Advanced Persistent Threat

  • Fabian Sinner
  • Mai 5, 2023

Inhaltsverzeichnis

    Advanced Persistent Threat

    Advanced Persistent Threat: Was ist das?

    Technisch fortschrittlich, besonders hartnäckig und schwer aufspürbar: Diese Art von Cyber-Bedrohung wird in der IT-Sicherheit als Advanced Persistent Threat (kurz: APT) bezeichnet. Spricht man von einem bestimmten APT, sind die verantwortlichen Täter gemeint, nicht aber verwendete Programme oder Techniken. Ihre Entdeckung ist allerdings so selten, dass entlarvte APTs nummeriert werden.

    Was ist ein Advanced Persistent Threat?

    Von einem Advanced Persistent Threat (= APT) spricht man, wenn ein exzellent ausgebildeter Angreifer zum Zweck der Sabotage oder Spionage ein Netz oder ein System geziehlt angreift – und das über einen längeren Zeitrahmen hinweg. Nicht selten sind solche Angreifer staatlich gesteuert und verfolgen polititische Ziele.

    Neben bekannten Großunternehmen aus einer Vielzahl von Branchen werden zudem Beratungsunternehmen oder spezialisierte mittelständische Unternehmen (z.B. Zulieferer) nicht selten Opfer eines solchen Übergriffs.

    Das Ziel eines APT sind vertrauliche und hochsensible Geschäftsinformationen, die beispielsweise Forschungsergebnisse, unternehmenspolitische Entscheidungen, gschützte Herstellungsverfahren oder generelles geistiges EIgentum beinhalten.

    APT vs. andere Cyber-Attacken

    Die häufigsten Methoden bei einem Cybercrime benötigen wenige Ressourcen und werden breit gestreut. Schadprogramme oder Phishing treffen in den meisten Fällen völlig willkürliche Opfer. Nach einer erfolgreichen Infiltrierung greifen die Täter an Daten ab, was sie kriegen können.

    Oft werden strategische Cyberangriffe auf einzelne Unternehmen oder Staatsapparate als APT-Angriffe bezeichnet. Dies ist jedoch eine starke Vereinfachung des Begriffs. DDoS-Attacken zum Beispiel sind beinahe immer zielgerichtet, aber bleiben nicht unentdeckt.

    Sie dienen als relativ stumpfes Werkzeug, um Opfer zu lähmen und zu einer bestimmten Aktion zu bewegen.

    APT-Teams hingegen möchten unter dem Radar agieren und die Unwissenheit der Geschädigten für sich nutzen. Es handelt sich um umfangreiche Geheimoperationen.

    Kennzeichen eines Advanced Persistent Threat

    • Opfer: Angriff auf definiertes Ziel mit individueller Strategie
    • Motivation: 
      • Definierte Zielvorgaben (z. B. Datenentnahme, Datenmanipulation, Zugriff auf System)
      • wirtschaftliche, militärische und/oder politische Interessen
      • Spionage und Sabotage im Digitalzeitalter
    • Ablauf: 
      • Operation soll möglichst lange unentdeckt bleiben
      • Mehrstufige Projektphase über mehrere Monate oder Jahre
    • Angriff: 
      • Kombination mehrerer Angriffstechniken
    • Täter: 
      • Ausführung durch hochspezialisiertes Team
      • Externe Finanzierung
    • Ressourcen: Hohe Kosten für Technik und Personal

    Ziel eines Advanced Persistent Threat

    Die Ziele eines persistenten Angriffs werden schon zu Beginn der Planungsphase genau definiert.

    Beispiele:

    • Dauerhafte Spionage
    • Entnahme sensibler Informationen oder Kommunikationsverläufe
    • Militärische Geheimnisse wie Strategien, Pläne, Standorte, Personendaten

    Zwei nebengeordnete Ziele sind in jedem Fall gegeben: Der unentdeckte Zugang zu den relevanten Systemen sowie das Verwischen von Spuren nach dem Rückzug eines Advanced Persistent Threat. Es ist davon auszugehen, dass viele APT-Angriffe noch unentdeckt arbeiten oder sich bereits unbemerkt zurückgezogen haben.

    Nur solche, die entlarvt werden, sind öffentlich bekannt.

    Zur Zero Touch WAF von Link11

    Strategische Abwehr

    Oftmals ist die Methodik der Täter so komplex, dass betroffene Unternehmen einen feindlichen Zugriff zwar wahrnehmen, aber ein schneller Gegenschlag quasi unmöglich ist. Die Wahrscheinlichkeit, dass ein APT mithilfe einer schnellen Reaktion restlos und nachhaltig entfernt werden kann, ist gering.

    Bevor sich die Hacker im System vorantasten, haben sie in der Regel schon mehrere Backdoors an unterschiedlichen Stellen eingebaut, die den permanenten Zugang ermöglichen.

    Aus diesem Grund ziehen es Unternehmen manchmal vor, die Hacker für einen gewissen Zeitraum gewähren zu lassen, während wichtige Ressourcen isoliert werden. So können das Vorgehen des APT untersucht und Systemzugänge lokalisiert werden.

    Ein Beispiel ist der Fall der Telekom Austria, die im Winter 2019 Ziel eines APT wurde (LINK11 berichtete). Erst nach rund sechs Monaten wurden die Cyber-Kriminellen mit einem Rundumschlag aus dem System verdrängt.

    Ablauf eines Advanced Persistent Threat

    Erfolgreiche APTs verfolgen eine komplexe, langfristige Strategie. Dies wäre ein denkbarer Ablauf:

    Vorbereitung

    • Definition der Ziele
    • Zusammenstellung des Expertenteams
    • Intensive Recherchearbeiten
    • Kauf oder Erstellung benötigter Softwares
    • Testphase

    Angriff

    • Deployment
    • Erster Zugriff auf das System
    • Herstellung einer externen Verbindung
    • Ausweitung verfügbarer Rechte
    • Ausbau des Zugriffs
    • Entnahme der Zieldaten

    Rückzug

    • Permanente Zugriffswege einrichten und absichern
    • Verwischen der Spuren

    Liste bekannter Advanced Persistent Threats

    Dies ist eine Übersicht der bekannten und von IT-Experten analysierten APTs. Die Bezeichnungen stammen im Normalfall nicht von den Hackergruppen selbst, sondern werden von international tätigen IT-Sicherheitsfirmen vergeben, die sich auch mit der Forensik der Hacks befassen.

    Aus diesem Grund haben die meisten nummerierten APTs zwei, häufig aber bis zu fünf Synonyme.

    Die am weitesten bekannten Namen wurden vom IT-Unternehmen Crowdstrike festgelegt. Ihre Bezeichnungen bündeln die Herkunftsländer der Gruppen durch Tiernamen wie Panda, Bär, Spinne oder Kitten.

    Einige Zahlen (APT7, APT11, APT13, APT24, APT25) sind in der Übersicht ausgespart, da nötige Informationen bisher unbekannt sind.

     

    APTName der Hackergruppe(Mutmaßliches) Ursprungsland
    1Comment Panda / PLA Unit 61398CHN
    2Putter Panda / PLA Unit 61486CHN
    3Gothic PandaCHN
    4Samurai PandaCHN
    5Bronze FleetwoodCHN
    61.php GroupCHN
    8?CHN
    9Nightshade PandaCHN
    10Stone Panda / Red ApolloCHN
    12Numbered Panda / CalcCHN
    14Anchor PandaCHN
    15Vixen Panda / Ke3changCHN
    16 SVCMONDRCHN
    17 Aurora Panda / Deputy DogCHN
    18Dynamite Panda / WekbyCHN
    19Deep Panda / CodosoCHN
    20 Violin PandaCHN
    21NetTravelerCHN
    22Wicked Spider / Bronze OliveCHN
    23Pirate PandaCHN
    26Deep PandaCHN
    27Goblin PandaCHN
    28Fancy Bear / SofacyRUS
    29Cozy BearRUS
    30Override Panda / PLA Unit 78020CHN
    31Hurricane PandaCHN
    32OceanLotus/ Ocean BuffaloVNM
    33Refined Kitten / EflinIRN
    34Helix KittenIRN
    35Charming KittenIRN
    36Mythic LeopardPAK
    37Stardust ChollimaPKR
    38Labyrinth Chollima / LazarusPKR
    39Remix Kitten / ChaferIRN
    40Kryptonite Panda / PeriscopeCHN
    41Wicked Panda / Double DragonCHN

    Die Liste veranschaulicht, dass die ersten und gleichzeitig die meisten bekannten APTs aus China stammen. APT1 soll bereits seit 2002 aktiv gewesen sein. Experten vermuten, dass mehr als 1.000 Attacken auf die chinesischen Hacker zurückgehen.

    Im Jahr 2014 erhob das US-Amerikanische Justizministerium Anklage gegen fünf bekannte Mitglieder der Gruppe.

    Im Verlauf der Zeit wurden aber auch andere Länder aktiver. Neben den nummerierten Advanced Persistent Threats gab und gibt es unzählige weitere Hackergruppen. Einige arbeiten völlig unabhängig von Staaten oder erwachsen aus globalen, ideologischen Zusammenschlüssen einzelner Hacktivisten.

    Einen detaillierten Überblick bekannter Teams, ihrer Ziele und Methoden bietet zum Beispiel diese Studie von ThaiCERT.

    APT in Deutschland: Fancy Bear

    Der wohl bekannteste Fall in Deutschland ist der Hackerangriff auf den Deutschen Bundestag im Jahr 2015 (APT28). Untersuchungen zufolge wird die Attacke dem Kollektiv Fancy Bear (auch: Sofacy-Gruppe) zugeschrieben. Die Gruppe soll dem russischen Militärnachrichtendienst GRU angehören.

    Der Zugriff auf das Bundestagsnetz Parlakom wurde durch eine gängige Social Engineering-Methode erreicht: E-Mails an Abgeordnete brachten per Klick Trojaner in Umlauf.

    IT-Experten vermuten, dass die Hacker ungefähr sechs Monate unentdeckt operierten und 16 Gigabyte Daten erbeuten konnten. Trittbrettfahrer der Gruppe nutzen den Namen Fancy Bear weiterhin.

    Im Mai 2020, genau fünf Jahre nach der Entdeckung des APT, erhob die Bundesanwaltschaft einen internationalen Haftbefehl gegen GRU-Offizier Dmitriy Badin. Ermittler des BKA und der Bundespolizei hatten ihn als einen der Tatverdächtigen identifiziert.

    Der 29-jährige Badin ist kein unbeschriebenes Blatt: Er steht weiterhin unter Verdacht, mitverantwortlich für die Hackerangriffe auf die Demokratische Partei im Zuge des US-Amerikanischen Wahlkampfes 2016 und auf die Welt-Anti-Doping-Agentur WADA zu sein.

     

    Jetzt über DDoS-Schutz von Link11 informieren

     

    Zukunft der Cyberwarfare

    Wer sich mit dem Thema „Fortgeschrittene, hartnäckige Bedrohung” beschäftigt, wird sofort an Spionage-Thriller aus der Zeit des Kalten Krieges erinnert. Geheimoperationen, Lauschangriffe und Agenten, die Zielobjekte observieren und Zugang zu hochinnovativer Technik haben.

    Nicht selten hat der Angriff auch eine menschliche Komponente, d. h. es gibt Zielpersonen, die manipuliert werden sollen. Durch Social Engineering wird so ein Zugriff erlangt, der über andere Kanäle nicht möglich wäre.

    Gefahr von APT ist global

    Der Global Threat Report 2022 von Crowdstrike unterstreicht, dass viele der enttarnten Hackergruppen nach wie vor aktiv sind. Mehrere Gruppen aus China, dem Iran, Nordkorea, Pakistan, Indien, Russland und Vietnam führten im Jahre 2019 hochvolumige Operationen durch.

    Advanced Persistent Threats nach Herkunftsland 2021

    • Russland: 22 %
    • Iran: 21 %
    • Nordkorea: 18 %
    • China: 15 %
    • Indien/Pakistan: 14 %

    Neben staatlich finanzierten Hackergruppen zählen noch zwei weitere relevante Gruppen zu den APT: Hacktivisten arbeiten aus persönlichen oder politisch-ideologischen Motiven, Cyber-Söldner (Cybercrime-as-a-Serive) werden als Freelancer beauftragt.

    Betroffene Sektoren 2020

    1. Telekommunikation
    2. Regierung
    3. Forschung
    4. Finanzen / Banken
    5. Energie
    6. Bildung
    7. Militär
    8. Computerspiele
    9. Gesundheitsversorgung
    10. Medien

    Trends der Hacker

    Crowdstrike betont, dass die Nutzung von Ransomware für umfangreiche Attacken zunimmt. Gleichzeitig geht die Verwendung klassischer Malware zurück. Stattdessen liegt der Fokus auf gestohlenen Benutzerzugängen, um einen authentischen Zugang zu erhalten.

    Um solche User-Logins zu erhalten, sind verschiedene Methoden des Social Engineering nach wie vor beliebt: telefonische Manipulation, infizierte USB-Sticks, E-Mail-Anhänge und Links.

    Schutz vor Advanced Persistent Threats

    Alle Aktivitäten eines APT-Angreifers sind exakt darauf ausgelegt, nicht entdeckt zu werden. Viele Ressourcen wandern vorab in die Recherche der Sicherheitsarchitektur des Ziels, um keine schlafenden Hunde zu wecken.

    Jeder weitere Schritt erfolgt danach sehr behutsam, damit ein erster Alarm nicht die ganze Operation scheitern lässt.

    Und vergessen Sie nicht: Ihre Gegner sind in diesem Szenario extrem spezialisierte Fachleute, die nur ein Ziel verfolgen. Aus diesen Gründen ist die Absicherung gegen fortschrittliche Hacker-Teams besonders aufwendig.

    Tipps von IT-Sicherheitsexperten

    Auch wenn die Abwehr oder Enttarnung eines APT schwierig ist, sind Unternehmen nicht völlig hilflos gegenüber den Eindringlingen. Nicht selten befinden sich Sicherheitsexperten und Hacker in einem Wettkampf der Ressourcen.

    • Intensives Monitoring aller Daten (Security Operations Center)
    • Protokollierung aller wichtigen Ereignisse (Proxy, Webserver, DNS….)
    • Durchschnittliche Aktivitäten festhalten, Abweichungen untersuchen
    • Anomalien in Log-Daten beobachten
    • Zugriffsrechte zu IT-Systemen und Firewall streng verwalten
    • Nicht-autorisierte Rechteerweiterungen blockieren
    • Verwendung von Betriebssystem-Tools (z. B. Windows PowerShell) überwachen
    • Änderungen an und Zugriffe auf sensible Daten beobachten
    • Physische Absicherung des Rechenzentrums stärken
    • Patch-Management etablieren
    • Mitarbeiter-Schulungen rund um das Thema Social Engineering
    • Incident Response Plan erarbeiten

    Quellen:

    • Global Threat Report 2020, Crowdstrike, 2020
    • State sponsored cyber attacks, Swedish Security & Defense Industry Association (SOFF), ca. 2017 [PDF]
    • Threat Group Cards: A Threat Actor Encyclopeida, ThaiCERT, Version 1.01, Juni 2019 [PDF]
    Neuer DDoS-Report für das 1. Halbjahr 2022
    GLASFASER RUHR bietet dank Link11 umfassenden DDoS-Schutz
    X