Technisch fortschrittlich, besonders hartnäckig und schwer aufspürbar: Diese Art von Cyber-Bedrohung wird in der IT-Sicherheit als Advanced Persistent Threat (kurz: APT) bezeichnet. Spricht man von einem bestimmten APT, sind die verantwortlichen Täter gemeint, nicht aber verwendete Programme oder Techniken. Ihre Entdeckung ist allerdings so selten, dass entlarvte APTs nummeriert werden.
Von einem Advanced Persistent Threat (= APT) spricht man, wenn ein exzellent ausgebildeter Angreifer zum Zweck der Sabotage oder Spionage ein Netz oder ein System geziehlt angreift – und das über einen längeren Zeitrahmen hinweg. Nicht selten sind solche Angreifer staatlich gesteuert und verfolgen polititische Ziele.
Neben bekannten Großunternehmen aus einer Vielzahl von Branchen werden zudem Beratungsunternehmen oder spezialisierte mittelständische Unternehmen (z.B. Zulieferer) nicht selten Opfer eines solchen Übergriffs.
Das Ziel eines APT sind vertrauliche und hochsensible Geschäftsinformationen, die beispielsweise Forschungsergebnisse, unternehmenspolitische Entscheidungen, gschützte Herstellungsverfahren oder generelles geistiges EIgentum beinhalten.
Die häufigsten Methoden bei einem Cybercrime benötigen wenige Ressourcen und werden breit gestreut. Schadprogramme oder Phishing treffen in den meisten Fällen völlig willkürliche Opfer. Nach einer erfolgreichen Infiltrierung greifen die Täter an Daten ab, was sie kriegen können.
Oft werden strategische Cyberangriffe auf einzelne Unternehmen oder Staatsapparate als APT-Angriffe bezeichnet. Dies ist jedoch eine starke Vereinfachung des Begriffs. DDoS-Attacken zum Beispiel sind beinahe immer zielgerichtet, aber bleiben nicht unentdeckt.
Sie dienen als relativ stumpfes Werkzeug, um Opfer zu lähmen und zu einer bestimmten Aktion zu bewegen.
APT-Teams hingegen möchten unter dem Radar agieren und die Unwissenheit der Geschädigten für sich nutzen. Es handelt sich um umfangreiche Geheimoperationen.
Die Ziele eines persistenten Angriffs werden schon zu Beginn der Planungsphase genau definiert.
Beispiele:
Zwei nebengeordnete Ziele sind in jedem Fall gegeben: Der unentdeckte Zugang zu den relevanten Systemen sowie das Verwischen von Spuren nach dem Rückzug eines Advanced Persistent Threat. Es ist davon auszugehen, dass viele APT-Angriffe noch unentdeckt arbeiten oder sich bereits unbemerkt zurückgezogen haben.
Nur solche, die entlarvt werden, sind öffentlich bekannt.
Oftmals ist die Methodik der Täter so komplex, dass betroffene Unternehmen einen feindlichen Zugriff zwar wahrnehmen, aber ein schneller Gegenschlag quasi unmöglich ist. Die Wahrscheinlichkeit, dass ein APT mithilfe einer schnellen Reaktion restlos und nachhaltig entfernt werden kann, ist gering.
Bevor sich die Hacker im System vorantasten, haben sie in der Regel schon mehrere Backdoors an unterschiedlichen Stellen eingebaut, die den permanenten Zugang ermöglichen.
Aus diesem Grund ziehen es Unternehmen manchmal vor, die Hacker für einen gewissen Zeitraum gewähren zu lassen, während wichtige Ressourcen isoliert werden. So können das Vorgehen des APT untersucht und Systemzugänge lokalisiert werden.
Ein Beispiel ist der Fall der Telekom Austria, die im Winter 2019 Ziel eines APT wurde (LINK11 berichtete). Erst nach rund sechs Monaten wurden die Cyber-Kriminellen mit einem Rundumschlag aus dem System verdrängt.
Erfolgreiche APTs verfolgen eine komplexe, langfristige Strategie. Dies wäre ein denkbarer Ablauf:
Dies ist eine Übersicht der bekannten und von IT-Experten analysierten APTs. Die Bezeichnungen stammen im Normalfall nicht von den Hackergruppen selbst, sondern werden von international tätigen IT-Sicherheitsfirmen vergeben, die sich auch mit der Forensik der Hacks befassen.
Aus diesem Grund haben die meisten nummerierten APTs zwei, häufig aber bis zu fünf Synonyme.
Die am weitesten bekannten Namen wurden vom IT-Unternehmen Crowdstrike festgelegt. Ihre Bezeichnungen bündeln die Herkunftsländer der Gruppen durch Tiernamen wie Panda, Bär, Spinne oder Kitten.
Einige Zahlen (APT7, APT11, APT13, APT24, APT25) sind in der Übersicht ausgespart, da nötige Informationen bisher unbekannt sind.
| APT | Name der Hackergruppe | (Mutmaßliches) Ursprungsland |
|---|---|---|
| 1 | Comment Panda / PLA Unit 61398 | CHN |
| 2 | Putter Panda / PLA Unit 61486 | CHN |
| 3 | Gothic Panda | CHN |
| 4 | Samurai Panda | CHN |
| 5 | Bronze Fleetwood | CHN |
| 6 | 1.php Group | CHN |
| 8 | ? | CHN |
| 9 | Nightshade Panda | CHN |
| 10 | Stone Panda / Red Apollo | CHN |
| 12 | Numbered Panda / Calc | CHN |
| 14 | Anchor Panda | CHN |
| 15 | Vixen Panda / Ke3chang | CHN |
| 16 | SVCMONDR | CHN |
| 17 | Aurora Panda / Deputy Dog | CHN |
| 18 | Dynamite Panda / Wekby | CHN |
| 19 | Deep Panda / Codoso | CHN |
| 20 | Violin Panda | CHN |
| 21 | NetTraveler | CHN |
| 22 | Wicked Spider / Bronze Olive | CHN |
| 23 | Pirate Panda | CHN |
| 26 | Deep Panda | CHN |
| 27 | Goblin Panda | CHN |
| 28 | Fancy Bear / Sofacy | RUS |
| 29 | Cozy Bear | RUS |
| 30 | Override Panda / PLA Unit 78020 | CHN |
| 31 | Hurricane Panda | CHN |
| 32 | OceanLotus/ Ocean Buffalo | VNM |
| 33 | Refined Kitten / Eflin | IRN |
| 34 | Helix Kitten | IRN |
| 35 | Charming Kitten | IRN |
| 36 | Mythic Leopard | PAK |
| 37 | Stardust Chollima | PKR |
| 38 | Labyrinth Chollima / Lazarus | PKR |
| 39 | Remix Kitten / Chafer | IRN |
| 40 | Kryptonite Panda / Periscope | CHN |
| 41 | Wicked Panda / Double Dragon | CHN |
Die Liste veranschaulicht, dass die ersten und gleichzeitig die meisten bekannten APTs aus China stammen. APT1 soll bereits seit 2002 aktiv gewesen sein. Experten vermuten, dass mehr als 1.000 Attacken auf die chinesischen Hacker zurückgehen.
Im Jahr 2014 erhob das US-Amerikanische Justizministerium Anklage gegen fünf bekannte Mitglieder der Gruppe.
Im Verlauf der Zeit wurden aber auch andere Länder aktiver. Neben den nummerierten Advanced Persistent Threats gab und gibt es unzählige weitere Hackergruppen. Einige arbeiten völlig unabhängig von Staaten oder erwachsen aus globalen, ideologischen Zusammenschlüssen einzelner Hacktivisten.
Der wohl bekannteste Fall in Deutschland ist der Hackerangriff auf den Deutschen Bundestag im Jahr 2015 (APT28). Untersuchungen zufolge wird die Attacke dem Kollektiv Fancy Bear (auch: Sofacy-Gruppe) zugeschrieben. Die Gruppe soll dem russischen Militärnachrichtendienst GRU angehören.
Der Zugriff auf das Bundestagsnetz Parlakom wurde durch eine gängige Social Engineering-Methode erreicht: E-Mails an Abgeordnete brachten per Klick Trojaner in Umlauf.
IT-Experten vermuten, dass die Hacker ungefähr sechs Monate unentdeckt operierten und 16 Gigabyte Daten erbeuten konnten. Trittbrettfahrer der Gruppe nutzen den Namen Fancy Bear weiterhin.
Im Mai 2020, genau fünf Jahre nach der Entdeckung des APT, erhob die Bundesanwaltschaft einen internationalen Haftbefehl gegen GRU-Offizier Dmitriy Badin. Ermittler des BKA und der Bundespolizei hatten ihn als einen der Tatverdächtigen identifiziert.
Der 29-jährige Badin ist kein unbeschriebenes Blatt: Er steht weiterhin unter Verdacht, mitverantwortlich für die Hackerangriffe auf die Demokratische Partei im Zuge des US-Amerikanischen Wahlkampfes 2016 und auf die Welt-Anti-Doping-Agentur WADA zu sein.
Jetzt über DDoS-Schutz von Link11 informieren
Wer sich mit dem Thema „Fortgeschrittene, hartnäckige Bedrohung” beschäftigt, wird sofort an Spionage-Thriller aus der Zeit des Kalten Krieges erinnert. Geheimoperationen, Lauschangriffe und Agenten, die Zielobjekte observieren und Zugang zu hochinnovativer Technik haben.
Nicht selten hat der Angriff auch eine menschliche Komponente, d. h. es gibt Zielpersonen, die manipuliert werden sollen. Durch Social Engineering wird so ein Zugriff erlangt, der über andere Kanäle nicht möglich wäre.
Der Global Threat Report 2022 von Crowdstrike unterstreicht, dass viele der enttarnten Hackergruppen nach wie vor aktiv sind. Mehrere Gruppen aus China, dem Iran, Nordkorea, Pakistan, Indien, Russland und Vietnam führten im Jahre 2019 hochvolumige Operationen durch.
Neben staatlich finanzierten Hackergruppen zählen noch zwei weitere relevante Gruppen zu den APT: Hacktivisten arbeiten aus persönlichen oder politisch-ideologischen Motiven, Cyber-Söldner (Cybercrime-as-a-Serive) werden als Freelancer beauftragt.
Crowdstrike betont, dass die Nutzung von Ransomware für umfangreiche Attacken zunimmt. Gleichzeitig geht die Verwendung klassischer Malware zurück. Stattdessen liegt der Fokus auf gestohlenen Benutzerzugängen, um einen authentischen Zugang zu erhalten.
Um solche User-Logins zu erhalten, sind verschiedene Methoden des Social Engineering nach wie vor beliebt: telefonische Manipulation, infizierte USB-Sticks, E-Mail-Anhänge und Links.
Alle Aktivitäten eines APT-Angreifers sind exakt darauf ausgelegt, nicht entdeckt zu werden. Viele Ressourcen wandern vorab in die Recherche der Sicherheitsarchitektur des Ziels, um keine schlafenden Hunde zu wecken.
Jeder weitere Schritt erfolgt danach sehr behutsam, damit ein erster Alarm nicht die ganze Operation scheitern lässt.
Und vergessen Sie nicht: Ihre Gegner sind in diesem Szenario extrem spezialisierte Fachleute, die nur ein Ziel verfolgen. Aus diesen Gründen ist die Absicherung gegen fortschrittliche Hacker-Teams besonders aufwendig.
Auch wenn die Abwehr oder Enttarnung eines APT schwierig ist, sind Unternehmen nicht völlig hilflos gegenüber den Eindringlingen. Nicht selten befinden sich Sicherheitsexperten und Hacker in einem Wettkampf der Ressourcen.
