Was ist ein Advanced Persistent Threat (APT)?

Ein Advanced Persistent Threat (APT) ist ein meist von Nationalstaaten unterstützter Cyberangriff, der auf Spionage oder Sabotage abzielt. APT-Angriffe bleiben oft über längere Zeiträume hinweg unerkannt im System, was ihnen den Namen „persistent“ verleiht.

Der Begriff Advanced Persistent Threat (APT) wird oft missverstanden. Um ihn richtig zu verstehen, ist es wichtig, die Ziele und Techniken dieser Angriffe zu betrachten. Denn der Begriff bezeichnet nicht eine spezielle technische Methode, sondern den Angreifer (oder eine Gruppe von Angreifern) und deren Motivation. Für gewöhnlich ist die Motivation nicht einmalige Spionage, finanzieller Gewinn oder andere Cyberverbrechen, sondern systematische Unternehmensspionage, um wertvolle Handelsgeheimnisse und geistiges Eigentum zu stehlen oder der APT Angriff dient zur Sabotage der Pläne und Infrastruktur einer Organisation.

Bei einem APT-Angriff verwenden Angreifer verschiedene, oft auf E-Mail basierende Methoden, die durch andere physische und externe Exploits unterstützt werden. Advanced Persistent Threats haben einige typische Eigenschaften, die bei anderen Angriffsarten nicht zu finden sind:

• Recon (Aufklärung): APT-Angreifer sammeln üblicherweise im Vorfeld Informationen und wissen, welche Nutzer und Systeme sie angreifen müssen, um ihre Ziele zu erreichen. Diese Informationen werden häufig durch Social Engineering, öffentliche Foren und – höchstwahrscheinlich – nationalstaatliche Geheimdienste in Erfahrung gebracht.
• Time-to-live (Lebenszeit): Advanced Persistent Threats wollen über längere Zeiträume hinweg unerkannt bleiben und wenden dazu bestimmte Techniken an. Sie suchen nicht nach einer kurzlebigen Infektionsperiode, wie es sonst bei Angriffen mit finanzieller Motivation zu sehen ist. Sie versuchen, alle ihre Spuren zu beseitigen und führen ihre Angriffe in der Regel außerhalb der regulären Arbeitszeiten aus. Sie hinterlassen immer Hintertüren, damit ein erneutes Eindringen möglich ist, sollte der anfängliche Zugriff erkannt werden. Dadurch können sie sich als hartnäckig erweisen.
• Erweiterte Malware: Angreifer nutzen das gesamte Spektrum bekannter und verfügbarer Angriffstechniken und kombinieren bei jedem APT-Angriff verschiedene Methoden, um ihr Ziel zu erreichen. APT-Angreifer nutzen kommerziell erhältliche Crimeware und Kits, haben für gewöhnlich jedoch auch die notwendige Technologie und Erfahrung, um ihre eigenen angepassten Tools und polymorphe Malware zu entwickeln, wenn dies für die jeweiligen Umgebungen und Systeme erforderlich ist.
• Phishing: Die meisten Advanced Persistent Threats, die internetgestützte Ausbeutungstechniken anwenden, starten ihren APT-Angriff mit gezielten Social-Engineering-Methoden und Spear-Phishing. Nachdem der Computer eines Benutzers kompromittiert wurde oder die Netzwerk-Anmeldeinformationen gestohlen wurden, können die Angreifer aktive Schritte unternehmen, um ihre eigenen Tools zur Überwachung und Verbreitung durch das Netzwerk nach Bedarf einzusetzen – von Computer zu Computer und Netzwerk zu Netzwerk – bis sie die gesuchten Informationen gefunden haben.
• Aktiver Angriff: Bei APTs liegt ein beachtliches Ausmaß an koordinierter menschlicher Mitwirkung durch den Angreifer vor. Es handelt sich nicht um vollautomatisierte Codes, die in typischen Crimeware-Angriffen lediglich Daten zurück zum Angreifer senden, damit dieser sie einsammeln kann. Bei einem APT ist der Gegner ein kapitalkräftiger, motivierter, kompetenter und höchst gezielter Angreifer, der seinen Ansatz und seine Reaktion äußerst bewusst durchzieht.

Es gibt keine allgemein wirksame Wunderwaffe oder einen APT-Blocker, der ein Unternehmen vor APT-Angriffen schützen kann. Daher ist eine durchdachte APT Security-Strategie unerlässlich, um potenzielle Bedrohungen frühzeitig zu erkennen und effektiv abzuwehren. Advanced Persistent Threats suchen immer wieder nach neuen Wegen, um nach dem Eindringen in die Organisation dort zu verbleiben und heben damit die Bedeutung von APT in der Cybersicherheit nochmals hervor.

Für eine effektive APT Security ist es entscheidend, verschiedene Technologien, die Protokolle triangulieren und außerhalb der Norm liegende Verhaltensweisen im Unternehmensnetzwerk identifizieren, miteinander zu kombinieren. Der Schwerpunkt dieser Verteidigungsstrategie sollte die Auswahl erstklassiger Erkennungslösungen sein, die auf Advanced Persistent Threats spezialisiert sind. Diese Lösungen liefern gemeinsam Aufklärungsdaten über die Ziele und die von den Angreifern verwendeten Methoden. Zusätzlich werden die Häufigkeit der Aktivität, der Ursprung des Advanced Persistent Threats und das mit den Motiven des Angreifers verbundene Risiko analysiert.

Basierend auf dem Verizon Data Breach Investigations Report verwenden 95 % aller gezielten Bedrohungen und APT-Angriffe eine Form von Spear Phishing als Ausgangspunkt des Angriffs. Daher muss ein Teil einer APT-Security-Strategie eines Unternehmens eine Erkennungslösung umfassen, die basierend auf ungewöhnlichen Traffic-Mustern nach gezielten Bedrohungen in einer E-Mail sucht, die in verdächtigen E-Mails eingebetteten URLS neu schreibt und danach konstant Ausschau nach schädlichen Verhaltensweisen hält, um diese präventiv zu isolieren. Ein solcher Ansatz ist ein wesentlicher Bestandteil moderner APT Security und kann vor APT-Angriffen schützen bzw. diese erkennen. Und da bekannt ist, welche Benutzer wann und wie lange angegriffen wurden, können Sie auf diese Weise mehr über den APT-Gegner und seine Motivationen erfahren.