Cyber-Espionnage / Advance Persistent Threats : science-fiction ou réalité ?

L'Advanced Persistent Threat apparaît comme une menace sortie d'un polar surréaliste ou extrait d’un scénario catastrophe de science-fiction. Bien réelle contrairement aux idées reçues, elle cible un grand nombre d’organisations privées et publiques.

La réalité du piratage informatique en 2011


Le piratage informatique fut longtemps l'oeuvre de quelques étudiants habiles à la recherche de moments de gloire. Le début des années 2000 a été riche en attaques de sites web visant à en détourner le contenu (website defacement) pour affecter l'image et la notoriété de l'organisation visée.
 
Les hackers ne sont plus désormais ni isolés ni désorganisés. Il faut aujourd'hui les considérer comme des mercenaires monnayant leurs services à prix fort à des filières criminelles très organisées, disposant de moyens financiers extrêmement importants.

Ces filières ont professionnalisé le Hacking au point de proposer des attaques puissantes réalisées sur mesure pour leurs commanditaires. En effet, louer un BotNet pendant quelques heures pour rendre le site web d'un concurrent indisponible, récupérer la réponse financière de votre concurrent au dernier appel d'offre majeur que vous convoitez, exfiltrer des informations concernant les brevets d'un grand industriel, connaître les salaires des dirigeants d'une entreprise... Tous ces services sont disponibles et parfaitement packagées sur ce marché parallèle.
 
Ce commerce du Hacking est difficile à quantifier mais un grand nombre de spécialistes pense qu'il est au moins aussi important que le marché de la sécurité informatique regroupant les différents éditeurs et constructeurs d'anti-virus, de firewalls et autres technologies connexes. 
 

Comment se déroule une attaque APT ?


1 - Prise de renseignement sur la cible

Une attaque APT est généralement commanditée et cible des informations précises. Cette première phase est donc une prise d'informations sur l'organisation cible, sur les employés susceptibles de disposer d'accès avec des privilèges importants et sur l'exposition à internet de l'organisation.

Différents logiciels permettent d'effectuer une recherche structurée sur l'intégralité d'Internet (scan des pages web, du contenu des médias publiés, des serveurs attachés aux noms de domaine, etc.) et de créer en quelques heures un premier plan d'attaque assez précis.

Ces outils renseignent l'équipe APT sur la présence des serveurs hébergés dans l'entreprise, les technologies réseau, celles de la sécurité et les types de services utilisés. L'équipe APT peut ainsi présélectionner les vulnérabilités qu'ils vont exploiter et se préparer à masquer les attaques pour tromper la vigilance des outils de sécurité.
 
2 - Hameçonnage d'utilisateurs

Cette étape a pour but de prendre le contrôle de points d'encrage dans l'entreprise, c'est-à-dire de prendre le contrôle de quelques postes de travail. La méthode la plus couramment utilisée est le phishing (hameçonnage par courriel). Ce type de courriel est diffusé et propose un lien vers un site web ou embarque une pièce attachée (de type pdf par exemple).

Le lien web permet d'utiliser une vulnérabilité du navigateur (browser), la pièce jointe permet d'utiliser une vulnérabilité du lecteur média (pdf reader par exemple).

La majorité des attaques utilise des vulnérabilités connues, ce qui rend la réalisation de cette phase assez simple et peu coûteuse. Cependant, le recours à des vulnérabilités connues génère un risque fort de détection par les outils de prévention d'intrusions.
 
Certaines attaques beaucoup plus coûteuses font appel à des vulnérabilités non connues ni diffusées. On parle alors d'exploit ou de vulnérabilité Zéro Day. Celle-ci se monnaye aux alentours de 100 000 € sur le marché du Hacking car elle ouvre des possibilités intéressantes.

L'usage d'un Zéro Day diminue énormément le risque de détection de la phase d'hameçonnage.
 
Cette étape permet donc d'obtenir un accès sur un nombre plus ou moins important de postes de travail. Quelques opérations techniques basées sur l'exploit de vulnérabilités de l'Operating System élèvent rapidement les privilèges du hacker sur les machines et de rendre le code malveillant ainsi installé transparent et persistant sur le système. A ce stade, l'équipe APT dispose de plusieurs canaux d'accès sur un premier niveau du réseau ciblé.
 
3 - Découverte du réseau interne


Disposant au minimum des droits d'accès des utilisateurs propriétaires des machines hameçonnées, l'équipe APT entreprend une découverte du réseau en profondeur. Le pilotage de cette exploration est réalisé depuis l'extérieur grâce à une communication chiffrée véhiculée par la connexion internet de l'organisme ciblé. Le profil des utilisateurs hameçonnés influence grandement la rapidité de découverte du réseau interne et l'accès à la cible.

Si les machines contrôlées ne permettent pas d'atteindre les serveurs de données ciblées, l'équipe APT réitère la seconde phase avec l'envoi de courriel pour rebondir et contrôler de nouveaux postes.

Lorsque le serveur de données ciblé est atteint, l'équipe APT utilise alors des vulnérabilités de l'OS local pour élever les droits de leur accès afin d'y déposer le code malveillant d'extraction d'information.
 
4 - Installation du module malveillant - extraction des données


Un soin tout particulier est apporté à la réalisation du code malveillant d'extraction des informations, celui-ci devant pouvoir fonctionner aussi longtemps que possible sans être détecté par les outils de sécurité.

Ce code malveillant bénéficie souvent d'une capacité de maintenance à distance afin de muter pour rester non détectable par les anti-virus installés. Il va être installé sur le serveur cible avec un niveau de privilège élevé et en mode persistant. Le but n'est pas uniquement d'extraire les informations ponctuellement mais de pouvoir bénéficier d'un canal d'extraction persistant pour exfiltrer de nouveaux documents ou les mises à jour du document ciblé.
 
L'extraction des informations se fait généralement par l'utilisation de l'infrastructure standard de navigation de l'entreprise cible.
 
 
Comment se prémunir contre une attaque APT ?

Il est difficile de mettre en oeuvre des outils de sécurité capables de stopper de telles attaques de manière immédiate. En effet, celles-ci sont pensées pour ressembler à des flux licites et utilisent des comptes réels d'utilisateurs. Par ailleurs, les attaques les plus puissantes (et les plus chères à mettre en oeuvre) tirent parti de vulnérabilités Zero Day exploitées pour la première fois par l'attaque APT commanditée.
 
Seul le déploiement d'outils de sécurité adaptés (IPS, SIEM, DLP, NBA, ...) couplé à un processus solide de gestion des évènements de sécurité peut permettre de détecter une attaque APT sur les premières phases de son implémentation.
 
Il est parfois possible de stopper les attaques les moins sophistiquées de façon proactive, cependant, dans le cas d'attaques complexes et puissantes, les outils et processus ont principalement pour but d'alerter le plus rapidement possible les équipes sécurité sur la suspicion d'APT en cours.
 
1 - Hameçonnage

La phase d'hameçonnage peut être détectée facilement grâce à une règle IPS dans le cas d'exploits de vulnérabilités connues. Dans le cas contraire, l'analyse comportementale proposée par certains IPS ou outils NBA pourra alerter la sécurité sur la présence répétée de comportements anormaux depuis les stations de travail hameçonnées. Cette tâche est rendue difficile par le caractère chiffré des communications utilisées. Ainsi la présence d'un boîtier de déchiffrement SSL augmentera les chances de détection.
 
2 - Découverte du réseau interne

Cette phase pourra également être repérée par des outils d'IPS-NBA intégrant la notion d'utilisateur dans les évènements de sécurité. Les règles de déclenchement des alertes ainsi que le processus de traitement des évènements devront être spécifiquement déterminés dans le cadre du réseau protégé. Cette science n'est ni exacte ni infaillible et le but ici est encore d'alerter la sécurité au plus tôt sur une répétition de comportements anormaux.
 
 
3- Extraction des données

Les solutions de prévention d'intrusions intégrant une fonction DLP (Data Loss Prevention ou protection contre la fuite d'information) ou les outils de DLP pourront permettre de détecter l'extraction des données. Ceci nécessite une intégration et une organisation des données et des habilitations non négligeables. Ici encore, l'usage de boitiers de déchiffrement SSL sera souvent nécessaire pour contrôler un flux chiffré.
 
 
En conclusion, les attaques de type APT sont une réalité. Elles bénéficient de financements importants, ce qui leur permet un niveau de sophistication extrême.

Aucune solution immédiate "out of the box" n'est capable de combattre efficacement une telle attaque. Seule une politique globale de sécurité intégrant produits, équipes et processus adaptés peut permettre de détecter au plus tôt le déploiement d'une attaque APT puissante.
 

Autour du même sujet