurs de l'attaque APT choisissent-ils leurs victimes ?

Ils choisissent généralement des cibles qui détiennent des données précieuses ou ont accès à des systèmes importants. Les agences gouvernementales et les grandes entreprises ciblent plus souvent que des individus non affiliés. Parfois, les petites organisations sont ciblées en premier parce qu'elles permettent d'accéder à un réseau plus vaste.