Was sind persistente komplexe Bedrohungen?

Staatlich gesponserte Teams von Cyberkriminellen führen häufig APT-Angriffe durch, um an die sensiblen Informationen anderer Nationalstaaten oder das geistige Eigentum großer Unternehmen zu gelangen. Auch wenn sie zunächst traditionelle Social-Engineering-Techniken verwenden, sind diese Bedrohungsakteure dafür bekannt, dass sie fortschrittliche Tools und Methoden anpassen, um die einzigartigen Schwachstellen bestimmter Unternehmen auszunutzen. Ein erfolgreicher APT-Angriff kann Monate oder sogar Jahre dauern.

APT-Gruppen erhalten oft durch Social Engineering und Spear-Phishing anfänglichen Zugriff auf ihr Zielnetzwerk. Mithilfe von Informationen aus Quellen innerhalb und außerhalb eines Unternehmens erstellen APT-Angreifer ausgeklügelte Spear-Phishing-E-Mails, die Führungskräfte oder leitende Angestellte zum Klicken auf einen bösartigen Link verleiten.

Die Angreifer können auch andere Einstiegspunkte und Angriffsflächen nutzen, um in das Netzwerk einzudringen. Zum Beispiel können sie einen Zero-Day-Angriff auf eine ungepatchte Sicherheitslücke in einer Webanwendung starten oder Malware auf einer öffentlichen Website einbetten, die Mitarbeiter bekanntermaßen besuchen.

Nach dem ersten Eindringen erkunden und kartieren APT-Gruppen das Netzwerk, um die nächsten Schritte für die Lateralbewegung im gesamten Unternehmen zu ermitteln. Durch die Installation einer Reihe von Backdoors, die ihnen den Zugriff auf das Netzwerk von mehreren Einstiegspunkten aus ermöglichen, können sie weiterhin Erkundungen durchführen und versteckte Malware installieren.

Außerdem können sie versuchen, Passwörter zu knacken und administrative Rechte für sichere Bereiche zu erlangen, in denen sich sensible Daten befinden. Am wichtigsten ist jedoch, dass die Angreifer eine Verbindung zu einem externen Command-and-Control-Server herstellen, um die gehackten Systeme aus der Ferne zu verwalten.

Um sich auf den ersten Fall von Datendiebstahl vorzubereiten, verschieben APT-Gruppen die Informationen, die sie im Laufe der Zeit gesammelt haben, an einen zentralen, sicheren Ort innerhalb des Netzwerks. Sie können die Daten auch verschlüsseln und komprimieren, um die Exfiltration zu erleichtern.

Um das Sicherheitspersonal abzulenken und Ressourcen umzuleiten, können sie dann ein „White Noise“-Ereignis wie einen Distributed-Denial-of-Service (DDoS)-Angriff inszenieren. Zu diesem Zeitpunkt sind sie in der Lage, die gestohlenen Daten ohne Erkennung auf einen externen Server zu übertragen.

APT-Gruppen können über einen längeren Zeitraum oder auf unbestimmte Zeit in einem infiltrierten Netzwerk verbleiben, während sie auf neue Gelegenheiten für einen Angriff warten. In dieser Zeit können sie ihre versteckte Präsenz aufrechterhalten, indem sie Code umschreiben, um Malware zu verbergen, und Rootkits installieren, die unentdeckt Zugang zu sensiblen Systemen ermöglichen. In manchen Fällen entfernen sie Beweise für den Angriff und verlassen das Netzwerk vollständig, nachdem sie ihre Ziele erreicht haben.

Mithilfe weit verbreiteter Phishing-E-Mails, hochgradig personalisierter Spear-Phishing-E-Mails oder anderer Taktiken zur sozialen Manipulation überzeugen APT-Gruppen Benutzer, auf bösartige Links zu klicken oder Informationen preiszugeben, die Zugriff auf geschützte Systeme gewähren.

Durch den Einsatz von bösartigem Shellcode, der Netzwerke nach ungepatchten Software-Schwachstellen durchsucht, können APT-Gruppen Schwachstellen ausnutzen, bevor IT-Administratoren reagieren können.

APT-Gruppen können die vertrauenswürdigen Geschäfts-, Technologie- oder Anbieterpartner eines Unternehmens ins Visier nehmen, um sich über gemeinsam genutzte Software- oder Hardware-Lieferketten unbefugten Zugriff zu verschaffen.

Mit ihrer Fähigkeit, versteckten Backdoor-Zugang zu geschützten Systemen zu ermöglichen, sind Rootkits ein wertvolles Werkzeug für APT-Gruppen, um Remote-Aktivitäten zu verbergen und zu steuern.

Sobald APT-Gruppen in einem angegriffenen Netzwerk Fuß gefasst haben, stellen sie eine Verbindung zu ihren eigenen externen Servern her, um den Angriff aus der Ferne zu verwalten und sensible Daten zu exfiltrieren.

APT-Gruppen können eine Reihe anderer Tools einsetzen, um ihre Präsenz in einem Netzwerk auszuweiten und zu verbergen. Dazu gehören Würmer, Keylogging, Bots, Passwort-Cracking, Spyware und Code-Verschleierung.

Helix Kitten ist bekannt für seine bemerkenswert überzeugenden und gut recherchierten Spear-Phishing-E-Mails und arbeitet angeblich unter Aufsicht der iranischen Regierung. Die Gruppe nimmt in erster Linie an Unternehmen im Nahen Osten in Branchen wie Luft- und Raumfahrt, Telekommunikation, Finanzdienstleistungen, Energie, Chemie und Gastgewerbe ins Visier. Analysten glauben, dass diese Angriffe den wirtschaftlichen, militärischen und politischen Interessen Irans zugute kommen sollen.

Wicked Panda ist eine berüchtigte und sehr aktive APT-Gruppe mit Sitz in China, die angeblich Verbindungen zum chinesischen Ministerium für Staatssicherheit und der Kommunistischen Partei Chinas hat. Die Mitglieder dieser Gruppe betreiben nicht nur Cyberspionage, sondern sind auch dafür bekannt, Unternehmen aus finanziellen Gründen anzugreifen. Es wird vermutet, dass die Gruppe für das Hacken von Lieferketten im Gesundheitswesen, den Diebstahl sensibler Daten von Biotech-Firmen und den Diebstahl von COVID-19-Hilfszahlungen in den Vereinigten Staaten verantwortlich ist.

Stuxnet ist ein Computerwurm, der zur Störung des iranischen Atomprogramms eingesetzt wurde, indem er auf SCADA-Systeme (Supervisory Control and Data Acquisition) abzielte. Obwohl er heute nicht mehr aktiv ist, galt er zum Zeitpunkt seiner Entdeckung im Jahr 2010 als äußerst effektive Bedrohung, die ihrem Ziel erheblichen Schaden zufügte. Analysten glauben, dass Stuxnet gemeinsam von den Vereinigten Staaten und Israel entwickelt wurde, obwohl keine der beiden Nationen offen die Verantwortung zugegeben hat.

Die Lazarus Group ist eine in Nordkorea ansässige APT-Gruppe, die für den Diebstahl von Hunderten Millionen Dollar an virtueller Währung verantwortlich ist. Nach Angaben des US-Justizministeriums sind die Verbrechen Teil einer Strategie, die globale Cybersicherheit zu untergraben und Einnahmen für die nordkoreanische Regierung zu generieren. Im Jahr 2023 warf das US-FBI der Lazarus-Gruppe vor, 41 Millionen US-Dollar an virtueller Währung aus einem Online-Casino gestohlen zu haben.

APT-Angriffe sind so konzipiert, dass sie den normalen Netzwerkbetrieb imitieren. Daher können sie schwer zu erkennen sein. Laut Experten sollten sich Sicherheitsteams mehrere Fragen stellen, wenn sie einen Angriff vermuten.

Es gibt Sicherheitsmaßnahmen, die Unternehmen ergreifen können, um das Risiko eines unbefugten Zugriffs von APT-Hackern auf ihre Systeme zu mindern. Da APT-Gruppen ständig neue Methoden für jeden Angriffsvektor entwickeln, empfehlen Experten einen breit angelegten Ansatz, der mehrere Sicherheitslösungen und -strategien kombiniert, darunter:

• Patching von Software, um Netzwerk- und Betriebssystemschwachstellen vor Zero-Day-Exploits zu schützen.
• Überwachung des Netzwerktraffics in Echtzeit, um böswillige Aktivitäten wie die Installation von Backdoors oder die Weitergabe gestohlener Daten zu erkennen.
• Verwendung von Web Application Firewalls an Netzwerkendgeräten, die den Datentraffic zwischen Webanwendungen und dem Internet filtern, um eingehende Angriffe zu verhindern.
• Implementierung strenger Zugriffskontrollen, die den Zugriff nicht autorisierter Benutzer auf sensible oder hochrangige Systeme und Daten verhindern.
• Durchführung von Penetrationsprüfungen, um Schwachstellen und Sicherheitslücken zu identifizieren, die APT-Gruppen bei einem Angriff ausnutzen könnten.
• Nutzung von Threat-Intelligence, um den Lebenszyklus eines APT-Angriffs besser zu verstehen und eine wirksame Reaktion auf einen Vorfall zu planen, wenn ein solcher im Gange zu sein scheint.