Dans le monde de la cybersécurité, les groupes APT constituent une menace majeure. Ces organisations sophistiquées, souvent soutenues par des États, mènent des attaques persistantes contre des cibles stratégiques. Découvrons qui ils sont et quels dangers ils représentent.
Parmi les menaces les plus redoutables issues du monde de la cybersécurité, on trouve les groupes APT (Advanced Persistent Threat), qui font les « belles heures », vous nous excuserez l'expression, de la rubrique cyber. Ces acteurs malveillants, souvent soutenus par des États comme la Chine ou la Russie, sont à l'origine d'attaques informatiques historiques, dont celle ayant frappé SolarWinds. Leurs méthodes évoluent constamment, ce qui rend la protection des systèmes d'information de plus en plus complexe. Mathieu Tartare, chercheur chez ESET rencontré durant les Assises de la cybersécurité jeudi, nous éclaire sur ces groupes, leurs méthodes et les moyens de s'en protéger.
Qu'est-ce qu'un groupe APT ?
Notre expert, Mathieu Tartare, nous livre sa définition du groupe APT. « Il s'agit généralement d'un groupe de cyberespionnage, pas exclusivement d'ailleurs, car il y a aussi des opérations de cybersabotage, qui est sponsorisé par un état. » Ces groupes opèrent soit directement pour des organisations gouvernementales, soit pour des entreprises offrant des services offensifs à des États. Leur structure complexe et leur soutien étatique leur confèrent aujourd'hui une capacité d'action et une longévité exceptionnelles dans le paysage des menaces cyber.
Les APT se distinguent par leurs moyens et leur persistance. Car oui, contrairement aux cybercriminels dits « classiques », qui cherchent un retour sur investissement rapide, les groupes APT disposent de ressources importantes et du temps nécessaire pour mener des opérations de longue haleine. C'est cette patience qui leur permet de rester cachés dans les systèmes ciblés pendant des mois, voire des années, en collectant des informations précieuses ou préparant des attaques dévastatrices.
Leur objectif principal reste l'espionnage, mais certains groupes se spécialisent dans le sabotage. Et leurs cibles sont variées : organisations gouvernementales, secteurs stratégiques comme l'énergie ou le fret maritime, et même parfois des processus électoraux. Si l'on prend un peu de hauteur, on s'aperçoit vite que la diversité de leurs cibles reflète la complexité des enjeux géopolitiques et économiques contemporains, faisant de la cybersécurité un domaine crucial de la sécurité nationale.
10 octobre 2024 à 08h06
Les groupes APT les plus actifs
Parmi les groupes les plus actifs, Mathieu Tartare cite Mustang Panda, qui est affilié à la Chine et très actif en Europe. « Il cible beaucoup le secteur du fret maritime », précise-t-il. Ce groupe, initialement focalisé sur l'Asie de l'Est et du Sud-Est, a étendu son champ d'action, ce qui témoigne bien de l'évolution constante des menaces APT et leur capacité à s'adapter à de nouvelles cibles.
Ensuite, nous avons Fancy Bear, un groupe russe connu pour ses attaques de type spear phishing contre les organisations gouvernementales européennes. On rappelle que le spear phishing, où hameçonnage ciblé, est une attaque ciblée où un cybercriminel envoie des emails frauduleux à des victimes spécifiques. Mathieu Tartare en profiter pour souligner la sophistication des méthodes de Fancy Bear : « Il se livre à du spear phishing très ciblé et très soigné pour pousser la victime à envoyer des e-mails. » Ce groupe a notamment été impliqué dans le piratage du comité national démocrate américain avant les élections de 2016.
Gamaredon, d'origine russe, lui, se distingue par son volume d'attaques impressionnant. « En moyenne, on les voit compromettre deux victimes par jour », note le chercheur d'ESET. Ce groupe compense son manque de sophistication technique par une persistance remarquable. « C'est un groupe très persistant qui tous les jours met à jour ses implants, ses malwares, en changeant le langage de programmation qu'il utilise », explique le spécialiste, soulignant la capacité d'adaptation rapide de ces acteurs malveillants.
Enfin, Sandworm, tristement célèbre, cible le secteur énergétique ukrainien depuis 2014. Spécialisé dans le cyber-sabotage, le groupe a été particulièrement actif au début de l'invasion russe en Ukraine, déployant des wipers, des malwares conçus pour détruire des données. « On avait découvert, quelques heures avant le début de l'invasion russe, des premières vagues de wipers déployés par Sandworm en Ukraine », se rappelle Mathieu Tartare.
Les menaces pour les entités françaises
Pour les organisations françaises, notamment gouvernementales, la vigilance est de mise. Mathieu Tartare glisse une petite mise en garde : « Si je suis une organisation française, aujourd'hui, je me méfierai de ces vagues de spear phishing ciblé mené par des groupes comme Sednit et Cozy Bear notamment. » Ces groupes, également connus sous les noms d'APT28 et APT29, sont actifs contre les intérêts occidentaux.
Il faut le dire, car cela les rend d'autant plus dangereux, ces groupes excellent dans la création d'e-mails malveillants extrêmement convaincants. « Ce n'est pas du phishing lambda facile à repérer, c'est vraiment du phishing bien fait qui va pousser les hackers à utiliser des boîtes e-mail de victimes déjà compromises », détaille Mathieu Tartare. La technique est censée rendre la détection des e-mails malveillants particulièrement difficile, même pour des utilisateurs avertis.
Du point de vue français, le groupe Turla, dangereux pour les organisations diplomatiques, est à surveiller. Sa nouvelle boîte à outils lui permet d'intercepter les e-mails en s'infiltrant comme un plugin Outlook légitime. Mathieu Tartare souligne : « Ça, c'est vraiment un mode opératoire qui est assez typique de Turla ».
Et le spécialiste d'ajouter : « Ils envoient les commandes à exécuter à la backdoor via des e-mails qui contiennent une image, et la commande est cachée dans l'image par stéganographie. » Cette technique La stéganographie cache des données secrètes dans des fichiers ordinaires (images, audio) pour éviter la détection, contrairement au chiffrement. Vous aurez donc compris que la vigilance face aux groupes APT est devenu un impératif pour tous, experts comme novices.
Restez connectés sur Clubic : nous vous présenterons, dans les prochains jours, une incroyable attaque menée par un groupe APT, touchant le secteur du fret maritime. Vous verrez que les pirates ne manquent pas d'imagination.
