Qu’est-ce qu’une menace persistante avancée (MPA) ?

Une menace persistante avancée (MPA) est un programme sophistiqué et systématique de cyberattaque qui se déploie pendant une longue période de temps, souvent orchestré par un groupe de pirates informatiques de haut niveau. Le groupe de hackers, ou la MPA elle-même, conçoit l’attaque avec un motif particulier qui peut aller du sabotage à l’espionnage industriel.

Du vol de propriété intellectuelle à l’obtention de données financières personnelles, les MPA sont conçues pour contourner toutes les mesures de sécurité que vous avez mises en place, afin de causer autant de dégâts et de perturbations que possible. Un criminel déterminé et expérimenté (ou plus probablement une association de criminels) peut utiliser plusieurs points d’entrée et vecteurs pour obtenir ce qu’il veut, et pourrait échapper à la détection pendant des mois, voire des années.

Une MPA déploie au fil du temps et suit généralement un certain nombre d’étapes, comme suit :

1. L’acteur de la menace s’infiltre dans le réseau. Ceci peut se faire par le biais d’un courriel de phishing, d’une pièce jointe malveillante ou en exploitant la vulnérabilité d’une application. Cela implique généralement l’implantation de malwares (logiciels malveillants) quelque part sur le réseau.
2. Le malware recherche des vulnérabilités, ou communique avec des serveurs de commande et de contrôle externes (C&C) pour obtenir des instructions supplémentaires ou du code additionnel.
3. Des compromissions supplémentaires sont souvent établies par le malware pour garantir que l’attaque peut toujours se poursuivre même si un point d’entrée ou une vulnérabilité spécifique est fermé ou renforcé.
4. Une fois qu’un cybercriminel a établi qu’il a effectivement réussi à accéder au réseau, il peut se mettre au travail. Cela peut impliquer la collecte de noms de comptes et de mots de passe, le vol de fichiers confidentiels ou la suppression de données.
5. Le malware utilise un serveur local intermédiaire pour collecter des données. Ces données sont ensuite exfiltrées sur un serveur externe par l’acteur de la menace. À ce stade, cela veut dire qu’il y a une faille de sécurité béante dans le réseau, bien que l’acteur de la menace fasse tout son possible pour couvrir ses traces et supprimer toute preuve afin de pouvoir revenir et répéter le processus autant de fois que possible.

Les menaces persistantes avancées sont très souvent commanditées par de très grandes organisations ou par des nations. Les premiers signes de leur existence remontent aux années 1980. Le célèbre livre de Clifford Stoll, The Cuckoo’s Egg, raconte l’histoire d’un analyste système obsédé par la recherche d’un hacker qui avait accédé au réseau du Lawrence Berkeley National Laboratory, et du jeu du chat et de la souris qui s’en est suivi. La traque qui a duré plusieurs années, et eut comme conséquence la vente de volumes importants de données sensibles au KGB soviétique, avant que le pirate ne soit capturé.

Les MPA d’aujourd’hui impliquent toujours les mêmes mécaniques de chat et de souris, mais elles utilisent des techniques très sophistiquées et sont effectuées par des groupes importants d’individus opérant en parfaite coordination. Les menaces de souche Hydraq en sont un exemple, et elles ont ciblé un certain nombre de réseaux de haute valeur dont Adobe Systems, Juniper Networks et Rackspace, le tout orchestré par un cheval de Troie qui serait originaire de Chine. D’autres entreprises de secteurs critiques telles que des banques, des sociétés d’exploitation de gaz et de pétrole, ainsi que de prestataires de sécurité ont également été ciblées, mais ces entreprises n’ont pas divulgué publiquement ces incidents.

Malheureusement, les mesures de sécurité traditionnelles telles que les firewalls, les défenses en profondeur et les solutions antivirus ne peuvent pas protéger efficacement une organisation contre une attaque de MPA. Des solutions avancées de détection des menaces persistantes sont requises, qui sont capables d’intercepter les attaques potentielles en utilisant les informations les plus récentes sur la méthodologie de la menace et sur les acteurs qui tirent les ficelles.

Advanced Malware Detection de Forcepoint est votre première et dernière ligne de défense contre les attaques MPA. Notre solution est conçue pour empêcher la création de failles nocives par les malwares de type zero-day, même les plus discrets, et pour donner à vos équipes d’intervention aux incidents les outils et les informations dont elles ont besoin pour réagir aux menaces aussi rapidement et efficacement que possible.