Ein umfassender Leitfaden zu Advanced Persistent Threats

Cyberbedrohungen gibt es in vielen Formen und die meisten IT-Profis sind natürlich mit den häufigsten davon wie Viren und Phishing-Angriffen vertraut. Es gibt jedoch noch eine weitere Gefahr, derer sich Unternehmen unbedingt bewusst sein müssen: Advanced Persistent Threats, kurz APTs.

Zum Schutz von Unternehmen und Privatpersonen ist es daher unerlässlich, das Prinzip und die Auswirkungen von APTs zu verstehen. In diesem umfassenden Leitfaden widmen wir uns dieser Bedrohung, indem wir deren Natur und Funktionsweise erläutern sowie Strategien, um sie abzuwehren.

Was sind APTs?

APT steht für Advanced Persistent Threat, also fortgeschrittene andauernde Bedrohung. Diese Art unterscheidet sich aufgrund ihrer Langfristigkeit, ihrer Komplexität und ihres spezifischen Ziels von anderen Cyberbedrohungen. Sie wird in der Regel von einer Gruppe professioneller Cyberkrimineller durchgeführt, die über umfangreiche Ressourcen verfügen. Vorrangiges Ziel ist dabei nicht immer sofortiger finanzieller Gewinn. Häufig verfolgen sie strategische, politische oder Spionageabsichten.

Das „Advanced“ in APT steht für die ausgeklügelten Vorgehensweisen und Taktiken, die dabei eingesetzt werden. Die Angreifer setzen eine Kombination aus Malware, Zero-Day-Sicherheitslücken und Social Engineering ein, um ihr Ziel zu erreichen.

Der Begriff „Persistent“ unterstreicht die langfristige Natur des Angriffs. Im Gegensatz zu Gelegenheitsangriffen, bei denen die Cyberkriminellen weiterziehen, wenn sie keinen einfachen Zugang finden, haben es APT-Angreifer voll und ganz auf ihr Ziel abgesehen. Sie werden beharrlich verschiedene Methoden versuchen, um in das gewünschte System einzudringen.

„Threat“ betont die mögliche Gefahr für ein Unternehmen, das derartig fachmännischen und motivierten Angreifern ausgesetzt ist.

Wie funktioniert ein APT-Angriff?

Um die Komplexität eines APT-Angriffs zu verstehen, muss man sich deren typischen Ablauf ansehen. Während jeder Angriff seine eigenen Besonderheiten hat, lässt sich die Mehrheit in drei Hauptphasen unterteilen.

Infiltration

Das ist die erste Phase, bei der die Angreifer versuchen, bei dem anvisierten Unternehmen einen Fuß in die Tür zu bekommen. Die Methoden dabei sind sehr unterschiedlich. Zu den häufigsten gehören jedoch:

• Internetressourcen: Angreifer könnten Sicherheitslücken in Webanwendungen oder Websites ausnutzen.
• Netzwerkressourcen: Hier werden Schwachstellen in der Netzwerksicherheit genutzt, etwa über nicht durch Patches gestopfte Sicherheitslücken in Software.
• Autorisierte Benutzer: Mithilfe von Spear-Phishing-Techniken und anderen Taktiken des Social Engineerings versuchen Angreifer berechtigte Anwender dazu zu bringen, ihnen Zugriff zu geben.

Auch Ablenkung ist eine Taktik. Die Angreifer könnten gleichzeitig einen DDoS-Angriff durchführen, um die Aufmerksamkeit des Sicherheitspersonals anderweitig zu beschäftigen. Sobald sie sich Zugriff verschafft haben, installieren sie in der Regel eine Hintertür, um sich permanenten Zugriff auf das System zu verschaffen. Diese Backdoors sind meistens als legitime Software getarnt, damit sie nicht zu finden ist.

Eskalation/Ausbreitung

Haben die Angreifer den ersten Fuß in der Tür, versuchen sie, den Zugriff weiter auszubauen, indem sie:

• sich im Netzwerk ausbreiten, um auf weitere Systeme und Konten zuzugreifen.
• Personen mit höheren Berechtigungen anvisieren, um sich Zugriff auf vertrauliche Daten und die Steuerung kritischer Systeme zu verschaffen.
• wichtige Daten wie Produktstrategien, Finanzdaten und andere betriebsinterne Informationen sammeln. Je nachdem, wie das endgültige Ziel aussieht, lassen sich diese Daten auf unterschiedlichste Art und Weise missbrauchen – vom Verkauf an die Konkurrenz bis hin zu kompletter Sabotage.

Extraktion

Während des Angriffs werden innerhalb des kompromittierten Netzwerks alle möglichen Daten gesammelt. Bei der Extraktion versuchen die Angreifer dann, diese zu übertragen, ohne dass es jemand mitbekommt. Um die Aufmerksamkeit abzulenken, setzen sie möglicherweise sogenannte „White Noise“-Taktiken oder einen weiteren DDoS-Angriff ein. Auf diese Weise soll das IT-Sicherheitsteam verwirrt und überlastet werden, damit die Datenextraktion reibungsloser abläuft.

Eigenschaften einer APT

Ein APT-Angriff lässt sich alles andere als leicht erkennen, da er so verdeckt arbeitet. Es gibt jedoch einige markante Eigenschaften, mit denen sich APTs von anderen Cyberbedrohungen unterscheiden:

• Akteure: Die Angreifer hinter APTs verfolgen häufig ein bestimmtes Ziel. Oftmals werden die Akteure von einem Staat oder großen Konzernen finanziert. Bekannte Beispiele sind etwa Deep Panda, OilRig und APT28.
• Ziele: APTs zielen darauf ab, das Opfer über einen längeren Zeitraum zu schwächen oder Daten darüber zu sammeln. Das können strategische oder politische Beweggründe sein von Industriespionage bis hin zu geopolitischen Machtspielen.
• Zeitlicher Rahmen: Das Markenzeichen von APTs ist deren Beharrlichkeit. Angreifer greifen während der Kampagne auch häufig auf die kompromittierten Systeme zu, um sicherzustellen, dass sie nicht entdeckt wurden und noch Zugriff haben.
• Ressourcen: Angesichts ihrer Ziele benötigen die APT-Akteure erhebliche Ressourcen hinsichtlich Zeit, Fachwissen in IT-Sicherheit und -Entwicklung sowie der Hosting-Infrastruktur.
• Risikotoleranz: APT-Akteure vermeiden weit ausgelegte Angriffe und konzentrieren sich stattdessen auf spezifische, hochwertige Ziele. Ihr Vorgehen ist diskret, um ein möglichst unauffälliges Systemverhalten sicherzustellen.
• Methoden: Bei den Angriffen werden fortschrittliche Techniken eingesetzt, für die umfassendes Sicherheitswissen erforderlich ist, etwa zu Rootkits, DNS-Tunneling, raffiniertes Social Engineering und betrügerische WLAN-Strategien.
• Angriffsursprung: APTs können von unterschiedlichen Orten aus ausgehen. Vor dem eigentlichen Angriff spenden die Akteure viel Zeit, um das System auf Schwachstellen zu untersuchen und so den wirkungsvollsten Zugangspunkt auszumachen.
• Angriffswert: Häufige Ziele sind große Unternehmen, da aus ihnen mehr Lösegeld für deren Informationen herauszuholen ist. Allein das immense Datenvolumen, das bei APT-Angriffen übertragen wird, zeigt schon, welcher umfangreiche Aufwand und welche Ressourcen dahinterstehen.
• Umgehen der Erkennung: Sobald sich die Angreifer ausreichend Zugriff verschafft haben, können sie Sicherheitslösungen leicht umgehen oder vermeiden, indem sie deren Einstellungen ändern.

So schützen Sie sich vor APT-Angriffen

Die Gefahr zu verstehen, ist nur eine Seite im Kampf gegen APTs. Der nächste wichtige Schritt besteht darin, die Abwehr gegen derartig ausgeklügelte und langanhaltende Angriffe zu stärken.

• Regelmäßige Überprüfung der Sicherheit: Überprüfen und bewerten Sie Ihre IT-Infrastruktur des Öfteren, um mögliche Schwachstellen zu erkennen. Installieren Sie außerdem regelmäßig Updates und Patches.
• Personal schulen: Da viele APT-Angriffe über Social-Engineering-Taktiken wie Spear-Phishing beginnen, ist es unerlässlich, dass Sie Ihre Angestellten bezüglich dieser Bedrohungen aufklären und ihnen beibringen, wie sie diese erkennen können.
• Mehrstufige Authentisierung (MFA): Aktivieren Sie möglichst immer MFA, insbesondere bei Konten mit erweiterten Berechtigungen. Weitere Informationen dazu finden Sie auch in unseren bewährten Praktiken für Passwortsicherheit.
• Netzwerksegmentierung: Indem Sie Ihr Netzwerk in sichere Segmente aufteilen, können Sie Angreifer einfacher daran hindern, sich im Netzwerk auszubreiten.
• Backup und Notfallwiederherstellung: Sichern Sie regelmäßig insbesondere Ihre wichtigen Daten und arbeiten Sie eine Strategie zur Notfallwiederherstellung aus. Im Falle eines Angriffs kann das die Wiederherstellung erleichtern und beschleunigen.

Emsisoft bietet solide Cybersicherheitslösungen, die für Unternehmen jeder Größe geeignet sind. Mit fortschrittlicher Malware-Erkennung und einem starken Fokus auf neue Bedrohungen wie APTs bietet Emsisoft eine zusätzliche Sicherheitsebene gegen diese hartnäckigen Schädlinge.

Häufig gestellte Fragen zu APT-Angriffen

In der dynamischen Cybersecurity-Landschaft kommen immer wieder Fragen zu APTs auf. Wir beantworten die häufigsten davon:

Was ist das Hauptziel eines APT-Angriffs?

Das Hauptziel eines APT-Angriffs hängt jeweils von den Akteuren und deren Motivation ab. Im Allgemeinen geht es aber darum, Informationen zu sammeln, die Betriebsfähigkeit des Ziels zu untergraben oder vertrauliche Daten zum eigenen strategischen, wirtschaftlichen oder politischen Vorteil zu extrahieren. Das zeigt sich beispielsweise darin, dass Firmen- oder Regierungsgeheimnisse gestohlen werden oder das Geschäft eines Wettbewerbers sabotiert wird.

Wie sieht der Lebenszyklus eines APT-Angriffs aus?

Der Lebenszyklus eines APT-Angriffs beschreibt dessen verschiedene Phasen von Anfang bis Ende. Er sieht in der Regel wie folgt aus:

• Erkundung: Das Ziel wird ausgespäht und auf Schwachstellen überprüft.
• Erstes Eindringen: Es wird versucht, sich einen ersten Zugriff zu verschaffen, in der Regel über Techniken wie Spear-Phishing.
• Fuß fassen: Um den Zugriff auf Dauer zu gewährleisten, werden Malware oder Hintertüren installiert.
• Berechtigungen ausbauen: Durch die Ausnutzung von Sicherheitslücken im System verschaffen sich die Akteure Zugriff auf höhere Berechtigungsebenen.
• Interne Erkundung: Das interne Netzwerk wird ausgekundschaftet und wertvolle Daten werden ermittelt.
• Seitwärtsbewegung: Die Angreifer breiten sich im Netzwerk aus, um auf weitere Systeme und Datenspeicher zuzugreifen.
• Präsenz aufrechterhalten: Es wird sichergestellt, dass der Zugriff auf das kompromittierte System über einen langen Zeitraum sichergestellt bleibt.
• Mission abschließen: Das kann die Exfiltration von Daten sein, die Sabotage des Systems oder auch andere konkrete Absichten.

Wie können Unternehmen APTs erkennen?

Aufgrund ihres versteckten Verhaltens lassen sich APTs nur sehr schwer aufspüren. Es gibt jedoch einige Strategien, die Unternehmen umsetzen können:

• Erkennung von Anomalien: Setzen Sie APT-Erkennungssysteme ein, die den Netzwerkverkehr und das System auf ungewöhnliches Verhalten überwachen.
• Regelmäßige Überprüfungen der Sicherheit: Sichten Sie regelmäßig System- und Zugriffsprotokolle.
• EDR-Systeme: Setzen Sie Lösungen zur Endpunkterkennung und -reaktion (EDR) ein, um die Endpunkte auf Anzeichen für bösartige Aktivitäten zu überwachen.
• Plattformen mit Informationen über Bedrohungen: Nutzen Sie bekannte Informationen über Bedrohungen, um über neue APT-Strategien oder Hinweise auf Kompromittierungen auf dem Laufenden zu bleiben.

Sind kleine Unternehmen gefährdet?

Aufgrund ihrer vielen wertvollen Informationen sind zwar in der Regel große Unternehmen und staatliche Einrichtungen das Hauptziel, aber auch kleine Unternehmen sind nicht immun. Sie könnten möglicherweise als Zwischenstufe für Angriffe auf ein größeres Ziel genutzt werden, etwa wenn sie Teil der Lieferkette sind. Darüber hinaus verfügen kleine Unternehmen häufig über schwächere Sicherheitsvorkehrungen, was sie ebenfalls für Cyberkriminelle interessant macht.

Wie unterscheiden sich APTs von anderen Cyberbedrohungen?

Im Gegensatz zu anderen Cyberbedrohungen, die nur kurz dauern oder deren Zielgebiet eher weitgefächert ist, zeichnen sich APTs durch ihre Langfristigkeit und Zielgerichtetheit aus. Sie werden von finanziell gut aufgestellten und organisierten Akteuren koordiniert, die es auf ein bestimmtes Ziel abgesehen haben. Mit einer akribischen und verdeckten Herangehensweise sollen herkömmliche Erkennungsmethoden umgangen werden, was sie besonders gefährlich macht.

Wie lassen sich APT-Akteure einstufen?

APT-Akteure werden oft basierend auf ihrem Hauptbeweggrund und ihrer Zugehörigkeit klassifiziert. Es gibt staatliche geförderte Gruppen, die im Namen von Regierungsinteressen agieren, auf Spionage spezialisierte Gruppen, die Informationen für die unterschiedlichsten Zwecke sammeln, sowie Söldnergruppen, die APTs für finanziellen Gewinn oder im Auftrag Dritter ausführen.

Lassen sich APTs vollständig beseitigen, sobald sie erkannt wurden?

Ein kompromittiertes System vollständig von einer APT zu bereinigen, ist ebenfalls kein Leichtes, da sie so tief in das System eingegriffen hat und oft über mehrere Hintertüren verfügt. Es ist nicht nur wichtig, die bekannten APT-Komponenten aufzuspüren und zu entfernen. Es müssen auch gründliche Untersuchungen angestellt werden, um alle kompromittierten Elemente zu finden und zu bereinigen. Dazu nehmen Unternehmen häufig professionelle Unterstützung von Cybersecurity-Experten in Anspruch, um die komplette Beseitigung sicherzustellen.

Zusammenfassung

Advanced Persistent Threats sind eine neue Stufe der Cyberbedrohungen. Indem sie langfristig, verdeckt und zielgerichtet vorgehen, sind sie für Unternehmen jeder Größe gefährlich. Folglich ist es unerlässlich, sich ausführlich mit APTs zu befassen und geeignete Gegenmaßnahmen zu ergreifen.

Emsisoft bietet maßgeschneiderte Cybersecurity-Lösungen, die modernen Gefahren wie diesen den Garaus machen. Mit einem weitreichenden Verständnis für die Bedrohungslandschaft und modernsten Technologien, um in dieser zu bestehen, ist Emsisoft auch im Kampf gegen APTs ein starker und vertrauenswürdiger Partner.

Sie machen sich Gedanken um APTs? Wenden Sie sich gern jederzeit an Emsisoft, damit wir Ihnen helfen können, die Verteidigung Ihres Unternehmens gegen diese tückische Gefahr zu stärken.

Übersetzung: Doreen Schäfer