De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.
1. Rappel – Schéma d’attaque
Ce schéma a déjà été exposé dans MISC n°79 (« APT 101 »), aussi nous en tiendrons-nous au minimum afin de le décrire.
La chaîne d’attaque APT peut se représenter ainsi :
Fig 1 : Cycle d’une attaque APT.
La première phase consiste à collecter toute information utile par rapport à l’entité ciblée, que ce soit par rapport à ses employés, son mode de fonctionnement, ou encore son infrastructure informatique. Ces informations seront utilisées dans les phases suivantes.
La seconde étape consiste en l’attaque et la compromission initiale du réseau de la cible : spear phishing sur certains employés, attaques de serveurs, etc.
La troisième phase permet aux attaquants de renforcer leurs accès sur le réseau ciblé, notamment par l’élévation de privilèges et l’installation de plusieurs malwares et portes dérobées.
La quatrième phase consiste à parcourir le réseau ciblé, afin de...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
