Comment une APT attaque-t-elle ?
Les pirates qui commettent des attaques APT prennent les mesures importantes suivantes pour obtenir un accès permanent au réseau cible :
- Accès au réseau : Pour atteindre la cible, les systèmes cibles APT sont regroupés sur Internet, soit en envoyant un message de phishing ciblé, soit en utilisant une faille de sécurité qui leur permet d’introduire des logiciels malveillants.
- Établir un point d’ancrage : Une fois que l’accès à la cible est établi, les pirates peuvent approfondir leur enquête et commencer à utiliser les logiciels malveillants qu’ils ont installés pour créer des réseaux de portes dérobées et des tunnels qui leur permettent de passer inaperçus. Le comité de parents peut compter sur des techniques malveillantes avancées telles que la réécriture de code pour couvrir leurs traces.
- Propagez l’attaque : Après avoir pénétré dans le réseau cible, les acteurs de l’APT peuvent, entre autres, pirater le mot de passe des privilèges administratifs, ce qui leur permet de mieux contrôler le système et d’accéder à d’autres niveaux.
- Se déplacer dans le système : Après avoir violé les systèmes cibles et obtenu des privilèges administratifs, ils peuvent se déplacer dans le réseau d’entreprise comme ils le souhaitent. En outre, ils peuvent tenter d’accéder à d’autres serveurs ou à d’autres zones protégées du réseau.
- Déployer l’attaque : À ce stade, les pirates centralisent, cryptent et compriment les données pour les filtrer
- Filtrage des données : Les pirates informatiques collectent les données et les transmettent à leur propre système.
- L’accès n’est pas détecté : Les cybercriminels peuvent répéter ce processus pendant longtemps tout en restant invisibles, ou ils peuvent créer une porte dérobée pour accéder au système s’ils le souhaitent.
Contrairement à la plupart des cyberattaques courantes, les campagnes d’APT utilisent des méthodes ciblées plutôt que des outils plus généraux conçus pour maximiser le nombre de victimes. Les campagnes d’APT ont tendance à durer plus longtemps que les attaques ordinaires car elles sont plus claires et donc plus faciles à arrêter.
Caractéristiques des menaces persistantes modernes
Les attaques APT ont souvent des caractéristiques communes qui symbolisent le haut niveau de planification et de coordination requis pour perturber des cibles coûteuses. Par exemple, la plupart des attaques APT sont menées en différentes phases : accès au réseau, création et extension de l’accès, puis tout effort pour rester aussi discret que possible jusqu’à ce que la cible soit atteinte.
Détection de l’APT
Il existe certains signes d’alerte -bien que difficiles à détecter- qui peuvent être des symptômes de l’APT. Une fois qu’un réseau est ciblé, une organisation peut remarquer plusieurs symptômes :
- une activité inhabituelle sur les comptes d’utilisateurs ;
- utilisation involontaire d’un cheval de Troie détourné, une méthode utilisée par les APT pour faciliter l’accès au réseau ;
- activité variable ou étrange sur les bases de données, comme une augmentation soudaine des transactions impliquant de grandes quantités de données ;
- présence de fichiers de données inhabituels, suggérant que les données ont été fusionnées dans des fichiers pour faciliter l’exfiltration de celles-ci.
- la détection d’anomalies dans les données de sortie est probablement le meilleur outil dont disposent les professionnels de la cybersécurité pour déterminer si le réseau a fait l’objet d’une attaque d’APT.