Über den Einsatz von Cookies auf dieser Website Unsere Websites benötigen einige Cookies, um ordnungsgemäß zu funktionieren (erforderlich). Darüber hinaus können mit Ihrer Zustimmung weitere Cookies verwendet werden, um die Nutzung der Website zu analysieren, die Benutzerfreundlichkeit zu verbessern und Werbung zu schalten. Weitere Informationen finden Sie in Ihren. Durch den Besuch unserer Website erklären Sie sich mit der Verarbeitung von Informationen einverstanden, wie in der IBMDatenschutzbestimmung beschrieben. Um eine reibungslose Navigation zu ermöglichen, werden Ihre Cookie-Präferenzen über die hier aufgeführten IBM Web-Domains hinweg gemeinsam genutzt.
Was sind persistente komplexe Bedrohungen?
Veröffentlicht: 3. April 2024
Mitwirkende: Gregg Lindemulder, Amber Forrest
Persistente komplexe Bedrohungen (Advanced Persistent Threats, APT) sind unerkannte Cyberangriffe, die darauf ausgelegt sind, sensible Daten zu stehlen, Cyberspionage zu betreiben oder kritische Systeme über einen langen Zeitraum zu sabotieren. Im Gegensatz zu anderen Cyberbedrohungen wie Ransomware ist es das Ziel einer APT-Angriffsgruppe, unbemerkt zu bleiben, wenn sie infiltriert und ihre Präsenz in einem Zielnetzwerk ausbaut.
Staatlich gesponserte Teams von Cyberkriminellen führen häufig APT-Angriffe durch, um an die sensiblen Informationen anderer Nationalstaaten oder das geistige Eigentum großer Organisationen zu gelangen. Auch wenn sie zunächst traditionelle Social-Engineering-Techniken verwenden, sind diese Bedrohungsakteure dafür bekannt, dass sie fortschrittliche Tools und Methoden anpassen, um die einzigartigen Schwachstellen bestimmter Organisationen auszunutzen. Ein erfolgreicher APT-Angriff kann Monate oder sogar Jahre dauern.
APT-Gruppen erhalten oft durch Social Engineering und Spear-Phishing anfänglichen Zugriff auf ihr Zielnetzwerk. Mithilfe von Informationen aus Quellen innerhalb und außerhalb eines Unternehmens erstellen APT-Angreifer ausgeklügelte Spear-Phishing-E-Mails, die Führungskräfte oder leitende Angestellte zum Klicken auf einen bösartigen Link verleiten. Die Angreifer können auch andere Einstiegspunkte und Angriffsflächen nutzen, um in das Netzwerk einzudringen. Zum Beispiel können sie einen Zero-Day-Angriff auf eine ungepatchte Sicherheitslücke in einer Webanwendung starten oder Malware auf einer öffentlichen Website einbetten, die Mitarbeiter bekanntermaßen besuchen.
Nach dem ersten Eindringen werden APT-Gruppen das Netzwerk erkunden und kartieren, um die nächsten Schritte für die laterale Bewegung im gesamten Unternehmen zu ermitteln. Durch die Installation einer Reihe von Backdoors, die ihnen den Zugriff auf das Netzwerk von mehreren Einstiegspunkten aus ermöglichen, können sie weiterhin Erkundungsarbeit leisten und versteckte Malware installieren. Außerdem können sie versuchen, Passwörter zu knacken und administrative Rechte für sichere Bereiche zu erlangen, in denen sich sensible Daten befinden. Am wichtigsten ist jedoch, dass die Angreifer eine Verbindung zu einem externen Command-and-Control-Server herstellen, um die gehackten Systeme aus der Ferne zu verwalten.
Um sich auf den ersten Fall von Datendiebstahl vorzubereiten, verschieben APT-Gruppen die Informationen, die sie im Laufe der Zeit gesammelt haben, an einen zentralen, sicheren Ort innerhalb des Netzwerks. Sie können die Daten auch verschlüsseln und komprimieren, um die Exfiltration zu erleichtern. Um das Sicherheitspersonal abzulenken und Ressourcen umzuleiten, inszenieren sie dann möglicherweise ein „weißes Rauschen“ wie einen DDoS-Angriff (Distributed Denial of Service). Zu diesem Zeitpunkt sind sie in der Lage, die gestohlenen Daten unbemerkt auf einen externen Server zu übertragen.
APT-Gruppen können über einen längeren Zeitraum oder auf unbestimmte Zeit in einem infiltrierten Netzwerk verbleiben, während sie auf neue Gelegenheiten für einen Angriff warten. In dieser Zeit können sie ihre versteckte Präsenz aufrechterhalten, indem sie Code umschreiben, um Malware zu verbergen, und Rootkits installieren, die unentdeckt Zugang zu sensiblen Systemen ermöglichen. In manchen Fällen entfernen sie Beweise für den Angriff und verlassen das Netzwerk vollständig, nachdem sie ihre Ziele erreicht haben.
Mithilfe weit verbreiteter Phishing-E-Mails, hochgradig personalisierter Spear-Phishing-E-Mails oder anderer Taktiken zur sozialen Manipulation überzeugen APT-Gruppen Benutzer, auf bösartige Links zu klicken oder Informationen preiszugeben, die Zugriff auf geschützte Systeme gewähren.
Durch den Einsatz von bösartigem Shellcode, der Netzwerke nach ungepatchten Software-Schwachstellen durchsucht, können APT-Gruppen Schwachstellen ausnutzen, bevor IT-Administratoren reagieren können.
APT-Gruppen können die vertrauenswürdigen Geschäfts-, Technologie- oder Anbieterpartner eines Unternehmens ins Visier nehmen, um sich über gemeinsam genutzte Software- oder Hardware-Lieferketten unbefugten Zugriff zu verschaffen.
Mit ihrer Fähigkeit, versteckten Backdoor-Zugang zu geschützten Systemen zu ermöglichen, sind Rootkits ein wertvolles Werkzeug für APT-Gruppen, um Remote-Aktivitäten zu verbergen und zu steuern.
Sobald APT-Gruppen in einem angegriffenen Netzwerk Fuß gefasst haben, stellen sie eine Verbindung zu ihren eigenen externen Servern her, um den Angriff aus der Ferne zu verwalten und sensible Daten zu exfiltrieren.
APT-Gruppen können eine Reihe anderer Tools einsetzen, um ihre Präsenz in einem Netzwerk auszuweiten und zu verbergen. Dazu gehören Würmer, Keylogging, Bots, Passwort-Cracking, Spyware und Code-Verschleierung.
Helix Kitten ist bekannt für seine bemerkenswert überzeugenden und gut recherchierten Spear-Phishing-E-Mails und arbeitet angeblich unter Aufsicht der iranischen Regierung. Die Gruppe nimmt in erster Linie an Unternehmen im Nahen Osten in Branchen wie Luft- und Raumfahrt, Telekommunikation, Finanzdienstleistungen, Energie, Chemie und Gastgewerbe ins Visier. Analysten glauben, dass diese Angriffe den wirtschaftlichen, militärischen und politischen Interessen Irans zugute kommen sollen.
Wicked Panda ist eine berüchtigte und sehr aktive APT-Gruppe mit Sitz in China, die angeblich Verbindungen zum chinesischen Ministerium für Staatssicherheit und der Kommunistischen Partei Chinas hat. Die Mitglieder dieser Gruppe betreiben nicht nur Cyberspionage, sondern sind auch dafür bekannt, Unternehmen aus finanziellen Gründen anzugreifen. Es wird vermutet, dass die Gruppe für das Hacken von Lieferketten im Gesundheitswesen, den Diebstahl sensibler Daten von Biotech-Firmen und den Diebstahl von COVID-19-Hilfszahlungen in den Vereinigten Staaten verantwortlich ist.
Stuxnet ist ein Computerwurm, der zur Störung des iranischen Atomprogramms eingesetzt wurde, indem er auf SCADA-Systeme (Supervisory Control and Data Acquisition) abzielte. Obwohl er heute nicht mehr aktiv ist, galt er zum Zeitpunkt seiner Entdeckung im Jahr 2010 als äußerst effektive Bedrohung, die ihrem Ziel erheblichen Schaden zufügte. Analysten gehen davon aus, dass Stuxnet von den Vereinigten Staaten und Israel gemeinsam entwickelt wurde, obwohl keine der beiden Nationen offen die Verantwortung dafür übernahm.
Die Lazarus-Gruppe ist eine in Nordkorea ansässige APT-Gruppe, die für den Diebstahl von Hunderten Millionen Dollar in virtueller Währung verantwortlich sein soll. Nach Angaben des US-Justizministeriums sind die Verbrechen Teil einer Strategie, die darauf abzielt, die globale Cybersicherheit zu untergraben und der nordkoreanischen Regierung Einnahmen zu verschaffen. Im Jahr 2023 beschuldigte das US-amerikanische FBI die Lazarus-Gruppe, 41 Millionen US-Dollar in virtueller Währung aus einem Online-Casino gestohlen zu haben.
APT-Angriffe sind so konzipiert, dass sie den normalen Netzwerkbetrieb imitieren. Daher können sie schwer zu erkennen sein. Laut Experten sollten sich Sicherheitsteams mehrere Fragen stellen, wenn sie einen Angriff vermuten.
APT-Akteure haben es auf hochwertige Benutzerkonten mit privilegiertem Zugang zu sensiblen Informationen abgesehen. Diese Konten können während eines Angriffs ungewöhnlich viele Anmeldungen verzeichnen. Und da APT-Gruppen oft in verschiedenen Zeitzonen agieren, können diese Anmeldungen auch spät in der Nacht stattfinden. Unternehmen können Tools wie EDR (Endpoint Detection and Response) oder UEBA (User and Entity Behaviour Analytics) einsetzen, um ungewöhnliche oder verdächtige Aktivitäten auf Benutzerkonten zu analysieren und zu identifizieren.
In den meisten IT-Umgebungen kommen Backdoor-Trojaner vor. Bei einem APT-Angriff kann ihre Präsenz jedoch stark zunehmen. APT-Gruppen verlassen sich auf Backdoor-Trojaner als Backup, um nach einem Einbruch wieder in kompromittierte Systeme einzudringen.
Eine erhebliche Abweichung von der normalen Datenübertragungsaktivität kann auf einen APT-Angriff hindeuten. Dazu könnten ein abrupter Anstieg der Datenbankoperationen und die interne oder externe Übertragung großer Datenmengen gehören. Tools, die Ereignisprotokolle von Datenquellen überwachen und analysieren, wie z. B. Security Information and Event Management (SIEM) oder Network Detection and Response (NDR), können bei der Erkennung solcher Vorfälle hilfreich sein.
APT-Gruppen sammeln in der Regel große Datenmengen aus dem gesamten Netzwerk und verschieben diese Informationen an einen zentralen Ort, bevor sie exfiltriert werden. Große Datenpakete an einem ungewöhnlichen Ort, insbesondere wenn sie in einem komprimierten Format vorliegen, können auf einen APT-Angriff hindeuten.
Spear-Phishing-Angriffe, die auf eine kleine Anzahl von hochrangigen Führungskräften abzielen, sind eine gängige Taktik von APT-Gruppen. Diese E-Mails enthalten oft vertrauliche Informationen und nutzen Dokumentenformate wie Microsoft Word oder Adobe Acrobat PDF, um schädliche Software zu installieren. Mit Tools zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) können Unternehmen feststellen, ob wichtige IT-Ressourcen durch in Spear-Phishing-E-Mails eingebettete Malware manipuliert wurden.
Es gibt Sicherheitsmaßnahmen, die Unternehmen ergreifen können, um das Risiko eines unbefugten Zugriffs von APT-Hackern auf ihre Systeme zu mindern. Da APT-Gruppen ständig neue Methoden für jeden Angriffsvektor entwickeln, empfehlen Experten einen breit angelegten Ansatz, der mehrere Sicherheitslösungen und -strategien kombiniert, darunter:
- Patching von Software, um Netzwerk- und Betriebssystemschwachstellen vor Zero-Day-Exploits zu schützen.
- Überwachung des Netzwerktraffics in Echtzeit, um böswillige Aktivitäten wie die Installation von Backdoors oder die Weitergabe gestohlener Daten zu erkennen.
- Verwendung von Web Application Firewalls an Netzwerkendgeräten, die den Datentraffic zwischen Webanwendungen und dem Internet filtern, um eingehende Angriffe zu verhindern.
- Implementierung strenger Zugriffskontrollen, die den Zugriff nicht autorisierter Benutzer auf sensible oder hochrangige Systeme und Daten verhindern.
- Durchführung von Penetrationsprüfungen, um Schwachstellen und Sicherheitslücken zu identifizieren, die APT-Gruppen bei einem Angriff ausnutzen könnten.
- Nutzung von Threat-Intelligence, um den Lebenszyklus eines APT-Angriffs besser zu verstehen und eine wirksame Reaktion auf einen Vorfall zu planen, wenn ein solcher im Gange zu sein scheint.
Ressourcen
Profitieren Sie von umsetzbaren Erkenntnissen, die Ihnen zeigen, welche Strategien Angreifer anwenden – und wie Sie Ihr Unternehmen proaktiv schützen können.
Das Bedrohungsmanagement ist ein Prozess, der von Cybersicherheitsexperten eingesetzt wird, um Cyberangriffe zu verhindern, Cyberbedrohungen zu erkennen und auf Sicherheitsvorfälle zu reagieren.
Akteure, von denen eine Sicherheitsbedrohung ausgeht, auch als bösartige Akteure bezeichnet, sind Einzelpersonen oder Gruppen, die digitalen Geräte oder Systemen absichtlich Schaden zufügen.
