Share
Beitragsbild zu APT-Angriffe: Die Sith-Lords der Cyberwelt

APT-Angriffe: Die Sith-Lords der Cyberwelt

Advanced Persistent Threats (APTs) sind wie die Sith-Lords der Cyberwelt – heimtückisch, unerbittlich und immer im Verborgenen lauernd. Allein die Erwähnung dieser Bedrohung lässt jedem, der schon einmal in diesem Bereich tätig war, einen Schauer über den Rücken laufen. Aber was sind APT-Angriffe und warum treiben sie Sicherheitsteams den Angstschweiß auf die Stirn?

Man denke nur daran, wie die Sith jahrelang im Verborgenen operierten, mit Agenten wie Darth Maul und Darth Sidious, die langfristige Pläne zur Unterminierung der Jedi und der Republik ausführten. Ähnlich verhält es sich bei einem Angriff durch eine fortgeschrittene anhaltende Bedrohung: Es geht nicht um schnelle Treffer, sondern darum, Systeme heimlich zu infiltrieren, lange Zeit verborgen zu bleiben und von innen heraus maximalen Schaden anzurichten.

„Ich habe lange auf diesen Moment gewartet, mein kleiner grüner Freund.“ – Imperator Palpatine, Star Wars: Episode III – Die Rache der Sith

APT-Angriffe sind ausgeklügelt, anhaltend und zielgerichtet, was sie zu einer der gefährlichsten Cyber-Bedrohungen überhaupt macht. Sie zielen nicht nur darauf ab, sofortiges Chaos zu verursachen, sondern stehlen auch Daten, stören den Betrieb und betreiben über einen längeren Zeitraum Spionage. Es besteht kein Zweifel daran, dass das Risikomanagement von APTs strenge Sicherheitsmaßnahmen erfordert.

APT-Typen: Mehr als nur eine Art Phishing-Expedition

APTs können aus verschiedenen Blickwinkeln zuschlagen. Sehen wir uns einige der häufigsten Typen genauer an:

Spear Phishing

Stellen Sie sich dies als die Cyber-Version eines Jedi-Mind-Tricks vor. Angreifer senden personalisierte, scheinbar vertrauenswürdige E-Mails, um Personen dazu zu verleiten, Malware herunterzuladen oder vertrauliche Informationen preiszugeben. Im Jahr 2014 war Sony Pictures das Ziel eines solchen APT-Angriffs. Die Angreifer verwendeten E-Mails, die scheinbar vom Vorsitzenden von Sony Pictures, Michael Lynton, stammten, und forderten den Empfänger auf, eine Zip-Datei zu öffnen, die eine schädliche Datei enthielt. Der Angriff war erfolgreich und führte zum Diebstahl vertraulicher Informationen, darunter E-Mails, Unternehmenspasswörter und unveröffentlichte Filme.

Spear-Phishing-Watering-Hole-Angriffe

Dies ist wie eine Sith-Falle, die in der Cantina aufgestellt wird. Angreifer platzieren Malware auf Websites, die von den Mitgliedern der Zielorganisation häufig besucht werden. NotPetya ist ein Paradebeispiel für diese Art von Advanced Persistent Threat, der sich von einer ukrainischen Software-Website auf große Organisationen weltweit ausbreitete. NotPetya richtete sich gegen ukrainische Regierungsinstitutionen und multinationale Unternehmen, darunter der Schifffahrtsriese Maersk, und veranlasste sie, ihre gesamten globalen Aktivitäten einzustellen, was zu Verlusten in Höhe von schätzungsweise 300 Millionen US-Dollar führte.

Kompromittierung der Lieferkette

Stellen Sie sich vor, Sie manipulieren den Teilelieferanten für den Millennium Falcon. Angreifer infiltrieren und kompromittieren vertrauenswürdige Drittanbieter, um sich Zugang zu Zielsystemen zu verschaffen oder einen Computer-Netzwerk-Angriff (CNA) auszuführen. Ein gutes Beispiel hierfür ist der SolarWinds-Angriff von 2020. Der bösartige Code konnte auf die Systeme dieser Bundesbehörden zugreifen, indem er eine Schwachstelle in der Orion-Plattform ausnutzte. Diese Schwachstelle führte zu Datenlecks, die es den Angreifern ermöglichten, sich Zugang zu den Systemen zu verschaffen und sensible Informationen zu stehlen. Der Angriff betraf das US-Finanzministerium, das Außenministerium, das Heimatschutzministerium, das Pentagon, das Energieministerium und die National Institutes of Health. Bei dem Angriff auf die National Nuclear Security Administration, eine Regierungsbehörde, die für die Überwachung der Atomwaffen des Landes zuständig ist, kam es zum Diebstahl des Quellcodes.

Zero-Day-Exploits

Diese sind wie Hinterhalte auf einer unbekannten Hyperraumroute. Angreifer nutzen Software-Schwachstellen aus, die vom Anbieter noch nicht identifiziert oder behoben wurden. Ein bekanntes Beispiel für diese Art von Angriff ist der Stuxnet-Wurm, der 2010 für einen Angriff auf die iranischen Nuklearanlagen eingesetzt wurde. Der Stuxnet-Wurm konnte eine Zero-Day-Schwachstelle im Microsoft Windows-Betriebssystem ausnutzen, wodurch er sich unentdeckt verbreiten konnte. Der Wurm konnte den Code im SCADA-System ändern, wodurch es heruntergefahren wurde oder falsche Informationen ausgab, was dazu führte, dass die iranischen Urananreicherungszentrifugen außer Kontrolle gerieten und irreparabel beschädigt wurden.

Diebstahl von Zugangsdaten und Brute-Force-Angriffe

Es ist, als würde man die Zugangscodes zu einem Kontrollraum des Todessterns knacken. Beim Diebstahl von Zugangsdaten werden in der Regel Benutzernamen und Passwörter durch Methoden wie Phishing, Keylogging oder Malware erlangt. Angreifer müssen jedoch nicht immer direkt Zugangsdaten stehlen. Das Darknet ist voll von geleakten Anmeldedaten, die zum Kauf angeboten werden, was diese Angriffe noch gefährlicher macht. Brute-Force-Angriffe hingegen basieren auf dem automatischen Ausprobieren zahlreicher Passwortkombinationen, um in Konten einzudringen, wodurch Systeme weiter dem unbefugten Zugriff ausgesetzt werden. Im Zusammenhang mit einem APT könnten Angreifer den Diebstahl von Zugangsdaten nutzen, um sich zunächst Zugang zu einem Netzwerk zu verschaffen, und dann Brute-Force-Angriffe einsetzen, um ihre Privilegien zu erweitern oder sich innerhalb des Netzwerks seitlich zu bewegen. Ein bekanntes Beispiel ist der Dunkin‘ Donuts-Hack von 2015, bei dem Cyberkriminelle zuvor geleakte Informationen und Brute-Force-Algorithmen verwendeten, um Zugriff auf die Konten von 20 Millionen Kunden zu erhalten.

Merkmale von APT-Angriffen

Trotz ihrer unterschiedlichen Methoden weisen APTs einige wesentliche Merkmale auf:

  • Ausdauer: APTs sind die Marathonläufer unter den Cyberangriffen. Sie bleiben verborgen und halten den Zugriff über lange Zeiträume aufrecht, während sie still und leise daran arbeiten, ihre Ziele zu erreichen.
  • Ausgefeiltheit: Diese Angriffe nutzen fortschrittliche Taktiken und Tools wie Backdoors, Rootkits, dateilose Malware und laterale Ausbreitung. Sie entwickeln sich im Laufe der Zeit weiter, um der Verteidigung immer einen Schritt voraus zu sein.
  • Gezielte Natur: APTs sind nicht zufällig; sie zielen auf bestimmte Organisationen oder Einzelpersonen ab und nutzen deren einzigartige Schwachstellen aus. Sie werden oft mit erheblichen finanziellen Mitteln unterstützt, manchmal sogar von staatlichen Akteuren, und verfolgen Ziele wie finanziellen Gewinn, Betriebsunterbrechung und Spionage.
Der Lebenszyklus eines APT-Angriffs: Ein schleichender Prozess

APT-Angriffe laufen in mehreren Phasen ab:

  • Aufklärung: Genau wie das Imperium Späher nach Rebellenstützpunkten aussendet, sammeln Angreifer Informationen über Zielsysteme, Netzwerke und Personal, wobei sie sowohl passive Methoden (öffentlich zugängliche Informationen) als auch aktive Methoden (Scannen und Sondieren von Systemen) anwenden.
  • Anfängliche Kompromittierung: Sie verschaffen sich mit Taktiken wie Spear-Phishing, Watering-Hole-Angriffen, Supply-Chain-Angriffen, Zero-Day-Exploits und Credential Stuffing Zugang.
  • Seitwärtsbewegung (Lateral Movement) und Privilegieneskalation: Sobald sie sich im Netzwerk befinden, bewegen sich die Angreifer durch das Netzwerk und suchen nach Engpässen, die ihnen Zugang zu vielen verschiedenen digitalen Assets verschaffen. Zu den Techniken gehören der Diebstahl von Zugangsdaten und Pass-the-Hash-Angriffe (PtH), bei denen häufig Malware oder Tools für den Fernzugriff zum Einsatz kommen.
  • Datenexfiltration und -persistenz: Angreifer extrahieren wertvolle Daten mithilfe von Methoden wie Datenkomprimierung, Verschlüsselung, Steganografie und DNS-Tunneling, während sie ihre verborgene Präsenz aufrechterhalten. Laut dem „IBM 2023 Cost of a Data Breach Report“ dauert es durchschnittlich 11 Monate, um eine APT-Verletzung zu identifizieren und einzudämmen, was die heimliche Natur unterstreicht.
Beispiele aus der „realen Welt“ für APTs

Werfen wir einen Blick auf APT-Geschichten, die Schlagzeilen gemacht haben:

Lazarus Group

Die Lazarus Group, eine staatlich geförderte APT aus Nordkorea, ist dafür bekannt, fortschrittliche Malware wie VHD-Ransomware und DTrack einzusetzen, um sich innerhalb kompromittierter Netzwerke seitlich zu bewegen und dort zu verweilen. Die Gruppe setzt häufig trojanisierte Software-Installer ein, nutzt Zero-Day-Schwachstellen aus und führt Angriffe auf die Lieferkette durch, wodurch ihre Kampagnen hochkomplex und schwer zu erkennen sind. Ihre gezielten Angriffe auf Kryptowährungsbörsen und die Verwendung von benutzerdefinierten Backdoors haben zum Diebstahl von Millionen von Dollar geführt, was ihre Fähigkeiten und ihre Absicht als anhaltende Bedrohung unterstreicht.

Der Fall APT31

Im April 2024 wurden sieben Hacker, die mit der chinesischen Regierung in Verbindung stehen und Teil der APT31-Gruppe sind, wegen einer zehn Jahre andauernden Cyberspionagekampagne angeklagt. Die Angreifer verschafften sich Zugang zu sensiblen Regierungsdaten, darunter Militär- und Geheimdienstgeheimnisse. Sie benutzten ein Tool namens WannaCry, mit dem sie die Computer der Opfer übernehmen, ihre Daten verschlüsseln und sie als Geiseln gegen Lösegeldforderungen einsetzen konnten. Zu einem bestimmten Zeitpunkt gelang es den Angreifern, sich durch Ausnutzung einer Zero-Day-Schwachstelle in einer Adobe Flash-Anwendung Zugang zum Netzwerk von Equifax zu verschaffen und so an die persönlichen Daten von mehr als 500 Millionen ihrer Kunden zu gelangen. Dieser APT-Cyberangriff war einer der größten und ausgefeiltesten Cyberangriffe der Geschichte.

APT-Angriffe mit proaktiver Sicherheit vorbeugen

APT-Angriffe zu stoppen beginnt mit proaktiver Validierung. Schwachstellen sind die Risse, durch die Angreifer eindringen können. Daher sollten Sie sicherstellen, dass Ihr Team die relevanten „Risse“ kennt und behebt, bevor Angreifer sie ausnutzen können. Hier ist die automatisierte Sicherheitsvalidierung (ASV) von entscheidender Bedeutung.

Da ein hundertprozentiger Schutz jedoch nicht möglich ist, kommt es dennoch zu Angriffen. Sobald ein Angriffsversuch gestartet wurde, können SecOps-Teams verschiedene Tools und Techniken einsetzen, um APTs zu erkennen und zu bekämpfen. Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) können den Netzwerkverkehr auf verdächtige Aktivitäten überwachen. Verhaltensanalysen können ungewöhnliches Benutzer- und Systemverhalten identifizieren, während Endpoint Detection and Response (EDR)-Lösungen eine schnelle Erkennung und Reaktion an Endpunkten ermöglichen.

Zu den bewährten Verfahren gehören regelmäßige Schulungen der SecOps-Mitarbeiter, zeitnahe Patches und Updates, strenge Zugriffskontrollen und eine kontinuierliche Überprüfung, ob Ihre Sicherheitskontrollen funktionieren, um Versuche effektiv zu blockieren.

„Always in Motion“ ist die Zukunft

APT-Angriffen zu begegnen, ist wie das Navigieren auf den schwierigsten Hyperraumrouten der Galaxie. So wie der Rat der Jedi Störungen in der Macht überwachte, muss Ihr Cybersicherheitsteam proaktiv und auf den langen Betrug von APTs vorbereitet bleiben.

Weitere Informationen darüber, wie Sie APTs immer einen Schritt voraus sein können, finden Sie in Pentera’s Automated Security Validation (ASV).

Quelle: Pentera-Blog


Ihr Kontakt zu uns:

Matan Katz, Regional Development

Hier direkt einen Termin buchen:

https://pentera.oramalthea.com/c/MatanKatz

Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera

Hanspeter Karl, Area Vice President DACH, Pentera

Pentera bei LinkedIn


Bild/Quelle: https://depositphotos.com/de/home.html

Firma zum Thema

pentera