Les menaces persistantes avancées (APT) ne sont pas des cyberattaques classiques qui tentent de causer des dommages immédiats. Au contraire, les APT impliquent des efforts hautement coordonnés et à long terme où des acteurs malveillants s’infiltrent dans un système et y restent pendant de longues périodes.
L’objectif premier des APT est la collecte de données, souvent à des fins financières ou géopolitiques. Les acteurs de la menace peuvent être motivés par divers objectifs, tels que le vol de propriété intellectuelle, l’espionnage ou l’extorsion financière.
Découvrez Volt Typhoon, le groupe APT qui échappe à la détection depuis des années.
Volt Typhoon, également connu sous le nom de Insidious Taurus ou Bronze Silhouette, est un groupe de menaces persistantes avancées (APT) basé en Chine. Ce groupe opère sous le radar, menant des opérations de cyberespionnage sophistiquées. Il est doué pour pénétrer les réseaux informatiques à l’aide de techniques avancées, ciblant en particulier les organisations disposant d’infrastructures critiques ou d’informations de grande valeur.
Les opérations de Volt Typhoon s’étendent sur plusieurs années, ce qui signifie qu’elles peuvent recueillir discrètement des renseignements et des données sensibles sans être détectées.
Volt Typhoon obtient souvent un accès initial par le biais de vulnérabilités dans les dispositifs de périphérie orientés vers le public, tels que les routeurs et les pare-feux. Ces points d’entrée sont souvent négligés par les entreprises qui ne surveillent pas entièrement leurs périmètres de sécurité, ce qui en fait des cibles faciles. Une fois à l’intérieur, Volt Typhoon récupère les informations d’identification des systèmes compromis pour se déplacer latéralement sur le réseau, en escaladant les privilèges pour obtenir un accès plus approfondi aux informations sensibles.
Pour rester invisible, Volt Typhoon utilise une tactique appelée LOLBins (living off the land binaries), qui lui permet d’utiliser des binaires et des scripts locaux déjà présents dans le système d’exploitation.
Les binaires étant des processus légitimes, ils déclenchent rarement des alarmes dans les systèmes de sécurité. Grâce à l’utilisation d’outils natifs de l’environnement qu’ils infiltrent, les Volt Typhoon peuvent opérer sans être détectés pendant de longues périodes. Dans certains cas, ils sont restés cachés pendant des années, collectant des données et préparant le terrain pour de futures opérations.
Les cibles typiques de Volt Typhoon sont les suivantes :
- Les grandes entreprises technologiques : En raison de la propriété intellectuelle et de l’innovation que ces entreprises gèrent.
- Les institutions financières : Les banques et les sociétés d’investissement sont des cibles lucratives en raison des grandes quantités de données financières sensibles qu’elles stockent.
- Les agences gouvernementales : Ces entités détiennent souvent des informations classifiées ou sensibles qui peuvent être utilisées à des fins d’espionnage ou pour compromettre la sécurité nationale.
Dans ces secteurs, la valeur des données en fait des cibles privilégiées, les attaquants adaptant fréquemment leurs techniques pour maintenir l’accès sans être détectés.
Stratégies éprouvées pour protéger votre organisation contre les APT
La base de la défense contre les APT commence par une main-d’œuvre bien formée. Les professionnels de l’informatique doivent se tenir au courant des certifications de sécurité afin de maîtriser les dernières stratégies de défense.
Dans le même temps, le personnel non technique doit comprendre les principes de base de la cybersécurité, notamment en ce qui concerne la prévention des points d’entrée tels que le phishing et les attaques d’ingénierie sociale. Étant donné que le phishing est une méthode d’entrée courante pour les APT, même les employés non techniques jouent un rôle clé dans la protection d’une organisation.
Il est essentiel que les professionnels de la sécurité suivent une formation pratique par le biais de laboratoires et de simulations. L’expérience les aide à affronter des attaques APT simulées dans des environnements contrôlés, ce qui leur permet d’améliorer leur capacité à identifier et à atténuer les menaces dans des conditions réelles.
Les environnements simulés leur permettent de répondre aux attaques sans subir la pression des conséquences en temps réel, ce qui leur permet d’acquérir la mémoire musculaire et les connaissances nécessaires en cas d’attaque APT réelle.
Apprenez à identifier les signes subtils des APTs
L’aspect le plus dangereux des APT est leur capacité à passer inaperçus pendant de longues périodes. Les attaques sont conçues pour ne pas être détectées, ce qui permet aux acteurs de la menace d’extraire progressivement des données sensibles. Leur nature secrète les rend particulièrement préjudiciables, car les violations peuvent ne pas être identifiées avant qu’une perte importante de données ne se produise ou que les systèmes ne soient compromis.
En moyenne, les APT peuvent rester indétectés dans un système pendant 180 jours (6 mois). Cette durée permet aux attaquants d’observer les processus internes, d’exfiltrer des données et d’établir des portes dérobées pour un accès ultérieur, le tout sans déclencher d’alarme. La présence prolongée dans les réseaux est une caractéristique des APT, d’où l’importance de reconnaître les signes subtils de leur existence.
4 signes clés indiquant que vous pourriez être attaqué par un APT
- Transferts de données importants et inattendus : Les mouvements de fichiers importants, inexpliqués ou non autorisés, sont souvent le signe d’un détournement de données sensibles.
- Changements inexpliqués dans les autorisations : Les attaquants peuvent accroître leur accès en modifiant les autorisations des utilisateurs, ce qui doit alerter.
- Augmentation de l’activité de spear phishing ou de cheval de Troie : Les attaques ciblées, en particulier contre des utilisateurs spécifiques, précèdent souvent une violation plus importante.
- Activité de la ligne de commande à des heures inhabituelles : L’utilisation d’outils d’administration ou d’interfaces de ligne de commande à des heures inhabituelles peut indiquer qu’une APT se déplace sur le réseau.
La surveillance de l’activité de la ligne de commande pourrait sauver vos données
Une fois que les APT comme Volt Typhoon ont accès à votre réseau, ils s’appuient souvent sur la ligne de commande pour collecter ou déplacer des données. Les lignes de commande offrent aux attaquants une méthode directe et efficace pour exécuter des scripts, modifier des configurations et accéder à des systèmes sensibles.
Pour contrer ce phénomène, les organisations devraient enregistrer et surveiller toutes les activités de la ligne de commande. Des filtres et des alertes peuvent être définis pour signaler l’utilisation inhabituelle ou non autorisée d’outils et de scripts d’administration, ce qui permet de détecter rapidement les activités malveillantes.
La mise en liste blanche des applications est un autre moyen très efficace de prévenir les activités malveillantes en n’autorisant que les applications et les scripts pré-approuvés à s’exécuter dans votre système. Cette méthode empêche tout logiciel non autorisé ou nuisible de s’exécuter, réduisant ainsi le risque d’infection par des menaces inconnues. Avec une liste blanche, les organisations peuvent contrôler plus étroitement ce qui est autorisé à fonctionner au sein de leur réseau, ce qui réduit considérablement le risque d’infiltration d’APT.
Garder une longueur d’avance sur les cybermenaces est plus facile que vous ne le pensez
Les APT sont en constante évolution et exploitent les dernières vulnérabilités des logiciels et des systèmes. En se tenant au courant des menaces actuelles, les organisations peuvent anticiper les vecteurs d’attaque potentiels et mettre à jour leurs défenses en conséquence.
L’utilisation d’outils tels que la base de données nationale sur les vulnérabilités (National Vulnerability Database, NVD) peut aider les organisations à garder une longueur d’avance. En vérifiant régulièrement si vos systèmes présentent des vulnérabilités connues, vous vous assurez que les faiblesses sont corrigées rapidement, ce qui réduit les risques d’exploitation de ces vulnérabilités par une APT.
Les meilleures pratiques qui font réfléchir les APT
Des évaluations régulières des vulnérabilités et des correctifs rapides sont des mesures essentielles pour protéger vos systèmes contre les APT. Les acteurs de la menace exploitent souvent des vulnérabilités connues, c’est pourquoi le fait de maintenir vos systèmes à jour avec les derniers correctifs réduit considérablement votre risque.
Le contrôle d’accès est un autre élément clé de la prévention des APT. L’utilisation d’un contrôle d’accès basé sur les rôles et la mise en œuvre d’une authentification multifactorielle (MFA) garantissent que seules les personnes autorisées ont accès aux zones sensibles de votre système, ce qui minimise la surface d’attaque.
Comme les APT utilisent souvent le spear phishing comme point d’entrée initial, le déploiement d’outils anti-phishing pour détecter et bloquer les courriels suspects peut aider à protéger votre organisation contre ces attaques ciblées.
Une approche sans confiance permet de tenir les APT à distance
La confiance zéro est un modèle de sécurité qui suppose que personne à l’intérieur ou à l’extérieur de votre réseau n’est digne de confiance par défaut. Chaque utilisateur, appareil ou système doit valider en permanence son identité et ses autorisations. La validation continue permet d’empêcher les APT de se déplacer latéralement dans votre réseau, car l’accès aux systèmes critiques est constamment vérifié.
Renforcer le dispositif de sécurité de votre organisation est un processus sans fin. Il nécessite une vigilance constante et une formation continue sur les nouvelles menaces, les vecteurs d’attaque et les mécanismes de défense.
En restant informé des derniers développements en matière de cybersécurité et en révisant régulièrement vos stratégies de défense, votre organisation restera prête à faire face aux menaces APT.
