Definition von hochentwickelten hartnäckigen Bedrohungen
Eine hochentwickelte hartnäckige Bedrohung (Advanced Persistent Threat, APT) ist ein ausgeklügelter, anhaltender Cyberangriff, mit dem Eindringlinge sich unentdeckt in ein Netzwerk einnisten, um über einen längeren Zeitraum sensible Daten zu stehlen. Ein APT-Angriff wird sorgfältig geplant und dient der Infiltration in ein bestimmtes Unternehmen. Er ist dabei so konzipiert, dass er sich bestehenden Sicherheitsmaßnahmen entzieht und unentdeckt bleibt.
Das Ausführen eines APT-Angriffs erfordert ein höheres Maß an Anpassung und Raffinesse als ein klassischer Angriff. Die Bedrohungsakteure sind in der Regel finanziell gut ausgestattete und erfahrene Gruppen von Cyberkriminellen, die besonders lukrative Unternehmen ins Visier nehmen. Vor dem Angriff werden viel Zeit und Ressourcen für die Suche nach Schwachstellen im Unternehmen aufgewendet.
- Die Ziele von APTs lassen sich in vier allgemeine Kategorien einteilen:
- Cyberspionage, einschließlich Diebstahl von geistigem Eigentum oder Staatsgeheimnissen
- Cyberkriminalität zur finanziellen Bereicherung
- Hacktivismus
- Zerstörung
CrowdStrike Global Threat Report 2024: Kurzfassung
Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.
Jetzt herunterladenDie 3 Stufen eines APT-Angriffs
Zum Verhindern, Erkennen und Abwehren eines APT-Angriffs müssen Sie seine Eigenschaften identifizieren können. Die meisten APTs folgen dem gleichen grundlegenden Zyklus: Infiltrieren des Netzwerks, Erweitern der Zugriffsrechte und Erreichen des Angriffsziels. Meist besteht das Ziel darin, Daten aus dem Netzwerk zu extrahieren bzw. zu stehlen.
Stufe 1: Infiltration
In der ersten Stufe verschaffen sich die APTs Zugang, oft durch Social-Engineering-Techniken. Ein Anzeichen für eine APT ist eine Phishing-E-Mail, die selektiv auf hochrangige Personen wie leitende Angestellte oder Technische Leiter abzielt. Dabei werden oft von bereits kompromittierten Teammitgliedern erhaltene Informationen verwendet. Gegen spezifische Personen gerichtete E-Mail-Angriffe werden als „Spearphishing“ bezeichnet.
Die E-Mail scheint womöglich von einem Teammitglied zu stammen und kann sich auf ein laufendes Projekt beziehen. Wenn mehrere Führungskräfte melden, dass sie durch einen Spearphishing-Angriff getäuscht wurden, sollten Sie nach weiteren Anzeichen für eine APT Ausschau halten.
Stufe 2: Eskalationen und laterale Bewegungen
Sobald der Erstzugang besteht, schleusen die Angreifer Malware in das Netzwerk des Unternehmens ein, um mit Stufe 2 fortzufahren: der Erweiterung der Zugriffsrechte. Die Angreifer bewegen sich lateral, um das Netzwerk zu erkunden und Anmeldedaten wie Kontonamen und Kennwörter zu erfassen und sich damit Zugang zu kritischen Geschäftsinformationen zu verschaffen.
Vielleicht richten die Angreifer auch eine „Backdoor“ ein. Diese Methode ermöglicht es ihnen, später in das Netzwerk einzudringen und heimlich tätig zu werden. Oft wird für zusätzliche Einstiegspunkte gesorgt, damit der Angriff auch dann fortgeführt werden kann, wenn ein kompromittierter Zugangspunkt erkannt und geschlossen wird.
Stufe 3: Exfiltration
Zur Vorbereitung auf die dritte Stufe speichern Cyberkriminelle häufig gestohlene Informationen an einem sicheren Ort im Netzwerk, bis genügend Daten gesammelt wurden. Dann extrahieren oder „exfiltrieren“ sie sie, ohne dabei erkannt zu werden. Dafür greifen sie möglicherweise auf Taktiken wie einen DoS-Angriff (Denial-of-Service) zurück, um das Sicherheitsteam abzulenken und das Netzwerkpersonal zu beschäftigen, während die Daten exfiltriert werden. Unter Umständen bleibt das Netzwerk auch kompromittiert, sodass die Diebe jederzeit wiederkommen können.
Beispiele für hochentwickelte hartnäckige Bedrohungen
CrowdStrike verfolgt aktuell mehr als 150 Bedrohungsakteure aus aller Welt, darunter nationalstaatliche Akteure, Cyberkriminelle und Hacktivisten. Im CrowdStrike-Benennungssystem für Bedrohungsakteure wird der jeweilige staatlich unterstützte Akteur angegeben: „BEAR“ steht für Russland, „CHOLLIMA“ für Nordkorea, „PANDA“ für China und „KITTEN“ für den Iran. „SPIDER“ wird verwendet, wenn keine staatliche Unterstützung besteht.
Nachfolgend nennen wir einige nennenswerte Beispiele für APTs, die CrowdStrike aufgedeckt hat:
APT27 (Goblin Panda)
Goblin Panda wurde im September 2013 erstmals beobachtet, als CrowdStrike Angriffsindikatoren im Netzwerk eines in verschiedenen Bereichen tätigen Technologieunternehmens feststellte. Der Bedrohungsakteur aus China nutzt zwei Microsoft Word-Exploit-Dokumente mit schulungsbezogenen Themen, bei deren Öffnen böswillige Dateien abgelegt werden. Bei den Zielen handelt es sich meist um Unternehmen aus dem Verteidigungs- und Energiesektor bzw. um Behörden in Südostasien, insbesondere Vietnam.
Vollständiges APT-Profil zu Goblin Panda lesen
PT28 (Fancy Bear)
Fancy Bear verwendet Phishing-Nachrichten und sehr gut gefälschte Websites, um sich Zugang zu konventionellen Computern und Mobilgeräten zu verschaffen. Dieser seit mindestens 2008 aktive Angreifer aus Russland nimmt politische Organisationen in den USA, europäische Militärorganisationen und Opfer aus verschiedenen Bereichen weltweit ins Visier.
Vollständiges APT-Gruppenprofil zu Fancy Bear lesen
APT29 (Cozy Bear)
Cozy Bear ist ein Bedrohungsakteur russischen Ursprungs, der vermutlich im Auftrag des Auslandsgeheimdienstes der Russischen Föderation arbeitet. Bei diesem Bedrohungsakteur wurde festgestellt, dass er groß angelegte Spearphishing-Kampagnen nutzt, um eine breite Palette von Malware-Typen bereitzustellen. Damit nimmt er Organisationen aus den Bereichen Politik, Wissenschaft und nationale Sicherheit in verschiedenen Sektoren ins Visier. Das ist wahrscheinlich darauf zurückzuführen, dass die verschiedenen operativen Direktionen des Auslandsgeheimdienstes eine kontinuierliche Datenerfassung fordern.
Vollständiges APT-Gruppenprofil zu Cozy Bear lesen
APT32 (Ocean Buffalo)
Ocean Buffalo ist ein Bedrohungsakteur aus Vietnam, der Angriffe mit zielgerichteten Kompromittierungen ausführt und Berichten zufolge seit mindestens 2012 aktiv ist. Dieser Bedrohungsakteur nutzt bekanntermaßen eine breite Palette von TTPs (Taktiken, Techniken und Prozeduren) und setzt sowohl auf individuelle als auch auf Standardtools. Außerdem verbreitet er Malware durch strategische Operationen zur Webkompromittierung und Spearphishing-E-Mails mit böswilligen Anhängen.
APT 34 (Helix Kitten)
Helix Kitten ist seit mindestens 2015 aktiv und stammt wahrscheinlich aus dem Iran. Dieser Bedrohungsakteur nimmt Organisationen aus der Luft- und Raumfahrt, dem Energiesektor, dem Finanzbereich, dem Gastgewerbe, der Telekommunikationsbranche sowie Behörden ins Visier und arbeitet mit gut recherchierten und strukturierten Spearphishing-Nachrichten, die den Opfern äußerst relevant erscheinen. In der Regel stellt er ein individuell erstelltes PowerShell-Schadprogramm mithilfe von Microsoft Office-Dokumenten mit Makros bereit.
Vollständiges APT-Profil zu Helix Kitten lesen
APT41 (Wicked Panda)
Wicked Panda ist seit ca. 2015 einer der aktivsten und effektivsten Bedrohungsakteure aus China. CrowdStrike Intelligence ist der Meinung, dass Wicked Panda sich aus diversen Gruppen mit zahlreichen Auftragnehmern zusammensetzt, die im Interesse des chinesischen Staates arbeiten und gleichzeitig kriminelle, gewinnbringende Aktivitäten durchführen – wahrscheinlich mit einer Art stillschweigender Billigung von Amtsträgern der Kommunistischen Partei Chinas.
Vollständiges APT-Profil zu Wicked Panda lesen
Betroffene Branchen
Finanzdienstleister: Die unglaublichen Summen, die von Finanzinstituten verwaltetet werden, sowie die kritische Rolle dieser Branche mit Blick auf nationale und globale wirtschaftliche Belange machen diesen Sektor zu einem logischen Angriffsziel – sowohl für nationalstaatliche Bedrohungsakteure als auch für Cyberkriminelle.
Gesundheitswesen: Die COVID-19-Pandemie hat zu einer Welle von Cyberaktivitäten durch Cyberkriminelle und nationalstaatliche Bedrohungsakteure geführt, die sich die pandemiebedingte Ungewissheit zunutze machen, um Spam-Kampagnen zu starten. Für die Akteure hinter zielgerichteten Kompromittierungen kam zudem häufig ein neuer Auftrag hinzu: Sie sollten wissenschaftliche Informationen erfassen, die ihrer Landesregierung bei der Reaktion auf COVID-19 und bei der Impfstoffentwicklung von Nutzen sein könnten.
Fertigungsindustrie: Hersteller verfügen oft über wertvolles geistiges Eigentum, was sie zu einem Ziel für APT-Bedrohungsakteure macht, die es auf Wirtschaftsspionage abgesehen haben.
Telekommunikation: Da diese Unternehmen für verschiedene Sektoren eine kritischen Rolle einnehmen und Angriffe eine enormes physisches und psychologisches Potenzial bergen, haben sie mit einer Vielfalt von Cyberbedrohungen zu kämpfen, die von nationalstaatlichen Akteuren, Cyberkriminellen und Hacktivisten ausgehen.
Luftfahrtbranche: Angriffe auf Airlines und Flughäfen können staatlichen Angreifern äußerst nützliche Informationen liefern. Aber auch Cyberkriminelle haben es auf diese Unternehmen abgesehen. Das gilt insbesondere für Akteure, die auf das sogenannte Big Game Hunting (BGH, engl. Großwildjagd) setzen und potenziell lukrative Opfer wittern.
Eigenschaften eines APT-Angriffs
Da bei APTs andere Techniken als bei einem gewöhnlichen Hackerangriff zum Einsatz kommen, sind auch die Anzeichen unterschiedlich. Neben Spearphishing-Angriffen auf Führungskräfte sollten Sie auf folgende Hinweise auf einen APT-Angriff achten:
- Ungewöhnliche Aktivitäten in Benutzerkonten, z. B. viele Anmeldevorgänge spät am Abend
- Breite Präsenz von Backdoor-Trojanern
- Unerwartete oder ungewöhnliche Datenpakete, die darauf hindeuten können, dass Daten zur Exfiltrierung gesammelt wurden
- Unerwartete Informationsflüsse wie Anomalien bei ausgehenden Daten oder eine plötzliche, untypische Zunahme von Datenbankoperationen mit massiven Datenmengen
Schutz vor hochentwickelten Bedrohungen: Warum Schnelligkeit so wichtig ist
Schnelligkeit ist heute der wichtigste Faktor für Cybersicherheit. Um sich schützen zu können, müssen Sie schneller als der Angreifer sein. Bei CrowdStrike verwenden wir die Breakout-Time, um die operative Raffinesse eines Bedrohungsakteurs zu bewerten und die Geschwindigkeit abzuschätzen, mit der eine Reaktion erforderlich ist.Die Breakout-Time gibt an, wie lange ein Eindringling braucht, um sich innerhalb eines Netzwerks lateral zu bewegen, nachdem er sich Zugang verschafft hat.
Diese kritische Kennzahl zeigt die Geschwindigkeit, mit der Bedrohungsakteure handeln können, und dient der Evaluierung der Erkennungs- und Reaktionszeiten eines Sicherheitsteams.
Zum erfolgreichen Stoppen von Kompromittierungen müssen Unternehmen die Bedrohungen schnellstmöglich erkennen, untersuchen und eindämmen. CrowdStrike nutzt ein Modell, das als 1-10-60-Regel bezeichnet wird. Diese besagt, dass ein Angriff innerhalb von 1 Minute erkannt, innerhalb von 10 Minuten untersucht und innerhalb von 60 Minuten eingedämmt und ausgeräumt werden sollte. Diese Geschwindigkeit ist erforderlich, um schneller zu sein als die Bedrohungsakteure – manche Angreifer sind aber womöglich trotzdem noch schneller.
Betrachten wir die durchschnittliche Breakout-Time der wesentlichen Bedrohungsakteure, die heute aktiv sind:
Bedrohungsakteure | Durchschnittliche Breakout-Time |
---|---|
Russland | 00:18:49 |
Nordkorea | 02:20:14 |
China | 04:00:26 |
Iran | 05:09:04 |
Cyberkriminalität ohne staatlichen Hintergrund | 09:42:23 |
Denken Sie daran, dass die Breakout-Time bei Cyberkriminalität ohne staatlichen Hintergrund ein Durchschnittswert über alle Gruppen hinweg ist und manche Bedrohungsakteure demnach deutlich schneller sein können. Unternehmen können jedoch basierend auf diesen Durchschnittsangaben ihre Zielreaktionszeiten anpassen – je nachdem, mit welchen Arten von Bedrohungsakteuren sie es abhängig von ihrem Geschäftsfeld oder dem regionalen Fokus am wahrscheinlichsten zu tun haben werden. Bei einem Angriff durch einen staatlich unterstützten Akteur aus Russland kann eine ernste Kompromittierung beispielsweise bereits in deutlich weniger als einer Stunde auftreten.
Zum Einhalten der 1-10-60-Regel und schnellstmöglichen Stoppen von APTs setzen Unternehmen auf die CrowdStrike Falcon®-Plattform, die auch Virenschutz der nächsten Generation mit Falcon Prevent umfasst. Falcon Prevent steht für cloudnativen Virenschutz, der über Malware hinausgeht und auch hilft, Zero-Day- und malwarelose Angriffe abzuwehren.
Die Endpunktbasierte Detektion und Reaktion (EDR) mit Falcon Insight ist ein weiterer wesentlicher Bestandteil der Falcon-Plattform. Dieser sucht nach Angriffsindikatoren, um Angriffe zu stoppen, bevor es zu Datenverlusten kommt. Die Lösung CrowdStrike Falcon® Intelligence hilft bei der Untersuchung von Zwischenfällen und beschleunigt die Reaktion im Falle einer Kompromittierung, indem Bedrohungsanalysen und individuelle Indikatoren nahtlos in den Endgeräteschutz integriert werden. In Kombination mit dem Fachwissen des globalen CrowdStrike Falcon Intelligence™-Teams können Unternehmen jeder Größe mit der Falcon-Plattform schneller reagieren und beim nächsten APT-Angriff die Oberhand behalten.