Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Advanced Persistent Threat: Was ist das?

14.07.2020        Bedrohungslage
Advanced Persistent Threat: Was ist das?
iStock 1144604245

Technisch fortschrittlich, besonders hartnäckig und schwer aufspürbar: Diese Art von Cyber-Attacke wird in der IT-Sicherheit als Advanced Persistent Threat (kurz: APT) bezeichnet. Spricht man von einem bestimmten APT, sind die verantwortlichen Täter gemeint, nicht aber verwendete Programme oder Techniken. Ihre Entdeckung ist allerdings so selten, dass entlarvte APTs nummeriert werden. Meistens arbeiten Advanced Persistent Threats im Auftrag von Regierungen, Geheimdiensten oder Konzernen, denn ihre Operationen nehme extrem hohe zeitliche, menschliche und finanzielle Ressourcen in Anspruch.

APT vs. andere Cyber-Attacken

Die häufigsten Methoden der Cyber-Kriminalität benötigen wenige Ressourcen und werden breit gestreut. Schadprogramme oder Phishing treffen in den meisten Fällen völlig willkürliche Opfer. Nach einer erfolgreichen Infiltrierung greifen die Täter an Daten ab, was sie kriegen können. 

Oft werden strategische Cyber-Angriffe auf einzelne Unternehmen oder Staatsapparate als APT bezeichnet. Dies ist jedoch eine starke Vereinfachung des Begriffs. DDoS-Angriffe zum Beispiel sind beinahe immer zielgerichtet, aber bleiben nicht unentdeckt. Sie dienen als relativ stumpfes Werkzeug, um Opfer zu lähmen und zu einer bestimmten Aktion zu bewegen. APT-Teams hingegen möchten unter dem Radar agieren und die Unwissenheit der Geschädigten für sich nutzen. Es handelt sich um umfangreiche Geheimoperationen

Kennzeichen eines Advanced Persistent Threat

  • Opfer: Angriff auf definiertes Ziel mit individueller Strategie
  • Motivation: 
    • Definierte Zielvorgaben (z. B. Datenentnahme, Datenmanipulation, Zugriff auf System)
    • wirtschaftliche, militärische und/oder politische Interessen
    • Spionage und Sabotage im Digitalzeitalter
  • Ablauf: 
    • Operation soll möglichst lange unentdeckt bleiben
    • Mehrstufige Projektphase über mehrere Monate oder Jahre
  • Angriff: 
    • Kombination mehrerer Angriffstechniken
  • Täter: 
    • Ausführung durch hochspezialisiertes Team
    • Externe Finanzierung
  • Ressourcen: Hohe Kosten für Technik und Personal 

Ziel eines Advanced Persistent Threat

Die Ziele eines persistenten Angriffs werden schon zu Beginn der Planungsphase genau definiert. 

Beispiele:

  • Dauerhafte Spionage
  • Entnahme sensibler Informationen oder Kommunikationsverläufe
  • Militärische Geheimnisse wie Strategien, Pläne, Standorte, Personendaten

Zwei nebengeordnete Ziele sind in jedem Fall gegeben: Der unentdeckte Zugang zu den relevanten Systemen sowie das Verwischen von Spuren nach dem Rückzug eines Advanced Persistent Threat. Es ist davon auszugehen, dass viele APTs noch unentdeckt arbeiten oder sich bereits unbemerkt zurückgezogen haben. Nur solche, die entlarvt werden, sind öffentlich bekannt.


Zur Zero Touch WAF von Link11


Strategische Abwehr

Oftmals ist die Methodik der Täter so komplex, dass betroffene Unternehmen einen feindlichen Zugriff zwar wahrnehmen, aber ein schneller Gegenschlag quasi unmöglich ist. Die Wahrscheinlichkeit, dass ein APT mithilfe einer schnellen Reaktion restlos und nachhaltig entfernt werden kann, ist gering. Bevor sich die Hacker im System vorantasten, haben sie in der Regel schon mehrere Backdoors an unterschiedlichen Stellen eingebaut, die den permanenten Zugang ermöglichen.

Aus diesem Grund ziehen es Unternehmen manchmal vor, die Hacker für einen gewissen Zeitraum gewähren zu lassen, während wichtige Ressourcen isoliert werden. So können das Vorgehen des APT untersucht und Systemzugänge lokalisiert werden. Ein Beispiel ist der Fall der Telekom Austria, die im Winter 2019 Opfer eines APT wurde (LINK11 berichtete). Erst nach rund sechs Monaten wurden die Cyber-Kriminellen mit einem Rundumschlag aus dem System verdrängt.  

Ablauf eines Advanced Persistent Threat

Erfolgreiche APTs verfolgen eine komplexe, langfristige Strategie. Dies wäre ein denkbarer Ablauf:

Vorbereitung

  • Definition der Ziele
  • Zusammenstellung des Expertenteams
  • Intensive Recherchearbeiten
  • Kauf oder Erstellung benötigter Softwares
  • Testphase

Angriff

  • Deployment
  • Erster Zugriff auf das System
  • Herstellung einer externen Verbindung 
  • Ausweitung verfügbarer Rechte
  • Ausbau des Zugriffs
  • Entnahme der Zieldaten

Rückzug

  • Permanente Zugriffswege einrichten und absichern
  • Verwischen der Spuren

Liste bekannter Advanced Persistent Threats

Dies ist eine Übersicht der bekannten und von IT-Experten analysierten APTs. Die Bezeichnungen stammen im Normalfall nicht von den Hackergruppen selbst, sondern werden von international tätigen IT-Sicherheitsfirmen vergeben, die sich auch mit der Forensik der Hacks befassen. Aus diesem Grund haben die meisten nummerierten APTs zwei, häufig aber bis zu fünf Synonyme. Die am weitesten bekannten Namen wurden vom IT-Unternehmen Crowdstrike festgelegt. Ihre Bezeichnungen bündeln die Herkunftsländer der Gruppen durch Tiernamen wie Panda, Bär, Spinne oder Kitten. Einige Zahlen (APT7, APT11, APT13, APT24, APT25) sind in der Übersicht ausgespart, da nötige Informationen bisher unbekannt sind.


APTName der Hackergruppe(Mutmaßliches) Ursprungsland
1Comment Panda / PLA Unit 61398CHN
2Putter Panda / PLA Unit 61486CHN
3Gothic PandaCHN
4Samurai PandaCHN
5Bronze FleetwoodCHN
61.php Group CHN
8CHN
9Nightshade PandaCHN
10Stone Panda / Red ApolloCHN
12Numbered Panda / CalcCHN
14Anchor PandaCHN
15Vixen Panda / Ke3changCHN
16 SVCMONDRCHN
17 Aurora Panda / Deputy Dog
CHN
18Dynamite Panda / WekbyCHN
19Deep Panda / Codoso CHN
20 Violin PandaCHN
21NetTravelerCHN
22Wicked Spider / Bronze OliveCHN
23Pirate PandaCHN
26Deep PandaCHN
27Goblin PandaCHN
28Fancy Bear / SofacyRUS
29Cozy BearRUS
30Override Panda / PLA Unit 78020CHN
31Hurricane PandaCHN
32OceanLotus/ Ocean BuffaloVNM
33Refined Kitten / EflinIRN
34Helix KittenIRN
35Charming KittenIRN
36Mythic LeopardPAK
37Stardust ChollimaPKR
38Labyrinth Chollima / LazarusPKR
39Remix Kitten / ChaferIRN
40Kryptonite Panda / PeriscopeCHN
41Wicked Panda / Double DragonCHN

Die Liste veranschaulicht, dass die ersten und gleichzeitig die meisten bekannten APTs aus China stammen. APT1 soll bereits seit 2002 aktiv gewesen sein. Experten vermuten, dass mehr als 1.000 Attacken auf die chinesischen Hacker zurückgehen. Im Jahr 2014 erhob das US-Amerikanische Justizministerium Anklage gegen fünf bekannte Mitglieder der Gruppe.

Im Verlauf der Zeit wurden aber auch andere Länder aktiver. Neben den nummerierten Advanced Persistent Threats gab und gibt es unzählige weitere Hackergruppen. Einige arbeiten völlig unabhängig von Staaten oder erwachsen aus globalen, ideologischen Zusammenschlüssen einzelner Hacktivisten. Einen detaillierten Überblick bekannter Teams, ihrer Ziele und Methoden bietet zum Beispiel diese Studie von ThaiCERT.

APT in Deutschland: Fancy Bear

Der wohl bekannteste Fall in Deutschland ist der Hackerangriff auf den Deutschen Bundestag im Jahr 2015 (APT28). Untersuchungen zufolge wird die Attacke dem Kollektiv Fancy Bear (auch: Sofacy-Gruppe) zugeschrieben. Die Gruppe soll dem russischen Militärnachrichtendienst GRU angehören. Der Zugriff auf das Bundestagsnetz Parlakom wurde durch eine gängige Social Engineering-Methode erreicht: E-Mails an Abgeordnete brachten per Klick Trojaner in Umlauf. IT-Experten vermuten, dass die Hacker ungefähr sechs Monate unentdeckt operierten und 16 Gigabyte Daten erbeuten konnten. Trittbrettfahrer der Gruppe nutzen den Namen Fancy Bear weiterhin.

Im Mai 2020, genau fünf Jahre nach der Entdeckung des APT, erhob die Bundesanwaltschaft einen internationalen Haftbefehl gegen GRU-Offizier Dmitriy Badin. Ermittler des BKA und der Bundespolizei hatten ihn als einen der Tatverdächtigen identifiziert. Der 29-jährige Badin ist kein unbeschriebenes Blatt: Er steht weiterhin unter Verdacht, mitverantwortlich für die Hackerangriffe auf die Demokratische Partei im Zuge des US-Amerikanischen Wahlkampfes 2016 und auf die Welt-Anti-Doping-Agentur WADA zu sein.


Jetzt über DDoS-Schutz von Link11 informieren


Zukunft der Cyberwarfare

Wer sich mit dem Thema „Fortgeschrittene, Hartnäckige Bedrohung” beschäftigt, wird sofort an Spionage-Thriller aus der Zeit des Kalten Krieges erinnert. Geheimoperationen, Lauschangriffe und Agenten, die Zielobjekte observieren und Zugang zu hochinnovativer Technik haben. Nicht selten hat der Angriff auch eine menschliche Komponente, d. h. es gibt Zielpersonen, die manipuliert werden sollen. Durch Social Engineering wird so ein Zugriff erlangt, der über andere Kanäle nicht möglich wäre.

Gefahr von APT ist global

Der Global Threat Report 2020 von Crowdstrike unterstreicht, dass viele der enttarnten Hackergruppen nach wie vor aktiv sind. Mehrere Gruppen aus China, dem Iran, Nordkorea, Pakistan, Indien, Russland und Vietnam führten im Jahre 2019 hochvolumige Operationen durch.

Advanced Persistent Threats nach Herkunftsland 2019

  • Russland: 22 %
  • Iran: 21 %
  • Nordkorea: 18 %
  • China: 15 %
  • Indien/Pakistan: 14 %

Neben staatlich finanzierten Hackergruppen zählen noch zwei weitere relevante Gruppen zu den APT: Hacktivisten arbeiten aus persönlichen oder politisch-ideologischen Motiven, Cyber-Söldner (Cybercrime as a Serive) werden als Freelancer beauftragt.

Betroffene Sektoren 2019

  1. Telekommunikation
  2. Regierung
  3. Forschung
  4. Finanzen / Banken
  5. Energie
  6. Bildung
  7. Militär
  8. Computerspiele
  9. Gesundheitsversorgung
  10. Medien

Trends der Hacker

Crowdstrike betont, dass die Nutzung von Ransomware für umfangreiche Attacken zunimmt. Gleichzeitig geht die Verwendung klassischer Malware zurück. Stattdessen liegt der Fokus auf gestohlenen Benutzerzugängen, um einen authentischen Zugang zu erhalten. Um solche User-Logins zu erhalten, sind verschiedene Methoden des Social Engineering nach wie vor beliebt: telefonische Manipulation, infizierte USB-Sticks, E-Mail-Anhänge und Links.

Schutz vor Advanced Persistent Threats

Alle Aktivitäten eines APT sind exakt darauf ausgelegt, nicht entdeckt zu werden. Viele Ressourcen wandern vorab in die Recherche der Sicherheitsarchitektur des Ziels, um keine schlafenden Hunde zu wecken. Jeder weitere Schritt erfolgt danach sehr behutsam, damit ein erster Alarm nicht die ganze Operation scheitern lässt. Und vergessen Sie nicht: Ihre Gegner sind in diesem Szenario extrem spezialisierte Fachleute, die nur ein Ziel verfolgen. Aus diesen Gründen ist die Absicherung gegen fortschrittliche Hacker-Teams besonders aufwendig. 

Tipps von IT-Sicherheitsexperten

Auch wenn die Abwehr oder Enttarnung eines APT schwierig ist, sind Unternehmen nicht völlig hilflos gegenüber den Eindringlingen. Nicht selten befinden sich Sicherheitsexperten und Hacker in einem Wettkampf der Ressourcen.

  • Intensives Monitoring aller Daten (Security Operations Center)
  • Protokollierung aller wichtigen Ereignisse (Proxy, Webserver, DNS….)
  • Durchschnittliche Aktivitäten festhalten, Abweichungen untersuchen
  • Anomalien in Log-Daten beobachten
  • Zugriffsrechte zu IT-Systemen und Firewall streng verwalten
  • Nicht-autorisierte Rechteerweiterungen blockieren
  • Verwendung von Betriebssystem-Tools (z. B. Windows PowerShell) überwachen
  • Änderungen an und Zugriffe auf sensible Daten beobachten
  • Physische Absicherung des Rechenzentrums stärken
  • Patch-Management etablieren
  • Mitarbeiter-Schulungen rund um das Thema Social Engineering
  • Incident Response Plan erarbeiten

Quellen:

  • Global Threat Report 2020, Crowdstrike, 2020
  • State sponsored cyber attacks, Swedish Security & Defense Industry Association (SOFF), ca. 2017 [PDF]
  • Threat Group Cards: A Threat Actor Encyclopeida, ThaiCERT, Version 1.01, Juni 2019 [PDF]

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter