APT-Angriffe – Was ist ein Advanced Persistent Threat (APT) und wie kann sich ein Unternehmen davor schützen?

Michael Kirsch
Advanced Persistent Threat Angriffe

Inhalt

Aktuell: Advanced Persistent Threat (APT) Angriffe

Unser Informationssicherheitsexperte Michael Kirsch berichtet:

„Als ich vor 10 Jahren begann, mich intensiver mit Angriffsvektoren und Risiken für IT-Systeme bzw. IOT zu beschäftigen, waren staatlich unterstützte Cyberangriffe (auch als State Sponsered Cyberattacks bekannt) als sehr unwahrscheinlich einzustufen.

Aktuell wird in den Nachrichten fast täglich über Cyberattacken, sogar Cyberkrieg, berichtet. Das Thema wird zunehmend präsenter, weshalb ich gerne einen Überblick über APT geben möchte.“

Was ist ein APT Angriff (Advanced Persistent Threat)?

Advanced Persistent Threat (APT) ist ein weit gefasster Begriff, der eine Angriffskampagne beschreibt, bei der ein Eindringling oder ein Team von Eindringlingen eine illegale, langfristige Präsenz in einem Netzwerk aufbaut, um hochsensible Daten zu erlangen.

Zu den Zielen dieser Angriffe, die sehr sorgfältig ausgewählt und recherchiert werden, gehören in der Regel große Unternehmen oder Regierungsnetze. Doch vermehrt trifft es auch kleine bis mittelständische Unternehmen.

Die Folgen eines solchen Eindringens sind für alle Unternehmensarten weitreichend und umfassen u. a.:

  • Diebstahl von geistigem Eigentum (z. B. von Geschäftsgeheimnissen oder Patenten)
  • Kompromittieren sensibler Informationen (z. B. privaten Daten von Mitarbeitern und Benutzern)
  • Sabotage kritischer Unternehmensinfrastrukturen (z. B. Löschung von Datenbanken)
  • Vollständige Standortübernahmen

Die Durchführung eines APT-Angriffs erfordert mehr Ressourcen als ein Standard-Webanwendungsangriff. Bei den Tätern handelt es sich in der Regel um Teams erfahrener Cyberkrimineller, die über einen erheblichen finanziellen Rückhalt verfügen. Einige APT-Angriffe werden von der Regierung finanziert und als Mittel der Cyber-Kriegsführung eingesetzt.

Wie unterscheiden sich APT-Angriffe von herkömmlichen Bedrohungen durch Webanwendungen?

  • Sie sind wesentlich komplexer.
  • Es handelt sich nicht um "Hit and Run"-Angriffe – sobald ein Netzwerk infiltriert ist, bleibt der Täter dort, um so viele Informationen wie möglich zu erhalten.
  • Sie werden manuell (nicht automatisch) gegen ein bestimmtes Ziel ausgeführt und nicht wahllos gegen eine große Anzahl von Zielen eingesetzt.
  • Sie zielen oft darauf ab, ein ganzes Netzwerk zu infiltrieren und nicht nur einen bestimmten Teil.

Gängigere Angriffe wie Remote File Inclusion (RFI), SQL-Injection und Cross-Site Scripting (XSS) werden von den Tätern häufig eingesetzt, um in einem Zielnetzwerk Fuß zu fassen. Anschließend werden dann Trojaner und Backdoor-Shells eingesetzt, um diese Basis zu erweitern und eine dauerhafte Präsenz innerhalb des Zielnetzwerks zu schaffen.

Ablauf eines APT-Angriffs - Fortschreitende & anhaltende Bedrohung

Ein erfolgreicher APT-Angriff lässt sich in vier Phasen unterteilen:

  1. Die Infiltration des Netzwerks
  2. Die Ausweitung der Präsenz des Angreifers
  3. Die Extraktion der gesammelten Daten
  4. Der längerfristige, unentdeckte Aufenthalt in den Systemen

Phase 1 - Infiltration

Unternehmen werden in der Regel durch die Kompromittierung einer der drei folgenden Angriffsflächen infiltriert: Web-Assets, Netzwerkressourcen oder autorisierte menschliche Benutzer.

Dies geschieht entweder durch böswillige Uploads (z. B. RFI, SQL-Injection) oder Social-Engineering-Angriffe (z. B. Spear-Phishing) – also Bedrohungen, denen große Unternehmen regelmäßig ausgesetzt sind.

DDoS als Ablenkung

Außerdem können Eindringlinge gleichzeitig einen DDoS-Angriff gegen ihr Ziel durchführen. Dies dient zum einen als Vorwand, um das Netzwerkpersonal abzulenken, und zum anderen als Mittel zur Schwächung des Sicherheitsbereichs, wodurch dieser leichter durchbrochen werden kann.

Firmen sollten also damit rechnen, dass DDoS-Attacken auch als Tarnung für gezielte APT-Angriffe dienen könnten und ein entsprechendes Gefahrenbewusstsein entwickeln!

Sobald der erste Zugriff erfolgt ist, installieren die Angreifer schnell eine Backdoor-Shell, d. h. eine Malware, die den Netzwerkzugriff gewährt und verdeckte Fernoperationen ermöglicht. Backdoors können auch in Form von Trojanern auftreten, die sich als legitime Software tarnen.

Phase 2 - Ausdehnung

Nachdem die Angreifer Fuß gefasst haben, versuchen sie, ihre Präsenz im Netzwerk auszuweiten.

Dazu steigen sie in der Hierarchie eines Unternehmens auf und kompromittieren Mitarbeiter mit Zugang zu den sensibelsten Daten. Auf diese Weise sind sie in der Lage, geschäftskritische Informationen zu sammeln, einschließlich Informationen über Produktlinien, Mitarbeiterdaten und Finanzdaten.

Je nach Ziel des Angriffs können die gesammelten Daten an ein konkurrierendes Unternehmen verkauft, zur Sabotage der Produktlinie eines Unternehmens verändert oder zum Sturz einer ganzen Organisation verwendet werden. Wenn Sabotage das Motiv ist, wird diese Phase genutzt, um auf subtile Weise die Kontrolle über mehrere kritischen Funktionen zu erlangen und sie in einer bestimmten Reihenfolge zu manipulieren, um maximalen Schaden anzurichten. So könnten Angreifer beispielsweise ganze Datenbanken in einem Unternehmen löschen und anschließend die Netzwerkkommunikation unterbrechen, um den Wiederherstellungsprozess zu verlängern.

Phase 3 - Extraktion

Während ein APT-Ereignis im Gange ist, werden die gestohlenen Informationen in der Regel an einem sicheren Ort innerhalb des angegriffenen Netzwerks gespeichert. Sobald genügend Daten gesammelt wurden, müssen die Diebe diese unbemerkt extrahieren.

In der Regel wird eine Taktik des weißen Rauschens eingesetzt, um Ihr Sicherheitsteam abzulenken, damit die Informationen herausgeschafft werden können. Dies kann in Form eines DDoS-Angriffs geschehen, der wiederum das Netzwerkpersonal bindet und/oder die Standortverteidigung schwächt, um die Extraktion zu erleichtern.

Phase 4 – Persistenz

In der Persistenz-Phase werden häufig alternative Zugänge mittels Tunneling- und Backdoor-Techniken geschaffen, damit der Zugriff auf die kompromittierten Systeme jederzeit möglich bleibt. Der Angreifer kann nun über einen längeren Zeitraum Daten sammeln oder Systeme gezielt manipulieren. Solange er nicht entdeckt wird, befindet er sich im Netzwerk und den Systemen des Unternehmens.

Der Lebenszyklus von hoch entwickelten Advanced Persistent Thread Angriffen

Diese 12 Schritte werden innerhalb der 4 Phasen des APT Angriffs durchgeführt:

  1. Ziel festlegen
  2. Resources ermitteln
  3. Tools erstellen oder Erwerbern
  4. Recherche zur Infrastruktur und möglichen Schwachstellen
  5. Test durchführen
  6. Bereitstellung
  7. Angriff
  8. Rückkanal etablieren
  9. Zugriff erweitern und Anmeldedaten abfangen
  10. Positionen etablieren
  11. Daten extrahieren
  12. Spuren verwischen und tarnen

Ein Informationssicherheits-Managementsystem (ISMS) kann bei konsequenter Anwendung auch mit APT Angriffen umgehen. Durch die Erfassung der Unternehmenswerte und deren Risikobewertung kann die Aufmerksamkeit des Unternehmens auf die offensichtlichen Schwachstellen gelenkt werden und dadurch zur Minimierung dieser beitragen.

Durch Awareness Schulungen der Mitarbeiter kann ein Unternehmen seine Widerstandsfähigkeit (Resilienz) stärken und durch konsequente Anwendung der Notfallpläne und Maßnahmen ihren Wieder-Betrieb nach erfolgtem APT-Angriff erfolgreich fortführen.

ISEGRIM X®: Wir schaffen Informationssicherheit!

Sie möchten sich nicht alleine der „Herausforderung Informationssicherheits-Managementsystem“ stellen? Wir erklären Ihnen gerne in einem unverbindlichen Gespräch, wie wir Sie auf Ihrem Weg zum zertifizierten ISMS unterstützen können.

Gesprächstermin vereinbaren