Une menace persistante avancée ( APT ) est un acteur de menace furtif , généralement un État ou un groupe parrainé par un État, qui obtient un accès non autorisé à un réseau informatique et reste indétecté pendant une période prolongée. Ces derniers temps, le terme peut également désigner des groupes non parrainés par un État qui mènent des intrusions ciblées à grande échelle pour des objectifs spécifiques.
Les motivations des acteurs de la menace sont généralement politiques ou économiques. Chaque secteur d'activité majeur a enregistré des cas de cyberattaques par des acteurs avancés avec des objectifs spécifiques, qu'il s'agisse de voler, d'espionner ou de perturber. Ces secteurs ciblés comprennent le gouvernement, la défense , les services financiers , les services juridiques , l'industrie , les télécommunications , les biens de consommation et bien d'autres. Certains groupes utilisent des vecteurs d'espionnage traditionnels , notamment l'ingénierie sociale , le renseignement humain et l'infiltration pour accéder à un emplacement physique afin de permettre des attaques réseau. Le but de ces attaques est d'installer des logiciels malveillants personnalisés .
Les attaques APT sur les appareils mobiles sont également devenues une préoccupation légitime, car les attaquants sont capables de pénétrer dans le cloud et l'infrastructure mobile pour espionner, voler et altérer les données.
Le temps de présence moyen, c'est-à-dire le temps pendant lequel une attaque APT passe inaperçue, varie considérablement d'une région à l'autre. FireEye a indiqué que le temps de présence moyen pour 2018 dans les Amériques était de 71 jours, dans la zone EMEA de 177 jours et dans la zone APAC de 204 jours. Un temps de présence aussi long laisse aux attaquants un temps considérable pour parcourir le cycle d'attaque, se propager et atteindre leurs objectifs.
Définition
Les définitions précises de ce qu'est un APT peuvent varier, mais peuvent être résumées par leurs exigences nommées ci-dessous :
- Avancée – Les opérateurs à l’origine de la menace disposent d’un éventail complet de techniques de collecte de renseignements. Celles-ci peuvent inclure des technologies et des techniques d’intrusion informatique commerciales et open source, mais peuvent également s’étendre à l’appareil de renseignement d’un État. Bien que les composants individuels de l’attaque ne soient pas considérés comme particulièrement « avancés » (par exemple, des composants de malware générés à partir de kits de construction de malwares faciles à utiliser ou l’utilisation de matériaux d’exploitation faciles à se procurer), leurs opérateurs peuvent généralement accéder à des outils plus avancés et les développer selon les besoins. Ils combinent souvent plusieurs méthodes, outils et techniques de ciblage afin d’atteindre et de compromettre leur cible et d’en maintenir l’accès. Les opérateurs peuvent également démontrer une attention délibérée à la sécurité opérationnelle qui les différencie des menaces « moins avancées ».
- Persistant – Les opérateurs ont des objectifs spécifiques, plutôt que de rechercher des informations de manière opportuniste pour un gain financier ou autre. Cette distinction implique que les attaquants sont guidés par des entités externes. Le ciblage est effectué par le biais d'une surveillance et d'une interaction continues afin d'atteindre les objectifs définis. Cela ne signifie pas un barrage d'attaques constantes et de mises à jour de logiciels malveillants. En fait, une approche « lente et lente » est généralement plus efficace. Si l'opérateur perd l'accès à sa cible, il tentera généralement à nouveau d'y accéder, et le plus souvent avec succès. L'un des objectifs de l'opérateur est de maintenir un accès à long terme à la cible, contrairement aux menaces qui n'ont besoin d'un accès que pour exécuter une tâche spécifique.
- Menace – Les APT constituent une menace car elles ont à la fois des capacités et des intentions. Les attaques APT sont exécutées par des actions humaines coordonnées, plutôt que par des morceaux de code automatisés et sans esprit critique. Les opérateurs ont un objectif spécifique et sont compétents, motivés, organisés et bien financés. Les acteurs ne se limitent pas aux groupes parrainés par l’État.
Historique et objectifs
En 2005, des avertissements ont été publiés par les organisations CERT britanniques et américaines contre les courriels ciblés et conçus à des fins d'ingénierie sociale qui envoient des chevaux de Troie pour exfiltrer des informations sensibles . Cette méthode a été utilisée au début des années 1990 et ne constitue pas en soi une menace persistante avancée. Le terme « menace persistante avancée » a été cité comme étant originaire de l' armée de l'air américaine en 2006 le colonel Greg Rattray étant cité comme l'inventeur du terme
Le ver informatique Stuxnet , qui a ciblé le matériel informatique du programme nucléaire iranien , est un exemple d'attaque APT. Dans ce cas, le gouvernement iranien pourrait considérer les créateurs de Stuxnet comme une menace persistante avancée.
Au sein de la communauté de la sécurité informatique , et de plus en plus dans les médias, le terme est presque toujours utilisé en référence à un modèle à long terme d'exploitation sophistiquée des réseaux informatiques visant les gouvernements, les entreprises et les militants politiques, et par extension, également pour attribuer les attributs A, P et T aux groupes à l'origine de ces attaques. Le terme de menace persistante avancée (APT) pourrait se déplacer vers le piratage informatique en raison du nombre croissant d'occurrences. PC World a signalé une augmentation de 81 % entre 2010 et 2011 des attaques informatiques ciblées particulièrement avancées.
Les acteurs de nombreux pays ont utilisé le cyberespace comme moyen de recueillir des renseignements sur des individus et des groupes d'individus d'intérêt. Le Cyber Command des États-Unis est chargé de coordonner les opérations cybernétiques offensives et défensives de l'armée américaine .
De nombreuses sources ont affirmé que certains groupes APT sont affiliés à des gouvernements d’ États souverains ou en sont les agents . Les entreprises détenant une grande quantité d’ informations personnelles identifiables courent un risque élevé d’être ciblées par des menaces persistantes avancées, notamment :
- Agriculture
- Énergie
- Institutions financières
- Soins de santé
- Enseignement supérieur
- Fabrication
- Technologie
- Télécommunications
- Transport
Une étude de Bell Canada a permis de comprendre en profondeur l'anatomie des APT et a révélé leur présence généralisée au sein du gouvernement canadien et dans les infrastructures essentielles. L'attribution a été établie à des acteurs chinois et russes.
Cycle de vie

Les acteurs à l’origine des menaces persistantes avancées créent un risque croissant et évolutif pour les actifs financiers, la propriété intellectuelle et la réputation des organisations en suivant un processus continu ou une chaîne de destruction :
- Cibler des organisations spécifiques pour un objectif singulier
- Tenter de prendre pied dans l'environnement (les tactiques courantes incluent les e-mails de spear phishing )
- Utiliser les systèmes compromis comme accès au réseau cible
- Déployer des outils supplémentaires qui aident à atteindre l'objectif de l'attaque
- Couvrir les voies pour maintenir l'accès aux initiatives futures
En 2013, Mandiant a présenté les résultats de ses recherches sur les attaques chinoises présumées utilisant la méthode APT entre 2004 et 2013 qui ont suivi un cycle de vie similaire :
- Compromission initiale – réalisée par ingénierie sociale et hameçonnage ciblé , par courrier électronique, à l'aide de virus zero-day . Une autre méthode d'infection courante consiste à implanter un logiciel malveillant sur un site Web que les employés de la victime sont susceptibles de visiter.
- Établir une présence – implanter un logiciel d’administration à distance dans le réseau de la victime, créer des portes dérobées et des tunnels permettant un accès furtif à son infrastructure.
- Augmenter les privilèges : utiliser des exploits et le craquage de mot de passe pour acquérir des privilèges d'administrateur sur l'ordinateur de la victime et éventuellement les étendre aux comptes d'administrateur de domaine Windows .
- Reconnaissance interne – collecte d’informations sur l’infrastructure environnante, les relations de confiance, la structure du domaine Windows .
- Déplacez-vous latéralement : étendez le contrôle à d’autres postes de travail, serveurs et éléments d’infrastructure et effectuez la collecte de données sur eux.
- Maintenir la présence – assurer un contrôle continu sur les canaux d’accès et les informations d’identification acquises lors des étapes précédentes.
- Mission complète : exfiltrer les données volées du réseau de la victime.
Dans les incidents analysés par Mandiant, la période moyenne pendant laquelle les attaquants ont contrôlé le réseau de la victime était d'un an, la plus longue étant de près de cinq ans. l'unité 61398 de l'Armée populaire de libération basée à Shanghai . Les responsables chinois ont nié toute implication dans ces attaques.
Des rapports antérieurs du Secdev avaient déjà découvert et impliqué des acteurs chinois.
Stratégies d’atténuation
Il existe des dizaines de millions de variantes de malwares, ce qui rend extrêmement difficile la protection des organisations contre les APT. Bien que les activités APT soient furtives et difficiles à détecter, le trafic réseau de commande et de contrôle associé aux APT peut être détecté au niveau de la couche réseau avec des méthodes sophistiquées. Les analyses approfondies des journaux et la corrélation des journaux provenant de diverses sources sont d'une utilité limitée pour détecter les activités APT. Il est difficile de séparer les bruits du trafic légitime. Les technologies et méthodes de sécurité traditionnelles se sont révélées inefficaces pour détecter ou atténuer les APT. La cyberdéfense active a permis une plus grande efficacité dans la détection et la poursuite des APT (trouver, réparer, terminer) lors de l'application des renseignements sur les cybermenaces aux activités de traque et de poursuite des adversaires. Les vulnérabilités cybernétiques introduites par l'homme (HICV) sont un maillon faible du cyberespace qui n'est ni bien compris ni atténué, constituant un vecteur d'attaque important.
Groupes APT
Chine
- Unité PLA 61398 (également connue sous le nom d'APT1)
- Unité PLA 61486 (également connue sous le nom d'APT2)
- Buckeye (également connu sous le nom d'APT3)
- Apollon rouge (également connu sous le nom d'APT10)
- Panda numéroté (également connu sous le nom d'APT12)
- DeputyDog (également connu sous le nom d'APT17)
- Dynamite Panda ou Scandium (également connu sous le nom d'APT18, une unité de la marine de l'Armée populaire de libération )
- Équipe Codoso (également connue sous le nom d'APT19)
- Wocao (également connu sous le nom d'APT20)
- APT22 (alias Suckfly)
- APT26 (alias Turbine Panda)
- APT 27
- Unité PLA 78020 (également connue sous le nom d'APT30 et Naikon)
- Zirconium (également connu sous le nom d'APT31 et Violet Typhoon)
- APT40
- Double Dragon (également connu sous le nom d'APT41, Winnti Group, Barium ou Axiom)
- Spamouflage (également connu sous le nom de Dragonbridge ou Storm 1376)
- Hafnium
- LightBasin (également connu sous le nom de UNC1945)
- Soldat des Tropiques
- Volt Typhoon
- Typhon du lin
- Charcoal Typhon (également connu sous le nom de CHROMIUM)
- Salmon Typhoon (également connu sous le nom de SODIUM)
- Salt Typhon (également connu sous le nom de GhostEmperor ou FamousSparrow)
- Panda Liminaire
L'Iran
- Charmant chaton (également connu sous le nom d'APT35)
- Équipe Elfin (également connue sous le nom d'APT33)
- Helix Kitten (également connu sous le nom d'APT34)
- Chaton pionnier
- Remix Kitten (également connu sous le nom d'APT39, ITG07 ou Chafer)
Corée du Nord
- Kimsuky
- Groupe Lazarus (également connu sous le nom d'APT38)
- Ricochet Chollima (également connu sous le nom d'APT37)
Russie
- Ours enragé
- Cozy Bear (également connu sous le nom d'APT29)
- Fancy Bear (également connu sous le nom d'APT28)
- FIN7
- Gamaredon (également connu sous le nom d' ours primitif )
- Ver des sables (également connu sous le nom d'APT44)
- Ours venimeux
Turquie
- StrongPity (également connu sous le nom d'APT-C-41 ou PROMETHIUM)
États-Unis
Ouzbékistan
- SandCat, associé au Service de sécurité de l'État selon Kaspersky
Vietnam
- OceanLotus (également connu sous le nom d' APT32 )
Appellation
Plusieurs organisations peuvent attribuer des noms différents au même acteur. Comme des chercheurs différents peuvent chacun avoir leurs propres évaluations d'un groupe APT, des entreprises telles que CrowdStrike , Kaspersky , Mandiant et Microsoft , entre autres, ont leurs propres schémas de dénomination internes. Les noms entre différentes organisations peuvent faire référence à des groupes qui se chevauchent mais qui sont finalement différents, en fonction des diverses données recueillies.
CrowdStrike attribue des animaux par État-nation ou autre catégorie, comme « Kitten » pour l'Iran et « Spider » pour les groupes axés sur la cybercriminalité. D'autres entreprises ont nommé des groupes en se basant sur ce système — Rampant Kitten, par exemple, a été nommé par Check Point plutôt que par CrowdStrike.
Dragos base ses noms pour les groupes APT sur des minéraux.
Mandiant attribue des acronymes numérotés en trois catégories, APT, FIN et UNC, ce qui donne des noms APT comme FIN7 . D'autres sociétés utilisent un système similaire, notamment Proofpoint (TA) et IBM (ITG et Hive).
Microsoft avait l'habitude d'attribuer des noms issus du tableau périodique , souvent stylisés en majuscules (par exemple POTASSIUM ) ; en avril 2023, Microsoft a modifié son schéma de dénomination pour utiliser des noms basés sur la météo (par exemple Volt Typhoon).