Security Know-how

Advanced Persistent Threats (APTs) erklärt

16.10.2019 von Thomas Ehrlich

Ist jeder ausgeklügelte Angriff eine Advanced-Persistent-Threats-Attacke? Was zeichnet "fortgeschrittene, andauernde Bedrohungen" aus und was lässt sich gegen sie unternehmen?

Sechs Jahre - so lange konnte die Malware "Slingshot" erfolgreich in angegriffenen Routern und Computern ihr Unwesen treiben, bevor sie schließlich im März 2018 entdeckt wurde. Damit ist die Schadsoftware ein ideales Beispiel für eine erfolgreiche Advanced Persistent Threat ("fortgeschrittene, andauernde Bedrohung") oder kurz: APT-Attacke.

Advanced Persistent Threats sind langfristige Angriffe, die zum Ziel haben, so viele Daten wie möglich über das ausgewählte Objekt zu sammeln und damit einen entsprechenden Angriff zu starten.
Foto: Profit_Image - shutterstock.com

Im Gegensatz zu konventionellen Angriffen, sind APTs langfristige Operationen, die darauf abzielen, so viele wertvolle Daten wie möglich zu infiltrieren und/oder zu exfiltrieren, ohne entdeckt zu werden. Derzeit ist noch nicht abzusehen, auf wie viele Daten die Angreifer mit Hilfe von Slingshot zugreifen konnten. Gemäß den Informationen von Kaspersky waren rund 100 Ziele in Afrika und dem Nahen Osten betroffen. Wie bei Stuxnet weist vieles darauf hin, dass hier Hacker im staatlichen Auftrag am Werk waren. Und das offensichtlich erfolgreich: Sechs Jahre unentdeckt zu bleiben, ist selbst für einen APT-Angriff ein herausragender Wert.

Der APT-Lebenszyklus

Stuxnet gilt zu Recht als Paradebeispiel für solch eine Attacke. Der Computerwurm führte einen strategischen Angriff auf ein hochwertiges Ziel: Die Programmierer schrieben Code, um ein bestimmtes Kontrollboard eines bestimmten Herstellers anzugreifen, mit dem der Iran Uran anreicherte. Und dieser Code wurde so entwickelt, dass er schwer zu finden war und auf diese Weise viel Zeit hatte, so viel Schaden wie möglich anzurichten.

Die Phasen eines APT-Angriffs im Überblick.
Foto: Varonis Systems

Der Lebenszyklus eines APT ist entsprechend wesentlich länger und komplizierter als bei anderen Arten von Angriffen. Die startegische Vorgehensweise eines APT-Angriffes sieht wie folgt aus:

Ziel definieren: Bestimmen, wen man im Visier hat, was man erreichen will – und warum.
Komplizen finden und organisieren: Teammitglieder auswählen, erforderliche Fähigkeiten identifizieren und Insider-Zugriff erlangen.
Tools entwickeln oder erwerben: Finden von aktuell verfügbaren Programmen oder Entwicklung neuer Anwendungen, um die richtigen Tools für die Aufgabe zur Verfügung zu haben.
Ziel auskundschaften: Herausfinden, wer den benötigten Zugriff hat, welche Hard- und Software das Opfer verwendet und wie der Angriff am besten ausgeführt werden kann.
Erkennung testen: Einsetzen einer kleinen Aufklärungsversion der Software, Testen von Kommunikation und Alarmen, Identifikation von Schwachstellen.
Einsatz: Es geht los! Die komplette Suite in Betrieb nehmen und mit der Infiltration beginnen.
Erstes Eindringen: Sobald man sich im Netzwerk befindet, herausfinden, welche Schritte notwendig sind, um das Ziel zu finden.
Verbindung nach außen initiieren: Ist das Ziel erfasst, wird Tunnel errichtet, um mit dem Senden von Daten aus dem Ziel zu beginnen.
Zugriff erweitern und Zugangsdaten generieren: Erstellen eines „Geister-Netzwerks“ innerhalb des Zielnetzwerks, das vom Angreifer kontrolliert wird und Nutzung des eigenen Zugriffs, um einen größeren Bewegungsradius zu erhalten.
Stand stärken: Nutzen von anderen Schwachstellen, um mehr Zombies einzurichten oder den Zugang zu anderen interessanten Zielen zu erweitern.
Daten exfiltrieren: Wenn das Gesuchte gefunden wurde,, wird es zurück zur Basis gebracht.
Spuren verwischen und unentdeckt bleiben: Die gesamte Operation hängt von der Fähigkeit ab, im Netzwerk verborgen zu bleiben. Weiterhin an der Tarnung arbeiten und sicherstellen, dass man hinter sich aufräumt.

Das Einmaleins der IT-Security

Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter

Dokumentation
Vollständige und regelmäßige Dokumentation der IT

Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.

Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.

E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.

Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.

Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.

Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.

Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.

Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.

Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.

Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.

Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.

Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien

Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten

Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates

Logfiles
Kontrolle der Logfiles

Datensicherung
Auslagerung der Datensicherung

Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen

Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe

WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste

Firewalls
Absicherung der Internetverbindung durch Firewalls

Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie

Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation

Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme

Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe

Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten

Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme

Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme

Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Die Werkzeugkiste eines APT-Angriffs

APT-Operationen mit vielen Schritten und beteiligten Personen erfordern einen enormen Koordinationsaufwand. So wird vermutet, dass der Personalaufwand bei der Stuxnet-Entwicklung mindestens fünf bis zehn Hauptentwickler sowie zusätzliches Personal für Qualitätssicherung und Management betrug und rund 50 Millionen USD gekostet hat. Hierbei gibt es einige bewährte Taktiken, die bei verschiedenen APT-Operationen immer wieder auftauchen:

Social Engineering: Die älteste und zugleich erfolgreichste aller Infiltrationsmethoden ist klassisches Social Engineering. Es ist viel einfacher, jemanden zu überzeugen, Ihnen den benötigten Zugang zu verschaffen als ihn selbst zu stehlen oder zu entwickeln. Die meisten APT-Angriffe haben eine Social-Engineering-Komponente, entweder am Anfang während der Zielerforschungsphase oder gegen Ende, um die Spuren zu verwischen.

Spear Phishing: Spear Phishing ist ein gezielter Versuch, einer bestimmten Person die Zugangsdaten zu entwenden. Das Zielobjekt wird typischerweise während der Zielforschung ausgekundschaftet und als möglicher "Türöffner" für die Infiltration identifiziert. Wie bei "normalen", weit gestreuten Phishing-Angriffen verwenden Spear Phishing-Versuche Malware, Keylogger oder E-Mail, um den Einzelnen dazu zu bringen, die Anmeldeinformationen weiterzugeben.

Rootkits: Da Rootkits im Herzen der Computersysteme leben, sind sie schwer zu erkennen. Rootkits verstecken sich gut und gewähren Zugang zum infizierten System. Einmal installiert, können die Angreifer über das Rootkit auf das Zielunternehmen zugreifen. Sobald sie sich im Netzwerk befinden, können sie zudem noch andere Systeme infiltrieren, was es für Sicherheitsteams wesentlich schwieriger macht, die Bedrohung einzudämmen.

Exploits: Ein einfaches Ziel für APTs sind Zero-Day- oder andere bekannte Sicherheitslücken. Ein nicht gepatchtes Sicherheitsproblem ließ beispielsweise den APT-Angriff bei Equifax mehrere Monate unentdeckt weiterlaufen.

Andere Tools: Während die oben genannten Ansätze am verbreitetsten sind, gibt es eine scheinbar endlose Menge von potenziellen Tools: Infizierte Downloads, DNS-Tunneling, Rogue WiFi und vieles mehr. Und wer weiß, was die nächste Generation von Hackern entwickeln wird bzw. was bereits unentdeckt im Einsatz ist?

Wer steckt hinter APTs?

Die Akteure, die APT-Angriffe durchführen, sind in der Regel hoch motiviert, engagiert und verfügen über entsprechende finazielle Mittel. Sie haben ein bestimmtes Ziel vor Augen und sind gut organisiert, kompetent und entschlossen, dieses Ziel zu erreichen. In aller Regel werden diese Operationen von einer größeren Organisation (dies kann ein Staat bzw. Geheimdienst, aber auch ein Unternehmen sein) durchgeführt oder initiiert. Diese Gruppen betreiben Cyber-Spionage mit dem Ziel, Informationen zu sammeln oder bestimmte Ziele zu sabotieren.

Zu den bekannten APT-Gruppen zählen etwa:

APT28 (auch bekannt als Fancy Bear)
APT29 (alias Cosy Bear)
Deep Panda (wird China zugerechnet)
OilRig (wird dem Iran zugerechnet)

Die Motivationen hinter APT-Angriffen reichen von Industriespionage über (politisch motivierten) Informationsdiebstahl bis zur Sabotage. Einige weniger ausgefeilte APTs dienen in erster Linie dazu, Geld zu stehlen. Letztere sind deutlich die am weitesten verbreiteten APT-Angriffe, jedoch sind sie in Aufwand und Raffinesse nicht mit staatlich geförderten Angriffen zu vergleichen.

So binden Sie Ihre IT-Sicherheitsexperten

Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.

Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.

Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.

Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.

Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.

Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.

Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.

Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.

Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.

Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.

Was sind typische Ziele für APT-Angriffe?

Im Allgemeinen zielen APTs auf höherwertige Ziele wie beispielsweise andere Nationalstaaten oder konkurrierende Unternehmen. Jedoch kann letztlich jede Person Ziel eines solchen Angriffs sein. Die entscheidenden Merkmale einer APT-Attacke sind dabei ein längerer Zeitraum des Angriffs und konsequente Verschleierungsversuche durch die Angreifer.

Im Grunde sind alle sensiblen Daten ein mögliches Ziel für einen Angriff, ebenso wie Bargeld oder Bargeldäquivalente (wie Bankkontodaten oder Bitcoin-Wallet-Schlüssel).

Mögliche Ziele sind u.a.:

Geistiges Eigentum (z.B. Erfindungen, Geschäftsgeheimnisse, Patente, Designs, Verfahren)
Vertrauliche Daten
Persönlich identifizierbare Informationen (PII)
Infrastrukturdaten (d.h. Aufklärungsdaten)
Zugangsdaten
Sensible oder belastende Kommunikation (z.B. Sony)

Was kann man gegen APTs unternehmen?

Nur mit einem mehrschichtigen Sichereitsansatz kann man sich vor APTs schützen.
Foto: Varonis Systems

Um sich vor APT-Angriffen zu schützen, bedarf es eines mehrschichtigen Sicherheitsansatzes:

Perimeterschutz: Beschränken und kontrollieren Sie den Zugriff auf die Firewall und den physischen Zugang. Alle Access Points sind potentielle Einstiegspunkte für einen APT-Angriff. Ungepatchte Server, offene WiFi-Router, unverschlossene Serverraumtüren und unsichere Firewalls bieten die Möglichkeit zur Infiltration. Kümmern Sie sich zuerst um die Sicherheitsgrundlagen.

Effektives Monitoring: Sammeln Sie alles über Ihre wertvollen Daten: Wo sind Ihre Daten gespeichert? Wer hat Zugriff auf diese Daten? Wer nimmt Änderungen an der Firewall vor? Wer nimmt Änderungen an den Zugangsdaten vor? Wer greift auf sensible Informationen zu? Wer greift auf das Netzwerk zu und von woher? Sie sollten alles wissen, was in Ihrem Netzwerk und mit Ihren Daten geschieht. Die Dateien selbst sind das Ziel. Wenn Sie wissen, was mit Ihren Dateien geschieht, können Sie darauf reagieren und verhindern, dass APTs in Ihrem Unternehmen Schaden anrichten.

Datensicherheitsanalyse: Vergleichen Sie Datei- und Benutzeraktivitäten mit dem Ausgangsverhalten, damit Sie wissen, was normal und was verdächtig ist. Verfolgen und analysieren Sie potenzielle Sicherheitslücken und verdächtige Aktivitäten, um Angriffe stoppen zu können, bevor es zu spät ist. Erstellen Sie einen Aktionsplan, um Bedrohungen zu bekämpfen, sobald Sie die Warnungen erhalten. Unterschiedliche Bedrohungen erfordern unterschiedliche Reaktionen: Ihre Teams müssen wissen, wie sie im jeweiligen Fall vorgehen müssen.

Ohne effektives Monitoring ist es schwierig bzw. nahezu unmöglich, APT-Attacken zu identifizieren. Die Angreifer setzen alles daran, unentdeckt zu bleiben und dabei ihrem Ziel entsprechend zu operieren. Sobald sie sich innerhalb des Perimeters befinden, können sie wie jeder andere Remote-Benutzer aussehen. Das Sammeln, Analysieren und Korrelieren von Sicherheitsinformationen aus verschiedenen Quellen - etwa DNS, VPN oder Web Proxy - kann entscheidende Hinweise auf APT-Aktivitäten geben. Darüber hinaus kommt der intelligenten Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) eine Schlüsselrolle zu, um abnormales Verhalten zu identifizieren und zu stoppen. (hal)