Advanced Persistent Threats (APT) – Buzzword oder reale Bedrohung?

Ein «Advanced Persistent Threat (APT)» ist ein Cyber-Angriff, der sich gegen Unternehmen oder politische Ziele richtet. Die Attacke wird normalerweise von einer Gruppe koordiniert, die die Absicht hat, ihr Angriffsziel dauerhaft zu kompromittieren.

» Von Yves Kraft, 03.08.2015 11:09.

weitere Artikel

Digicomp Blog


Dies ist ein Blog-Eintrag von: Digicomp

Zum Digicomp Blog

Der Aufwand, um die Attacke erfolgreich durchzuführen, unbemerkt zu bleiben und die kontinuierliche Kontrolle über den Angriff zu gewährleisten, ist oft sehr hoch.

Unter dem Begriff APT oder «fortgeschrittene andauernde Bedrohung» wurde in den letzten Jahren eine neue Art von Cyber-Angriff bekannt. APTs nutzen verschiedenste Techniken und Methoden von Hacker-Attacken, die unbemerkt versteckte Angriffe auf Zielsysteme durchführen. Das Ziel dabei ist immer, langfristige Verbindungen aufrechterhalten zu können.

Stuxnet, Duqu, Regin, Retefe & Co.

Erste Beispiele für APTs sind Stuxnet und Duqu, die vor rund fünf Jahren auf die Zentrifugen des iranischen Atomprogramms abzielten. Damals wurde solche Malware «noch» als normaler Computerwurm bezeichnet. Nachfolgende Angriffe wurden um einiges gezielter und spezialisierter, was Malware wie Flame oder Regin eindrücklich bewiesen. Aktuelle Beispiele wie Retefe, ein Schweizer E-Banking-Trojaner, zeigen, dass es immer schwieriger wird, die Malware für APT-Angriffe zu entdecken. Dieser Trojaner wurde im Juli 2014 bemerkt, scheint jedoch immer noch aktiv zu sein. Vorzugsweise werden sogenannte Zero-Day Exploits verwendet, bei denen weder ein Sicherheitspatch noch Signaturen für Antivirenprogramme zur Verfügung stehen.

Die vier Phasen eines Advanced Persistent Threats

Häufig wird APT fälschlicherweise mit einem gezielten Angriff gleichgesetzt. APT beinhaltet durchaus gezielte Angriffe, letztere müssen allerdings nicht unbedingt in einer andauernden Bedrohung enden. Ein APT-Lebenszyklus kann grob in vier Phasen unterteilt werden:

  • Vorbereitung
  • Infektion
  • Verteilung
  • Persistenz

In der Vorbereitung wird das Ziel ausgewählt sowie Mittel und Ressourcen bereitgestellt. Abhängig von Ziel und Motivation müssen immense Mittel für einen erfolgreichen Angriff aufgewendet werden. Die verwendete Malware ist meist auf das Ziel zugeschnitten, damit sie nicht erkannt wird. Durch Hintergrundrecherchen, Observation und Social Engineering wird das Ziel erforscht und mögliche Angriffsvektoren und Eindringvarianten evaluiert.

Für die Infektionsphase wird sichergestellt, dass der Angriff nicht erkannt wird. Dafür gibt es gängige Methoden und Techniken, Malware so zu verschleiern, damit sie von Antivirusprogrammen nicht erkannt wird. Die Ersteindringung erfolgt meist durch Social-Engineering-Techniken, mit denen Mitarbeiter dazu gebracht werden, ein erstes System des Ziels zu infizieren.

Sobald ein erstes System erfolgreich infiziert und übernommen werden konnte, beginnt die Phase der Verteilung. Opfersysteme werden oft Teil eines grösseren Botnetzwerks und können so mühelos «ferngesteuert» werden. Nun gilt es, sich möglichst verdeckt in andere Systeme der Zielinfrastruktur vorzuarbeiten.

Weitere Angriffe auf das Ziel sind während dieser Phase durchaus üblich. So schafft der Angreifer die Illusion, dass noch kein erfolgreiches Eindringen stattgefunden hat.

In der Persistenz-Phase werden häufig alternative Zugänge mittels Tunneling- und Backdoor-Techniken geschaffen, damit der Zugriff auf die kompromittierten Systeme jederzeit möglich ist. Der Angreifer kann nun über einen längeren Zeitraum Daten sammeln oder Systeme gezielt manipulieren. Solange er nicht entdeckt wird, befindet er sich mit Augen und Ohren im Netzwerk.

Wer steckt dahinter?

Wie den Medien zu entnehmen ist, werden solche Angriffe momentan vorwiegend von Regierungen durchgeführt. Dabei werden meist klassische Ziele der Spionage verfolgt: Bekannt geworden sind beispielsweise Angriffe aus China, Israel, Russland und den USA. Auch die Wirtschaftsspionage ist heutzutage durchaus ein Motiv für einen APT-Angriff. Zunehmend wird Cyber-Kriminalismus professionalisiert, und es werden auf Basis von Dienstleistungspaketen komplexe Angriffe angeboten. Organisierte Cyber-Kriminelle greifen heutzutage in der Regel bei finanziell lohnenswerten Zielen auf APT-Angriffe zurück.

Wie schützt man sich gegen APTs?

Will man APT-Angriffe abwehren, erkennen und beseitigen, braucht man zwingend ein Konzept, das in alle Phasen eines APT-Lebenszyklus eingreifen kann – nicht nur an ein oder zwei singulären Punkten. Zu den Mechanismen zählen z.B: das Blocken eines Spear-Phishing-Angriffs, das Identifizieren von Zero-Day-Attacken und das Erkennen verdächtigen Netzwerk- und Internet-Datenverkehrs.

Um einen APT-Angriff abzuwehren, muss man die unterschiedlichen Elemente, aus denen ein APT-Angriff aufgebaut sein kann, zunächst grundlegend verstehen. Mit diesen Erkenntnissen sollten gezielte Abwehrstrategien und technische Tools eingesetzt werden, die für jede Phase eines APT-Angriffs am effektivsten wirken. Denn leider ist APT weder Buzzword noch Medien-Hype, sondern schlicht der nächste Evolutionsschritt der Internetkriminalität. 

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.