Was ist ein Advanced Persistent Threat (APT)?

Ein Advanced Persistent Threat ist ein hauptsächlich durch Nationalstaaten gesponserter Cyberangriff mit dem Ziel der Spionage oder Sabotage. Sie versuchen in der Regel über einen längeren Zeitraum unerkannt im System zu verbleiben (daher: „persistent“).

Der Begriff Advanced Persistent Threat (APT) wird oft falsch verwendet. Denn er bezeichnet nicht eine spezielle technische Methode, sondern den Angreifer (oder eine Gruppe von Angreifern) und dessen Motivation. Für gewöhnlich ist die Motivation nicht einmalige Spionage, finanzieller Gewinn oder andere Cyberverbrechen, sondern systematische Unternehmensspionage, um wertvolle Handelsgeheimnisse und geistiges Eigentum zu stehlen, oder der APT Angriff dient zur Sabotage der Pläne und Infrastruktur einer Organisation.

Bei einem APT-Angriff verwenden Angreifer verschiedene, oft auf E-Mail basierende Methoden, die durch andere physische und externe Exploits unterstützt werden. Advanced Persistent Threats haben einige typische Eigenschaften, die bei anderen Angriffsarten nicht zu finden sind:

• Recon (Aufklärung): APT-Angreifer sammeln üblicherweise im Vorfeld Informationen und wissen, welche Nutzer und Systeme sie angreifen müssen, um ihre Ziele zu erreichen. Diese Informationen werden häufig durch Social Engineering, öffentliche Foren und – höchstwahrscheinlich – nationalstaatliche Geheimdienste in Erfahrung gebracht.
• Time-to-live (Lebenszeit): Advanced Persistent Threats wollen über längere Zeiträume hinweg unerkannt bleiben und wenden dazu bestimmte Techniken an. Sie suchen nicht nach einer kurzlebigen Infektionsperiode, wie es sonst bei Angriffen mit finanzieller Motivation zu sehen ist. Sie versuchen, alle ihre Spuren zu beseitigen und führen ihre Angriffe in der Regel außerhalb der regulären Arbeitszeiten aus. Sie hinterlassen immer Hintertüren, damit ein erneutes Eindringen möglich ist, sollte der anfängliche Zugriff erkannt werden. Dadurch können sie sich als hartnäckig erweisen.
• Erweiterte Malware: Angreifer nutzen das gesamte Spektrum bekannter und verfügbarer Angriffstechniken und kombinieren bei jedem APT-Angriff verschiedene Methoden, um ihr Ziel zu erreichen. APT-Angreifer nutzen kommerziell erhältliche Crimeware und Kits, haben für gewöhnlich jedoch auch die notwendige Technologie und Erfahrung, um ihre eigenen angepassten Tools und polymorphe Malware zu entwickeln, wenn dies für die jeweiligen Umgebungen und Systeme erforderlich ist.
• Phishing: Die meisten Advanced Persistent Threats, die internetgestützte Ausbeutungstechniken anwenden, beginnen mit Social Engineering und Spear-Phishing. Nachdem der Computer eines Benutzers kompromittiert wurde oder die Netzwerk-Anmeldeinformationen gestohlen wurden, können die Angreifer aktive Schritte unternehmen, um ihre eigenen Tools zur Überwachung und Verbreitung durch das Netzwerk nach Bedarf einzusetzen – von Computer zu Computer und Netzwerk zu Netzwerk – bis sie die gesuchten Informationen gefunden haben.
• Aktiver Angriff: Bei APTs liegt ein beachtliches Ausmaß an koordinierter menschlicher Mitwirkung durch den Angreifer vor. Es handelt sich nicht um vollautomatisierte Codes, die in typischen Crimeware-Angriffen lediglich Daten zurück zum Angreifer senden, damit dieser sie einsammeln kann. Bei einem APT ist der Gegner ein kapitalkräftiger, motivierter, kompetenter und höchst gezielter Angreifer, der seinen Ansatz und seine Reaktion äußerst bewusst durchzieht.

Es gibt keine allgemein wirksame Wunderwaffe oder einen APT-Blocker, der ein Unternehmen vor APT-Angreifern schützen kann. Advanced Persistent Threats suchen immer wieder neu nach Wegen, um nach dem Eindringen in die Organisation dort zu verbleiben. Daher ist es für eine effektive APT Security entscheidend, verschiedene Technologien, die Protokolle triangulieren und außerhalb der Norm liegende Verhaltensweisen im Unternehmensnetzwerk identifizieren, miteinander zu kombinieren. Der Schwerpunkt dieser Verteidigungsstrategie sollte die Auswahl erstklassiger Erkennungslösungen sein, die gemeinsam Aufklärungsdaten über die Ziele, die von den Angreifern verwendeten Methoden, die Häufigkeit der Aktivität, den Ursprung des Advanced Persistent Threats und das mit den Motiven des Angreifers verbundene Risiko liefern.

Basierend auf dem Verizon Data Breach Investigations Report verwenden 95 % aller gezielten Bedrohungen und APT-Angriffe eine Form von Spear Phishing als Ausgangspunkt des Angriffs. Daher muss ein Teil einer APT-Security-Strategie eines Unternehmens eine Erkennungslösung umfassen, die basierend auf ungewöhnlichen Trafficmustern nach gezielten Bedrohungen in einer E-Mail sucht, die in verdächtigen E-Mails eingebetteten URLS neu schreibt und danach konstant Ausschau nach schädlichen Verhaltensweisen hält, um diese präventiv zu isolieren. Ein solcher Ansatz kann vor APT-Angriffen schützen bzw. diese erkennen. Und da bekannt ist, welche Benutzer wann und wie lange angegriffen wurden, können Sie auf diese Weise mehr über den APT-Gegner und seine Motivationen erfahren.