Advanced Persistent Threats
Wenn staatlich unterstützte Gruppierungen es auf kritische Infrastrukturen abgesehen haben und in Regierungsrechner eindringen, sprechen wir von Advanced Persistent Threats. Diese besondere Form der Cyber-Bedrohung ist besonders komplex und wird vom technologischen Fortschritt und geopolitischen Entwicklungen getrieben.
Definition und Merkmale von APTs
Langfristig angelegte und gezielt durchgeführte Cyberangriffe behandelt die Informatik unter dem Begriff Advanced Persistent Threats (APTs). Zu ihren besonderen Merkmalen gehört es, dass nur hochentwickelte Akteure zu ihrer Durchführung in der Lage sind. Es handelt sich also nicht um eine Form der Alltagskriminalität im Internet. Vielmehr richten sich die Attacken gegen Regierungen und kritische Infrastrukturen. Ziel sind hochsensible Daten mit strategischem Wert.
Folgende Merkmale zeichnen APTs aus:
- Zielgerichtetheit: Häufig sind vertrauliche Informationen das Ziel eines solchen Angriffs. Die Kriminellen fokussieren sich auf spezifische Ziele mit hohem Wert. Entsprechend schwerwiegend können die entstehenden Schäden sein.
- Beharrlichkeit: Die Angreifer nutzen nicht nur eine, sondern mehrere Methoden. Immer wieder versuchen sie, sich zum Zielsystem Zugang zu verschaffen. Sie geben nicht auf, bevor sie die gewünschten Daten erfolgreich stehlen konnten. Auch von einer Teilaufdeckung und -beseitigung ihres Angriffs lassen sie sich nicht aufhalten.
- Langfristigkeit: APTs sind häufig über einen längeren Zeitraum aktiv. Das unterscheidet sie von vielen anderen Cyberangriffen. Die Attacken können monate- oder sogar jahrelang dauern.
- Komplexität: APTs weisen typischerweise eine hohe Komplexität auf. Malware, Social Engineering und Phishing sowie Zero-Day-Exploits können hier zum Einsatz kommen. Es erfolgt eine kontinuierliche Überwachung und Belagerung des Ziels.
- Geheimhaltung: Die Angreifer versuchen, so lange wie möglich unentdeckt zu bleiben. Auffällige Aktivitäten vermeiden sie daher. Das soll Abwehrmaßnahmen erschweren.
- Ressourcenlastigkeit: Den Angreifern stehen häufig große Ressourcen zur Verfügung. Sie sind gut organisiert und erhalten meistens eine Unterstützung und Finanzierung durch Staaten.
Typische Angriffsphasen eines APTs
APTs zeigen eine typische Abfolge von Angriffsphasen. Dabei sind folgende Hauptphasen zu unterscheiden:
- Aufklärung (Reconnaissance): Die Angreifer sammeln Informationen zum Ziel und klären Schwachstellen bzw. potenzielle Einstiegspunkte auf.
- Erstzugang (Initial Intrusion): Durch ungepatchte Software und andere Schwachstellen dringen die Angreifer ins Netzwerk ein.
- Fuß fassen (Establishing a Foothold): Die Angreifer richten einen persistenten Zugang ein (z. B. Backdoors oder Rootkits).
- Privilegienerweiterung (Escalation of Privileges): Die Erweiterung der Berechtigungen ist das nächste Ziel der Angreifer, damit sie auf kritische Daten und Systeme zugreifen können. Dazu werten sie zum Beispiel Zugangsdaten aus.
- Seitliche Bewegung (Lateral Movement): Die Angreifer breiten sich im Netzwerk aus und möchten auf weitere Systeme zugreifen.
- Zielerfüllung (Objective Fulfillment): Jetzt erfolgt zum Beispiel der eigentliche Datendiebstahl, auf den die Angreifer es ursprünglich abgesehen haben.
- Dauerhafte Präsenz (Maintaining Persistence): Der Angriff verstetigt sich, ein Zugang bleibt zum Beispiel durch Malware oder alternative Backdoors dauerhaft erhalten selbst nach der Entdeckung.
- Vermeidung der Entdeckung (Covering Tracks): Die Täter verwischen ihre Spuren und möchten im Idealfall auch in Zukunft unentdeckt bleiben. Dazu löschen sie zum Beispiel Log-Dateien und überschreiben Daten.
Beispiele bekannter APT-Angriffe
In der Vergangenheit wurden bereits zahlreiche großangelegte APT-Angriffe durchgeführt. Zu nennen ist zum Beispiel Stuxnet aus dem Jahr 2010. Ziel war es, das iranische Atomprogramm zu sabotieren. Hierbei sollten industrielle Steuerungssysteme (SCADA-Systeme) durch Malware infiziert werden, um die Urananreicherung zu unterbinden. Die USA und Israel sollen hier die Akteure gewesen sein. Für Aufsehen sorgte auch ein Angriff beim IT-Unternehmen SolarWinds im Jahr 2020. Der sogenannte SolarWinds-Hack wurde durch die russische Gruppe APT29 (Cozy Bear) durchgeführt. Durch den Angriff und die Infizierung von Systemen konnten die Angreifer Zugang zu Netzwerken zahlreicher US-Regierungsbehörden erlangen.
Schutz- und Abwehrstrategien gegen APTs
Häufig sind mehrschichtige Sicherheitsstrategien am erfolgversprechendsten, wenn es um die Abwehr von APTs geht. Das bezeichnen die Fachleute auch als Defense in Depth:
- Netzwerksegmentierung: Es erfolgt eine Aufteilung des Netzwerks in kleinere Segmente. Dadurch soll sich verhindern lassen, dass sich Angreifer nach dem Erstzugriff gleich im gesamten Netzwerk bewegen können.
- Zugangsbeschränkungen: Benutzer sollen nur Zugang zu solchen Ressourcen erhalten, die sie für die Erfüllung ihrer Aufgaben wirklich benötigen.
- Zero-Trust-Security-Ansatz: Beim Zero-Trust-Ansatz gehen die Sicherheitsverantwortlichen davon aus, dass jedes Gerät, jeder Benutzer und jeder Datenfluss erst einmal als potenziell unsicher zu betrachten ist. Ständige Überwachungen und Verifizierungen sind also erforderlich.
Weitere wichtige Maßnahmen betreffen die Sensibilisierung von Mitarbeitern für Sicherheitsfragen, die Etablierung einer Sicherheitskultur und die Einrichtung von Intrusion Detection/Prevention Systemen (IDS/IPS) sowie ein Security Information and Event Management (SIEM) und eine Endpunkterkennung und -reaktion (EDR).
Die Zukunft der APT-Bedrohung
Es ist in der Zukunft von einer weiteren Professionalisierung und Diversifizierung von Angriffsmethoden und Akteuren auszugehen. Wenn die geopolitischen Spannungen zunehmen, ist das auch für APTs zu erwarten. Ein wichtiges Thema dürfte zudem der Einsatz von künstlicher Intelligenz (KI) und Automatisierungen für die Durchführung von APTs sein. Hier steht die Entwicklung erst an ihrem Anfang.