Groupes APT (Advanced Persistent Threat)

Le Who''s Who de la cybermenace

FireEye surveille de très près les groupes APT qui agissent généralement pour le compte d'un État finançant ses activités.

Tout comme les autres attaquants, les groupes APT ont pour objectif de faire main basse sur des données, de perturber des opérations ou de mener des actions de sabotage sur des infrastructures. À la différence de la plupart des cybercriminels, les auteurs d'attaques APT poursuivent leurs objectifs sur du temps long, pendant des mois voire des années. Ils contournent les différents dispositifs de sécurité et n'hésitent pas à mener plusieurs actions de récidive sur la même victime.

La présence d'un malware associé à une menace APT sur vos systèmes ne signifie pas forcément' que vous êtes la cible' d'une menace APT. Cependant, votre équipe de sécurité doit connaître la liste des groupes APT les plus virulents et prendre toutes les précautions nécessaires pour détecter le moindre malware associé à des menaces APT passées.

Menace APT

Groupes APT

APT38 | APT37 | APT34 | APT33 | APT32 | APT30 | APT29 | APT28
APT19 | APT18 | APT17 | APT16 | APT12 | APT10 | APT5 | APT3 | APT1

APT38

Responsable présumé : Corée du Nord

Cibles : Institutions financières du monde entier

Présentation : Selon nos éléments d'enquête, APT 38, un groupe de cyberespionnage nord-coréen soutenu par le régime, serait responsable du plus grand cyberbraquage jamais observé. Certes, APT38 partage de nombreuses ressources de développement de malwares avec « Lazarus », un autre groupe à la solde du régime de Pyongyang. Toutefois, nous estimons que les motivations financières d'APT38, mais aussi la spécificité de ses outils et de ses tactiques, techniques et procédures (TTP) suffisent à le différencier des autres activités cybercriminelles émanant de la Corée du Nord.

Malwares associés : Backdoors, tunnels, data miners, malwares destructeurs... ce groupe doté de moyens et d'effectifs considérables fait appel à plusieurs types de malwares pour dérober des millions de dollars à des établissements financiers et paralyser leurs réseaux.

Vecteurs d'attaque : APT38 a mené des opérations contre plus de 16 organisations dans au moins 11 pays. À la fois prudent et calculateur, le groupe fait preuve d'une grande détermination pour maintenir sa présence dans les environnements infiltrés en vue de mieux comprendre la configuration réseau, les permissions requises et les technologies systèmes et ce, jusqu'à l'atteinte de ses objectifs. Sa particularité ? ATP38 n'a pas peur de détruire les preuves ou les réseaux de ses victimes s'il le faut.

APT37

Responsable présumé : Corée du Nord

Cibles : Divers secteurs d'activité, dont l'industrie chimique, l'électronique, l'industrie manufacturière, l'aérospatiale, l'automobile et la santé, principalement en Corée du Sud, mais aussi au Japon, au Vietnam et au Moyen-Orient.

Présentation : D'après notre analyse des activités récentes d'APT37, les opérations du groupe sont de plus en plus étendues et sophistiquées, avec un kit composé d'un malware destructeur et d'outils d'exploitation de vulnérabilités zero-day. Les artefacts de développement distinctifs des malwares et la concordance des cibles choisies avec les intérêts politiques de la Corée du Nord nous permettent d'affirmer avec une grande certitude que Pyongyang est à la baguette. FireEye iSIGHT Intelligence est convaincu qu'APT37 et les groupes connus sous les noms de Scarcruft et Group123 ne sont en fait qu'une seule et même entité.

Malwares associés : APT37 exploite un large éventail de malwares pour s'introduire sur les réseaux et en exfiltrer des données. Outre des malwares personnalisés utilisés à des fins d'espionnage, le groupe dispose dans son arsenal d'un malware destructeur.

Vecteurs d'attaque : Tactiques d'ingénierie sociale adaptées aux cibles visées, compromission de sites Web caractéristiques des opérations de cyberespionnage et utilisation de plateformes de partage de fichiers torrent pour propager les malwares sans distinction. Exploitation fréquente de vulnérabilités dans Hangul Word Processor (HWP), ainsi que dans Adobe Flash. Le groupe a par ailleurs montré qu'il était capable d'exploiter des vulnérabilités zero-day (CVE-2018-0802) dans le cadre de ses opérations.

APT34

Responsable présumé : Iran

Cibles : À ce jour, les attaques se sont essentiellement concentrées sur des pays du Moyen-Orient, dans des secteurs aussi variés que la finance, l'administration, l'énergie, les télécommunications ou encore l'industrie chimique.

Présentation : L'attaque s'inscrirait dans une campagne de cyberespionnage lancée en 2014 et essentiellement axée sur des opérations de repérage pour le compte du pouvoir iranien. Plusieurs indices nous mettent sur la piste de Téhéran, notamment l'usage et la référence à des infrastructures basées dans ce pays, mais aussi la concordance des cibles choisies avec les intérêts politiques du régime.

Malwares associés : POWBAT, POWRUNER, BONDUPDATER

Vecteurs d'attaque : Dans sa dernière campagne en date, APT34 a exploité la vulnérabilité CVE-2017-11882 de Microsoft Office pour déployer les malwares POWRUNER et BONDUPDATER.

APT33

Responsable présumé : Iran

Cibles : Aérospatiale, énergie

Présentation : APT33 a ciblé des entreprises de divers secteurs basées aux États-Unis, en Arabie Saoudite et en Corée du Sud. Le groupe a fait montre d'un intérêt tout particulier pour des entreprises du secteur de l'aéronautique, tant militaire que commerciale, ainsi que pour des acteurs de l'énergie impliqués dans la production pétrochimique.

Malwares associés : SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vecteurs d'attaque : APT33 a envoyé des e-mails de spear-phishing à des salariés d'entreprises du secteur de l'aéronautique. Sous couvert d'offres de recrutement, les e-mails en question comportaient des liens vers des fichiers d'application HTML (.hta) malveillants, qui contenaient quant à eux des descriptions de poste et des liens vers des sites connus d'offres d'emploi en rapport avec la fonction des personnes ciblées.

APT32

Autre nom : OceanLotus Group

Responsable présumé : Vietnam

Cibles : Entreprises étrangères investissant dans les secteurs de l'industrie manufacturière, des produits de grande consommation, du conseil et de l'hôtellerie au Vietnam

Présentation : Les activités récentes du groupe ciblaient des intérêts privés au Vietnam, ce qui laisse à penser qu'APT32 pose une menace aux sociétés à vocation commerciale ou industrielle implantées dans le pays ou cherchant à y investir. Même si la motivation de ces campagnes reste floue, elle pourrait au final compromettre la compétitivité des entreprises ciblées.

Malwares associés : SOUNDBITE, WINDSHIELD, PHOREAL, BEACON, KOMPROGO

Vecteurs d'attaque : APT32 exploite des fichiers ActiveMime recourant à l'ingénierie sociale pour inciter les victimes à activer des macros. Lors de son exécution, le fichier initialisé télécharge généralement plusieurs charges actives malveillantes à partir d'un serveur distant. Le groupe diffuse les pièces jointes malveillantes au moyen d'e-mails de spear-phishing. On a constaté que certains messages avaient été envoyés via Gmail.

APT30

Responsable présumé : Chine

Cibles : Membres de l'Association des nations de l'Asie du Sud-Est (ASEAN)

Présentation : APT30 est réputé pour sa capacité à s'implanter durablement dans un environnement, mais aussi à modifier et adapter son code source. C'est ainsi que le groupe a pu conserver les mêmes outils, tactiques et infrastructures depuis au moins 2005. Les preuves recueillies indiquent que le groupe priorise ses cibles, travaille probablement par roulement d'équipes dans un environnement collaboratif, et crée des malwares en suivant un plan de développement cohérent. En outre, il est capable d'infecter des réseaux isolés physiquement depuis 2005.

Malwares associés : SHIPSHAPE, SPACESHIP, FLASHFLOOD

Vecteurs d'attaque : APT30 utilise une suite d'outils incluant des téléchargeurs, des backdoors, un contrôleur central et plusieurs composants conçus pour infecter des supports amovibles et traverser des réseaux isolés afin de voler des données. APT30 enregistre fréquemment ses propres domaines DNS pour ses activités de commande et de contrôle (CnC) malveillantes.

APT29

Responsable présumé : Gouvernement russe

Cibles : Organismes publics d'Europe occidentale, groupes de réflexion sur la politique étrangère et autres organisations similaires

Présentation : Doué d'une grande capacité d'adaptation, APT29 est un groupe de cyberpirates méthodiques qui dissimule ses activités au sein du réseau de sa victime et communique ponctuellement d'une façon très similaire au trafic légitime. En utilisant des services Web légitimes répandus, le groupe peut également exploiter les connexions SSL cryptées, ce qui le rend encore plus difficile à détecter. APT29 est l'un des groupes de cyberpirates les plus ingénieux et évolués qui soient. Il déploie de nouveaux backdoors pour corriger ses propres bogues et ajouter d'autres fonctionnalités. Il surveille les activités et mesures de défense mises en place sur le réseau pour garder le contrôle des systèmes. APT29 utilise uniquement des serveurs compromis pour les communications avec le serveur CnC. Il neutralise les tentatives de remédiation de ses attaques et possède un cycle de développement rapide des malwares, ce qui lui permet de modifier rapidement ses outils afin de freiner leur détection.

Malwares associés : HAMMERTOSS, TDISCOVER, UPLOADER

Vecteurs d'attaque : APT29 utilise des réseaux sociaux comme Twitter ou GitHub, ainsi que des services de stockage dans le cloud, pour relayer les commandes et exfiltrer les données des réseaux compromis. Le groupe transmet les commandes via des images contenant des données masquées et cryptées. Les informations sont exfiltrées du réseau compromis et les fichiers transmis vers des services de stockage dans le cloud.

APT28

Autre nom : Tsar Team

Responsable présumé : Gouvernement russe

Cibles : Région du Caucase (spécialement la Géorgie), pays et structures militaires d'Europe de l'Est, OTAN et autres organisations de sécurité et entreprises européennes du secteur de la défense

Présentation : APT28 est une équipe de développeurs et opérateurs chevronnés qui recueille des renseignements sur les questions géopolitiques et de défense, c'est-à-dire des informations que seule une puissance étrangère est susceptible d'exploiter. Ce groupe APT compile des échantillons de malwares dotés de paramètres linguistiques russes pendant les heures ouvrables (8h-18h) du fuseau horaire des principales villes russes, dont Moscou et Saint-Pétersbourg. Ces indices laissent supposer qu'APT28 reçoit ses subsides et autres ressources d'une organisation bien établie, vraisemblablement le gouvernement russe.

Malwares associés : CHOPSTICK, SOURFACE

Vecteurs d'attaque : APT28 utilise souvent le téléchargeur SOURFACE et, dans une seconde phase, le backdoor EVILTOSS, ainsi qu'une famille modulaire d'implants appelés CHOPSTICK. Le groupe a eu recours au cryptage RSA pour protéger les fichiers et informations exfiltrées du réseau de la victime et envoyées au contrôleur. Il a également apporté des modifications incrémentielles et systématiques au téléchargeur SOURFACE et à son écosystème depuis 2007, ce qui témoigne d'une réelle volonté d'inscrire son développement dans la durée.

APT19

Autre nom : Codoso Team

Responsable présumé : Chine

Cibles : Juridique et fonds d'investissement

Présentation : Groupe vraisemblablement constitué de hackers indépendants qui bénéficient d'une certaine forme d'appui de la part du gouvernement chinois.

Malwares associés : BEACON, COBALTSTRIKE

Vecteurs d'attaque : En 2017, APT19 a utilisé trois techniques différentes pour tenter de compromettre ses cibles. Début mai, une campagne de phishing s'est basée sur des pièces jointes au format RTF qui exploitaient la vulnérabilité de Microsoft Windows CVE 2017-0199. Vers la fin du même mois, APT19 s'est mis à utiliser des documents Microsoft Excel (XLSM) contenant des macros. Dans les versions les plus récentes, APT19 a inséré dans des documents XLSM un dispositif de contournement des listes blanches d'applications autorisées. Au moins un des leurres de phishing observés diffusait une charge active Cobalt Strike.

World political

APT18

Autre nom : Wekby

Responsable présumé : Chine

Cibles : Aérospatiale et défense, ingénierie et construction, éducation, santé et biotechnologies, hautes technologies, télécommunications, transports

Présentation : Très peu d'informations ont été publiées au sujet de ce groupe.

Malwares associés : Gh0st RAT

Vecteurs d'attaque : Par le passé, le groupe a souvent développé ou adapté des exploits zero-day dans le cadre d'opérations probablement bien planifiées à l'avance. Par ailleurs, il a utilisé des données fuitées lors de l'attaque de la firme Hacking Team, preuve de la capacité d'APT18 à changer ses méthodes (sélection des cibles, préparation de l'infrastructure, élaboration des messages, mise à jour des outils) pour profiter d'exploits nouvellement découverts.

APT17

Autre nom : Tailgator Team, Deputy Dog

Responsable présumé : Chine

Cibles : Organismes publics aux États-Unis, entreprises informatiques et cabinets juridiques internationaux

Présentation : APT17 s'infiltre dans les réseaux d'organisations ciblées.

Malwares associés : Blackcoffee

Vecteurs d'attaque : Par le passé, ce groupe a créé des profils et publié des messages sur des forums en y incorporant un CnC encodé et relié à une variante du malware employé. Cette technique peut rendre difficile la localisation de l'emplacement réel du serveur CnC, ce qui permet aux attaquants de rester actifs plus longtemps.

APT16

Responsable présumé : Chine

Cibles : Entreprises japonaises et taïwanaises des secteurs des hautes technologies, des services publics, des médias et des services financiers

Présentation : Basé en Chine, ce groupe vise les milieux politiques et journalistiques taïwanais.

Malwares associés : IRONHALO, ELMER

Vecteurs d'attaque : Par le passé, APT16 a envoyé des e-mails de spear-phishing à des groupes de médias et comptes de messagerie Web taïwanais. Il s'est également servi de documents leurres contenant des instructions pour le référencement d'articles sur un site d'enchères taïwanais.

World political

APT12

Autre nom : Calc Team

Responsable présumé : Chine

Cibles : Journalistes, gouvernement, industrie de la défense

Présentation : APT12 est un groupe de cyberespionnage suspecté d'avoir des liens avec l'Armée populaire' de libération chinoise. Les' cibles choisies concordent avec les objectifs géopolitiques' de la République populaire de Chine, et plus particulièrement avec ses visées sur Taïwan.

Malwares associés : RIPTIDE, HIGHTIDE, THREBYTE, WATERSPOUT

Vecteurs d'attaque : FireEye a pu observer la manière dont APT12 a diffusé ses documents malveillants au moyen d'e-mails de phishing envoyés à partir de comptes valides mais compromis. Compte tenu des activités passées d'APT12, le groupe d'attaque devrait continuer à faire appel au phishing pour propager des malwares.

APT10

Autre nom : Menupass Team

Responsable présumé : Chine

Cibles : Entreprises des secteurs de l'ingénierie et de la construction, de l'aérospatiale et des télécommunications, et organismes publics aux États-Unis, en Europe et au Japon

Présentation : APT10 est un groupe de cyberespionnage chinois que FireEye traque depuis 2009. Ses activités passées montrent qu'il cible essentiellement des entreprises des secteurs de l'ingénierie et de la construction, de l'aérospatiale et des télécommunications, ainsi que des organismes publics aux États-Unis, en Europe et au Japon. Ce faisant, APT10 sert manifestement les intérêts des services de renseignement chinois, tant dans les domaines militaires que de l'intelligence économique.

Malwares associés : HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT

Vecteurs d'attaque : Les activités récentes d'APT10 ont porté sur du spear-phishing classique et des infiltrations de réseaux par l'intermédiaire de fournisseurs de services managés. (Pour en savoir plus sur l'infection via un fournisseur de services, consultez le rapport M-Trends 2016). Assez peu sophistiquées, les attaques de spear-phishing d'APT10 exploitent des fichiers .lnk dans des archives, des fichiers à double extension (par exemple, [Redacted]_Group_Meeting_Document_20170222_doc_.exe) et, dans certains cas, une simple archive contenant un document leurre et un lanceur portant le même nom. Outre ces attaques de spear-phishing, FireEye iSIGHT Intelligence a observé des intrusions réseau d'APT10 via des fournisseurs de services managés.

APT5

Responsable présumé : Inconnu

Cibles : Opérateurs télécoms locaux, salariés basés en Asie d'opérateurs télécoms internationaux, et entreprises du high-tech et des technologies à usage militaire

Présentation : Le groupe APT5 est actif depuis au moins 2007. S'il a ciblé ou compromis les systèmes d'entreprises de secteurs divers, il semble concentrer ses efforts sur des acteurs des télécommunications et des technologies, tout particulièrement dans le domaine des communications satellite.

Malwares associés : LEOUNCIA

Vecteurs d'attaque : APT5 est vraisemblablement un groupe d'attaque de grande envergure, constitué de plusieurs sous-groupes recourant à des tactiques et infrastructures distinctes. Le groupe exploite des malwares enregistreurs de saisies clavier pour cibler en particulier les réseaux, le personnel et les 'cadres dirigeants d'opérateurs télécoms.

APT3

Autre nom : UPS Team

Responsable présumé : Chine

Cibles : Aérospatiale et défense, ingénierie et construction, hautes technologies, télécommunications, transports

Présentation : Désigné sous le nom d'APT3 par FireEye, ce groupe d'attaque basé en Chine est l'un des plus sophistiqués que FireEye ait traqué à ce jour. Sa spécialité est d'exploiter les vulnérabilités zero-day de grands navigateurs Internet (par exemple, Internet Explorer, Firefox et Adobe Flash Player). Une fois un hôte cible compromis, le groupe extrait rapidement des identifiants, se déplace latéralement vers d'autres hôtes et installe des backdoors personnalisés. L'infrastructure de commande et contrôle (CnC) d'APT3 est difficile à localiser, dans la mesure où les différentes campagnes ont peu de points communs.

Malwares associés : SHOTPUT, COOKIECUTTER, SOGU

Vecteurs d'attaque : Le plus souvent génériques, les e-mails de phishing utilisés par APT3 s'apparentent à du spam. Ses attaques passées ont exploité une vulnérabilité non corrigée d'Adobe Flash Player affectant son mode d'analyse des fichiers vidéo Flash (FLV). L'exploit en question fait appel à des techniques de corruption courantes pour contourner la distribution aléatoire de l'espace d'adressage (ASLR) et s'appuie sur la programmation orientée retour (ROP) pour contourner le dispositif de prévention de l'exécution des données (DEP). Un procédé habile dans la technique ROP utilisée simplifie son exploitation et permet au groupe d'échapper à certains dispositifs de détection des attaques ROP. Le fichier d'exploit Adobe Flash Player compressé renferme un shellcode et une clé servant à son décryptage. Encodée en XOR, la charge active est dissimulée dans une image.

APT1

Autre nom : Unité 61398, Comment Crew

Responsable présumé : 3e département de l'état-major général de l'Armée populaire de libération de Chine (总参三部二局), plus connu sous son nom de code « Unité 61398 » (61398部队).

Cibles : High-tech, aérospatiale, pouvoirs publics, satellites et télécommunications, recherche et conseil scientifique, énergie, transports, construction, industrie manufacturière, services d'ingénierie, électronique de pointe, organisations internationales, services juridiques, publicité, médias et divertissement, systèmes de navigation, industrie chimique, services financiers, agroalimentaire, santé, industrie minière et métallurgique, éducation

Présentation : APT1 a fait main basse sur des centaines de téraoctets de données d'au moins 141 entreprises et organismes de pouvoirs publics, attaquant parfois plusieurs dizaines d'entre eux simultanément. Le groupe s'attaque aux systèmes d'entreprises de secteurs très variés dans des pays anglophones. La taille de l'infrastructure d'APT1 laisse penser qu'il s'agit d'une cellule de grande envergure comportant des dizaines, voire des centaines d'opérateurs.

Malwares associés : TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

Vecteurs d'attaque : Le spear-phishing est la méthode de compromission initiale la plus souvent observée. Les e-mails de spear-phishing contiennent soit une pièce jointe malveillante, soit un lien vers un fichier malveillant. L'objet et le corps du message sont généralement personnalisés en fonction du destinataire. APT1 crée également des comptes de messagerie Web à partir des noms de personnes réelles. Bien que les attaquants d'APT1 utilisent parfois des backdoors disponibles dans le domaine public (Poison Ivy, Gh0st RAT, etc.), ils élaborent la plupart du temps des backdoors de leur propre cru. Pendant toute la durée d'implantation sur le réseau (qui peut parfois durer des années), ils installent souvent de nouveaux backdoors à mesure qu'ils compromettent d'autres systèmes de l'environnement. Par conséquent, si un backdoor est détecté et supprimé, ils disposent toujours d'autres backdoors en réserve. C'est ainsi que l'on découvre généralement plusieurs familles de backdoors d'APT1 disséminés à travers le réseau d'une victime au bout de plusieurs mois de présence du groupe.

Conclusion

En dépit des informations utiles qu'il contient, ce document ne peut prétendre remplacer les rapports de cyberveille détaillés et les investigations poussées menées par FireEye sur des cyberattaques présumées. Ces dix dernières années, FireEye a consacré plus de 100 000 heures par an à intervenir sur des violations de sécurité majeures aux quatre coins de la planète. Cette longue expérience des interventions sur incidents, menées au travers des six centres de sécurité (SOC) de FireEye dans le monde, est codifiée et réinjectée dans un écosystème de sécurité symbiotique, auto-apprenant et mis à jour toutes les heures.

Les experts de FireEye s'appuient sur cet écosystème pour suivre à la trace plus de 30 auteurs d'attaques avancées et plus de 300 familles de malwares avancés. Ils gèrent également les profils de plus de 10 États connus pour leur implication dans les cyberattaques et plus de 40 secteurs ciblés. Leur objectif : surveiller et analyser les dimensions financières et politiques des cybermenaces dans le monde entier. Les experts de FireEye peuvent non seulement déterminer le risque et les méthodes d'infiltration et de propagation d'une menace avérée, mais aussi les mesures à prendre pour la contrer. Ces connaissances sont distribuées sous la forme d'une cyberveille contextuelle qui aide les entreprises clientes à prioriser et intervenir rapidement et efficacement sur des menaces sophistiquées et critiques.

Autres lectures recommandées Rapports de veille des menaces