De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.
1. Rappel – Schéma d’attaque
Ce schéma a déjà été exposé dans MISC n°79 (« APT 101 »), aussi nous en tiendrons-nous au minimum afin de le décrire.
La chaîne d’attaque APT peut se représenter ainsi :
Fig 1 : Cycle d’une attaque APT.
La première phase consiste à collecter toute information utile par rapport à l’entité ciblée, que ce soit par rapport à ses employés, son mode de fonctionnement, ou encore son infrastructure informatique…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première