APT - Advanced Persistent Threats

cr  15.11.2018      r+  07.09.2022      r-  08.05.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Une « Menace Persistante Avancée » (APT) est une attaque réseau furtive dans laquelle une personne ou un groupe obtient un accès non autorisé à un réseau et reste non détecté pendant une période prolongée.

La définition du terme « Menace Persistante Avancée » (APT), compte tenu des connaissances, des moyens et coûts à mettre en oeuvre, était traditionnellement associée au parrainage de groupes de hackers internes aux institutions (armée, espionnage institutionnel, sécurité intérieure, sécurité extérieure, etc.) ou externes soutenus par des États-nations. Par la suite, il s’est avéré que des hackers « privés » étaient capables de développer et mener des attaques de ce type d’envergure pour leurs objectifs personnels (objectifs généralement économiques).

Une « Menace Persistante Avancée » (APT) peut avoir des motivations commerciales ou politiques. Les processus « APT » nécessitent un degré élevé de discrétion sur une longue période.

• L'utilisation de « processus avancés » désigne des techniques sophistiquées utilisant des logiciels malveillants (scanners de ports, scanners de failles, exploitation de la faille). Il s'agit essentiellement d'implantation de « bots » conduisant à architecturer des « BotNets » qui vont constituer la base matérielle d'une « Menace Persistante Avancée » (APT).
• Le terme « processus persistant » suggère qu'un système de commande et de contrôle (C&C) externe surveille et extrait en permanence les données d'une cible spécifique. Architecture des BotNets.
• Le terme de « menace » indique une implication humaine dans l'orchestration de l'attaque.

Le terme « Menace Persistante Avancée » (APT) fait généralement référence à un groupe, tel qu'un gouvernement, ayant à la fois la capacité, l'intention et les moyens de cibler, de manière persistante et efficace, une entité spécifique. La signification du terme a tendance à s'étendre à l'espionnage traditionnel et aux attaques traditionnelles dont les besoins en moyens sont importants (« BotNets ») et durables.Le terme « Menace Persistante Avancée » (APT

Parmi les autres vecteurs d’attaque reconnus, on peut citer :

• les médias infectés (les sites WEB hackés qui vont permettre d'attaquer tous les visiteurs de ces sites)
  • Contre-mesures : DMZ (zones démilitarisées) et analyse/surveillance serveurs
• la chaîne logistique (la circulation des données et, par exemple, les attaques « Homme du milieu »)
  • Contre-mesures : chiffrement des données avec SSH (HTTPS) et VPN (Virtual Private Network)
• l’« intelligence » humaine (déploiement de l'usage du virus PEBCAK, ingénierie sociale, etc.)
  • Contre-mesures : information, formation, « permis de PC »
• la tromperie
  • Contre-mesures : antivirus, antimalwares, information, formation, « permis de PC »

Le glissement des « Menaces Persistantes Avancées » (APT) (spécialisées), vers des « Menaces Persistantes Avancées Généralistes » (GAPT - Generalist Advanced Persistent Threats), les « BotNets », est un avatar des (« bots » - « robots logiciels »). Le but de ces attaques est également :

• de placer du code malveillant, personnalisé ou générique, sur plusieurs ordinateurs, serveurs ou utilisateur final, pour des tâches qui lui seront spécifiées
• de rester non détecté aussi longtemps que possible

Connaître les artefacts des attaquants, tels que les noms de fichiers, peut aider un professionnel à effectuer une recherche sur l'ensemble du réseau afin de rassembler et tous les systèmes affectés et les isoler jusqu'à décontamination.

Les attaques contre un individu individuel ciblé ne sont généralement pas appelées « Menaces Persistantes Avancées » (APT), car elles sont l’objet d’un autre individu qui a rarement les ressources et les connaissances pour développer une attaque à la fois avancée et persistante. Il s’agit plus d’une attaque spécifique conduite par un individu spécifique résolu à accéder à une cible spécifique pour porter un coup spécifique.

APT Advanced Persistent Threats (recherches avec google)
APT Advanced Persistent Threats (recherches avec qwant)