Was ist ein APT?

Im Bereich der Cybersicherheit gibt es eine Vielzahl bösartiger Bedrohungen. Viele dieser Bedrohungen schreiben Malware, obwohl es für Cyberkriminelle zahlreiche andere Möglichkeiten gibt, böswillig vorzugehen. Allerdings variiert das Können zwischen ihnen stark. Viele „Hacker“ sind nur Skript-Kiddies , die nur vorhandene Tools ausführen können und nicht über die Fähigkeiten verfügen, eigene Tools zu erstellen. Viele Hacker verfügen über die Fähigkeiten, ihre Malware zu erstellen, auch wenn das genaue Kaliber sehr unterschiedlich ist. Es gibt jedoch noch eine weitere exklusive Stufe, die APT.

APT steht für Advanced Persistent Threat. Sie sind die Besten der Hacker und im Allgemeinen die Besten in der Branche. APTs sind nicht nur technisch versiert in der Exploit-Entwicklung; Darüber hinaus verfügen sie über eine Reihe weiterer Fähigkeiten, darunter Feinsinn, Geduld und Betriebssicherheit. Generell wird davon ausgegangen, dass die meisten, wenn nicht alle APTs nationalstaatliche Akteure sind oder zumindest staatlich gefördert werden. Diese Annahme basiert auf der Zeit, dem Aufwand und dem Engagement, die sie bei der Erreichung ihres Ziels aufbringen.

Fingerabdrücke eines APT

Die genauen Ziele eines APT variieren je nach Land, APT und Angriff. Die meisten Hacker streben nach persönlichem Vorteil und brechen deshalb ein und versuchen, so schnell wie möglich so viele wertvolle Daten wie möglich zu erbeuten. APTs führen Sabotage-, Spionage- oder Störangriffe durch und sind im Allgemeinen politisch oder manchmal auch wirtschaftlich motiviert.

Während die meisten Bedrohungsakteure in der Regel opportunistisch agieren, agieren APTs eher still oder sogar sehr gezielt. Anstatt nur Exploits für gefundene Schwachstellen zu entwickeln, identifizieren sie ein Ziel, erarbeiten, wie sie diese am besten infizieren können, und recherchieren und entwickeln dann einen Exploit. Typischerweise werden diese Exploits sehr sorgfältig konfiguriert, um so leise und subtil wie möglich zu sein. Dies minimiert das Entdeckungsrisiko, was bedeutet, dass der Exploit auf anderen ausgewählten Zielen verwendet werden kann, bevor er entdeckt und die zugrunde liegende Schwachstelle behoben wird.

Die Entwicklung von Exploits ist eine technische und zeitaufwändige Angelegenheit. Dies macht es zu einem teuren Geschäft, insbesondere wenn es sich um hochkomplexe Systeme ohne bekannte Schwachstellen handelt. Da APTs staatliche Mittel zur Verfügung stehen, können sie in der Regel viel mehr Zeit und Mühe darauf verwenden, diese subtilen, aber schwerwiegenden Schwachstellen zu identifizieren und dann äußerst komplexe Exploits für sie zu entwickeln.

Namensnennung ist schwer

Es kann schwierig sein, einen Angriff einer bestimmten Gruppe oder einem Nationalstaat zuzuordnen. Durch detaillierte Einblicke in die tatsächlich verwendete Malware, die unterstützenden Systeme und sogar Tracking-Ziele kann es möglich sein, einzelne Malware-Stämme ziemlich sicher mit einem APT zu verknüpfen und dieses APT einem Land zuzuordnen.

Viele dieser hochentwickelten Exploits teilen sich Codeteile anderer Exploits. Bei bestimmten Angriffen können sogar dieselben Zero-Day-Schwachstellen ausgenutzt werden. Dadurch können die Vorfälle verknüpft und verfolgt werden, anstatt sie als einmalige, außergewöhnliche Malware anzusehen.

Durch die Verfolgung vieler Aktionen eines APT ist es möglich, eine Karte der ausgewählten Ziele zu erstellen. In Kombination mit der Kenntnis der geopolitischen Spannungen kann dies die Liste potenzieller staatlicher Sponsoren zumindest eingrenzen. Eine weitere Analyse der in der Malware verwendeten Sprache kann Hinweise geben, diese können jedoch auch gefälscht sein, um eine falsche Zuordnung zu fördern.

Die meisten Cyber-Angriffe durch APTs lassen sich glaubhaft leugnen, weil niemand sie wahrnimmt. Dies ermöglicht es jeder verantwortlichen Nation, Handlungen vorzunehmen, mit denen sie nicht unbedingt in Verbindung gebracht oder beschuldigt werden möchte. Da die meisten APT-Gruppen sicher bestimmten Nationalstaaten zugeordnet werden und davon ausgegangen wird, dass diese Nationalstaaten über noch mehr Informationen verfügen, auf die sich diese Zuordnung stützen kann, ist es ziemlich wahrscheinlich, dass jeder weiß, wer wofür verantwortlich ist. Wenn eine Nation offiziell eine andere eines Angriffs beschuldigen würde, wäre sie wahrscheinlich Opfer einer Vergeltungsmaßnahme. Indem man sich dumm stellt, behält jeder seine plausible Leugnung.

Beispiele

Viele verschiedene Gruppen benennen APTs anders, was ihre Verfolgung erschwert. Manche Namen sind lediglich nummerierte Bezeichnungen. Einige basieren auf verknüpften Exploit-Namen und basieren auf stereotypen Namen.

Es gibt mindestens 17 APTs, die China zugeschrieben werden. Eine APT-Nummer, wie z. B. APT 1, bezieht sich auf einige. Bei APT 1 handelt es sich auch speziell um die PLA-Einheit 61398. Mindestens zwei chinesische APTs haben Namen mit Drachen erhalten: Double Dragon und Dragon Bridge. Es gibt auch den Nummerierten Panda und den Roten Apollo.

Viele APTs, die dem Iran zugeschrieben werden, enthalten „Kätzchen“ im Namen. Zum Beispiel Helix Kitten, Charming Kitten, Remix Kitten und Pioneer Kitten. Im russischen APT werden häufig Bärennamen verwendet, darunter Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear und Primitive Bear. Nordkorea wurde drei APTs zugeschrieben: Ricochet Chollima, Lazarus Group und Kimsuky.

Israel, Vietnam, Usbekistan, die Türkei und die Vereinigten Staaten haben mindestens eine zugeschriebene APT. Ein den USA zugeschriebenes APT heißt Equation Group und handelt sich vermutlich um die TAO- oder Tailored Access Operations-Einheit der NSA. Der Name der Gruppe geht auf einige ihrer Exploits und den starken Einsatz von Verschlüsselung zurück.

Die Gleichungsgruppe gilt allgemein als die fortschrittlichste aller APTs. Es ist bekannt, dass Geräte gesperrt und mit Malware versehen wurden. Es enthielt außerdem mehrere Malware-Teile, die in einzigartiger Weise die Firmware von Festplatten verschiedener Hersteller infizieren konnten, sodass die Malware über vollständige Laufwerkslöschungen, Neuinstallationen des Betriebssystems und alles andere als die Zerstörung von Laufwerken bestehen blieb. Diese Schadsoftware war weder zu erkennen noch zu entfernen und hätte für die Entwicklung Zugriff auf den Quellcode der Laufwerks-Firmware benötigt.

Abschluss

APT steht für Advanced Persistent Threat und ist ein Begriff, der sich auf hochentwickelte Hackergruppen bezieht, in der Regel mit angeblichen Verbindungen zum Nationalstaat. Das Maß an Geschick, Geduld und Engagement, das APTs an den Tag legen, ist in der kriminellen Welt unübertroffen. In Kombination mit den oft politischen Zielen ist es ziemlich klar, dass es sich hierbei nicht um die durchschnittlichen Hacker-Gruppen handelt, bei denen es um Geld geht. Anstatt auf laute Datenschutzverletzungen zu setzen, neigen APTs dazu, subtil vorzugehen und ihre Spuren so weit wie möglich zu verwischen.

Im Allgemeinen muss sich der durchschnittliche Benutzer keine Sorgen um APTs machen. Sie verbringen ihre Zeit nur mit Zielen, die für sie besonders wertvoll sind. Der Durchschnittsmensch verbirgt keine Geheimnisse, die ein Nationalstaat für wertvoll hält. Nur größere Unternehmen, vor allem solche, die Regierungsarbeit leisten, und besonders einflussreiche Personen sind realistischerweise dem Risiko ausgesetzt, ins Visier genommen zu werden. Selbstverständlich sollte jeder seine eigene Sicherheit sowie die Sicherheit seines Unternehmens ernst nehmen.

Die allgemeine Ansicht in der Welt der Sicherheit ist jedoch, dass, wenn ein APT entscheidet, dass Sie interessant sind, er in der Lage sein wird, Ihre Geräte irgendwie zu hacken, selbst wenn er Millionen von Dollar an Zeit in Forschung und Entwicklung investieren muss. Dies lässt sich an den wenigen Fällen erkennen, in denen Malware sorgfältig entwickelt wurde, um „Luftlücken“ zu überbrücken, wie etwa der Stuxnet-Wurm .