APT, quoi de neuf en 2023 ?

APT, quoi de neuf en 2023 ?

Le paysage des menaces persistantes avancées (APT) évolue. Kaspersky assure dans un nouveau rapport que cette activité est “intense au premier trimestre 2023”. Des acteurs historiques de ce domaine (Turla, MuddyWater, Winnti, Lazarus et ScarCruft) jouxtent de nouveaux entrants. Trila, un nouveau venu, cible par exemple des entités gouvernementales libanaises.

Surtout, l’ensemble de ces acteurs améliorent leurs outils et étendent leurs vecteurs d’attaque, “à la fois en termes de localisation géographique et d’industries ciblées” précise l’éditeur de solution de cybersécurité.

Ainsi, le groupe Turla a été repéré en train d’utiliser la porte dérobée TunnusSched, “un outil relativement inhabituel pour ce groupe, qu’on savait par ailleurs exploité par Tomiris” dit à ce sujet Kaspersky.

publicité

Les groupes APT ne se contentent plus d’attaques sur les institutions étatiques et les infrastructure critiques

Côté sectoriel, les groupes APT ne se contentent plus d’attaques sur les institutions étatiques et les infrastructure critiques. L’aviation, l’énergie, l’industrie, l’immobilier, la finance, les télécommunications, la recherche scientifique, les technologies de l’information ou encore les jeux vidéo ne sont plus épargnés.

Sur le plan géographique, les pirates mènent à présent des attaques en Europe, aux États-Unis, au Moyen-Orient et dans diverses régions d’Asie. Jusqu’à présent, les victimes étaient recensées dans des pays. De plus en plus d’APT ciblent désormais des victimes à l’échelle mondiale.

MuddyWater, jusqu’à présent actif au Moyen-Orient et en Afrique du Nord, s’attaque désormais à des organisations en Azerbaïdjan, en Arménie, en Malaisie et au Canada.

De nouveaux langages de programmation sont utilisés, Go, Rust et Lua

Enfin, de nouveaux langages de programmation sont utilisés par les pirates. Kaspersky évoque Go, Rust et Lua. “La géopolitique reste un moteur essentiel du développement des APT et le cyber-espionnage demeure l’un des principaux objectifs des campagnes APT” conclut l’éditeur.

APT signifie Advanced Persistent Threat, ou Menace persistante avancée. L’acronyme existe depuis le début des années 2000 et nous vient d’outre atlantique, plus particulièrement du monde de la défense américaine. Le terme a depuis gagné en popularité dans le monde de la sécurité informatique et vise à décrire un certains type d’attaquants.

Le terme « Avancé » est souvent mal interprété

Les groupes désignés par le sigle APT sont des groupes organisés et patients. Le terme « Avancé » est souvent mal interprété. Il ne s’agit pas forcement d’attaquants disposant d’outils, de vulnérabilités ou de logiciels malveillants sophistiqués, mais plutôt de leur capacité à exploiter tout un panel d’attaques pour infiltrer les réseaux qu’ils ciblent et s’y maintenir.

Le qualificatif « Persistant » signifie que contrairement aux groupes cybercriminels traditionnels, les groupes APT peuvent prendre leur temps pour attaquer une cible. Ils peuvent effectuer plusieurs reconnaissances avant d’identifier les vulnérabilités à exploiter, contourner les défenses de la cible et ensuite déployer des moyens visant à se maintenir dans le réseau de la cible sans être repéré pendant des périodes très longues, parfois plusieurs mois.

Enfin, l’objectif de ces groupes est souvent très spécifique : les chercheurs en sécurité associent plus généralement ce sigle à des groupes spécialisés dans l’espionnage et le vol d’informations souvent sensibles.

Leave a Reply

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading