APT – Qui sont les attaquants ?

MISC

n°

mai 2016

Par

De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.

1. Rappel – Schéma d’attaque

Ce schéma a déjà été exposé dans MISC n°79 (« APT 101 »), aussi nous en tiendrons-nous au minimum afin de le décrire.

La chaîne d’attaque APT peut se représenter ainsi :

Fig 1 : Cycle d’une attaque APT.

La première phase consiste à collecter toute information utile par rapport à l’entité ciblée, que ce soit par rapport à ses employés, son mode de fonctionnement, ou encore son infrastructure informatique. Ces informations seront utilisées dans les phases suivantes.

La seconde étape consiste en l’attaque et la compromission initiale du réseau de la cible : spear phishing sur certains employés, attaques de serveurs, etc.

La troisième phase permet aux attaquants de renforcer leurs accès sur le réseau ciblé, notamment par l’élévation de privilèges et l’installation de plusieurs malwares et portes dérobées.

La quatrième phase consiste à parcourir le réseau ciblé, afin de...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.

S'abonner à Connect

Accédez à tous les contenus de Connect en illimité
Découvrez chaque semaine un nouvel article premium
Consultez les nouveaux articles en avant-première

Je m'abonne

Déjà abonné ? Connectez-vous

Article rédigé par

Pernet Cédric

Senior Threat Researcher - Trend Micro

14 articles

Par le(s) même(s) auteur(s)

Utilisation de services en ligne légitimes par les malwares

MISC

n°

107

janvier 2020

Par

Pernet Cédric

Malware

Les fraudes sur Internet, qu’elles suivent une motivation financière ou autre, nécessitent généralement de l’ingénierie sociale, ou l’utilisation de malwares. Ces derniers sont plus ou moins furtifs au niveau de leur comportement sur le poste de travail infecté, mais aussi lors de leurs communications sur le réseau avec leur contrôleur, ou serveur de « command and control » (C2). Voulant rendre leur trafic moins détectable, certains cybercriminels ont misé sur l’utilisation de plateformes et services légitimes en ligne. Bien que cette méthode ne soit pas nouvelle en soi, elle tend à être de plus en plus utilisée depuis quelques années.

Ajouter à une liste de lecture

Business e-mail compromise

MISC

n°

septembre 2016

Par

Pernet Cédric

Sécurité réseau

Les fraudes ayant cours en matière de cybercriminalité sont en constante évolution. Alors qu’en ce moment nous vivons sous l’explosion médiatique générée par les rançongiciels (ransomwares), d’autres types de fraudes relativement récentes sont beaucoup plus lucratives pour certains cybercriminels. De plus, elles demandent moins de moyens afin de gagner des montants qui se chiffrent généralement en centaines de milliers, voire en millions d’euros. Il s’agit des escroqueries appelées « business e-mail compromise » outre-Manche.

Ajouter à une liste de lecture

Simulation d’attaque APT

MISC

n°

juillet 2016

Par

Pernet Cédric

Sécurité organisationnelle

Les audits de sécurité et les tests de pénétration ont toujours été nécessaires afin de connaitre les failles/vulnérabilités exploitables/problèmes d’architecture les plus importants dans les réseaux des entreprises et autres entités disposant de nombreuses machines. Néanmoins, cela ne semble plus suffisant auprès de certains décideurs, qui souhaitent maintenant savoir s’ils sont vulnérables à des attaques ciblées, également appelées APT (Advanced Persistent Threat). Quelle est la différence avec un audit traditionnel ? Pourquoi ce service ? En quoi consiste-t-il ? Autant de questions auxquelles nous allons nous efforcer de répondre dans cet article.

Ajouter à une liste de lecture

Plus d'article de cet auteur

Les derniers articles Premiums

Les derniers articles Premium

Game & Watch : utilisons judicieusement la mémoire

Contenu Premium

Par

Bodor Denis

Électronique

Hacks

Au terme de l'article précédent [1] concernant la transformation de la console Nintendo Game & Watch en plateforme de développement, nous nous sommes heurtés à un problème : les 128 Ko de flash intégrés au microcontrôleur STM32 sont une ressource précieuse, car en quantité réduite. Mais heureusement pour nous, le STM32H7B0 dispose d'une mémoire vive de taille conséquente (~ 1,2 Mo) et se trouve être connecté à une flash externe QSPI offrant autant d'espace. Pour pouvoir développer des codes plus étoffés, nous devons apprendre à utiliser ces deux ressources.

Ajouter à une liste de lecture

Petite plongée dans l'univers des namespaces en Python

Contenu Premium

Par

Colombo Tristan

Code

Vous les utilisez tout le temps sans en avoir nécessairement conscience... mais comment fonctionnent les namespaces en Python ? Je vous propose dans cet article de les expérimenter au travers de différents exemples.

Ajouter à une liste de lecture

Raspberry Pi Pico : PIO, DMA et mémoire flash

Contenu Premium

Par

Bodor Denis

Électronique

Le microcontrôleur RP2040 équipant la Pico est une petite merveille et malgré l'absence de connectivité wifi ou Bluetooth, l'étendue des fonctionnalités intégrées reste très impressionnante. Nous avons abordé le sujet du sous-système PIO dans un précédent article [1], mais celui-ci n'était qu'une découverte de la fonctionnalité. Il est temps à présent de pousser plus loin nos expérimentations en mêlant plusieurs ressources à notre disposition : PIO, DMA et accès à la flash QSPI.

Ajouter à une liste de lecture

Programmation des PIO de la Raspberry Pi Pico

Contenu Premium

Par

Bodor Denis

Électronique

La carte Pico de Raspberry Pi est appréciable à bien des égards. Ses ressources, son prix, ses deux cœurs ARM... Mais ce morceau de silicium qu'est le RP2040 renferme une fonctionnalité unique : des blocs PIO permettant de créer librement des périphériques supplémentaires qu'il s'agisse d'éléments standardisés comme SPI, UART ou i2c, ou des choses totalement exotiques et très spécifiques à un projet ou un environnement donné. Voyons ensemble comment prendre en main cette ressource et explorer le monde fantastique des huit machines à états de la Pico !

Ajouter à une liste de lecture

Les listes de lecture

Sécurité Windows : Active Directory

11 article(s) - ajoutée le 01/07/2020

Sécurité réseau

Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.

Sécurité des mobiles

8 article(s) - ajoutée le 13/10/2020

Mobilité Sécurité système

Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.

Cryptographie appliquée

10 article(s) - ajoutée le 13/10/2020

Crypto

Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.

Voir les 55 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous