Skip to content

Was ist ein Advanced Persistent Threat (APT)?

Geschrieben von Carsten Eilers am um 09:56

Advanced Persistent Threats werden oft mit gezielten Angriffen gleich gesetzt oder zumindest in einen Topf geworfen. Das ist i.A. aber falsch. Zwar sind APTs immer gezielte Angriffe, aber nicht jeder gezielte Angriff endet in einem APT. Die erste Frage, die zu klären ist, lautet also

Was ist ein Advanced Persistent Threat (APT)?

Werfen wir mal einen Blick auf die Meinungen derjenigen, die sich mit Schadsoftware und IT-Angriffen auskennen: Die Antivirenhersteller. Laut Kevin Rowney von Symantec sind APTs

"... long-term, covert malware campaigns run by well-funded teams who are typically backed by the resources of a nation state. The playbook for such attacks is to stay “low and slow” in an organization’s infrastructure over a long period of time, allowing the attackers to gather detailed information on the target enterprise. The usual goal of these malware campaigns is ongoing theft of highly confidential data or even disruption of operations. The stakes are quite big."

Joseph Cepe von Trend Micro beschreibt APTs so:

"The use of the term “advanced persistent threats” perhaps helps people grasp how sophisticated attacks staged by groups that intend to and are capable of targeting a specific organization are. Attacks under the umbrella term “advanced persistent threats” usually take longer to plan and execute as well as utilize a variety of tools compared with typical malware attacks that are relatively uncontrolled and do not criticize in terms of target."

Am treffendsten ist die Erklärung von Brian Contos von McAfee:

"Advanced Persistent Threats or APTs have many definitions. In most cases it’s an over used and abused marketing term adopted by point solution security vendors to talk about their ability to stop “bad things.” The term most generally defines an adversary with formidable means, organization, and motivation: they’re on a mission. It is often associated with espionage, and as such the concept predates the digital era and can be traced back to the earliest documentation of intelligence gathering recorded by military strategists such as Sun-Tzu and Chanakya."
(Hervorhebung von mir)

Der Marketingbegriff "Advanced Persistent Threat" hat aber auch einen guten (Neben)effekt, wie Bruce Schneier sehr schön erklärt hat:

"It's taken me a few years, but I've come around to this buzzword. It highlights an important characteristic of a particular sort of Internet attacker.

[...]

APT attackers are more highly motivated. They're likely to be better skilled, better funded, and more patient. They're likely to try several different avenues of attack. And they're much more likely to succeed.

This is why APT is a useful buzzword. "

Eine "fortgeschrittene, andauernde Bedrohung"

Nun gehen wir dem Begriff "Advanced Persistent Threat", auf deutsch also einer "fortgeschrittenen, andauernden Bedrohung", einmal Wort für Wort auf den Grund:

Advanced
Das "Advanced", also "fortgeschritten", wird oft auf die verwendeten Techniken bezogen. Das ist oft aber überzogen, auch mit altbekannten Angriffstechniken lässt sich ein APT konstruieren. Besser ist daher die Deutung des "Advanced" als Abgrenzung zu herkömmlichen Angriffen mit Schadsoftware, bei denen dem Angreifer das Opfer egal ist: Ein normaler Cyberkrimineller nimmt als Opfer, was er kriegen kann. Bei einem APT dagegen wird der Angriff auf ein bestimmtes Opfer oder zumindest eine stark eingegrenzte Anzahl an Opfern eingegrenzt.
Eine weitere Deutung des "Advanced" bezieht sich auf das von den Angreifern eingesetzte Instrumentarium: Statt nur eine einzige Schadsoftware einzusetzen, greifen die APT-Angreifer auf eine mehr oder weniger große Anzahl von Techniken und Taktiken zurück. Insbesondere wird das Opfer vor dem eigentlichen Angriff detailliert ausgekundschaftet und die für den Angriff verwendete Schadsoftware möglichst optimal auf den Einsatzzweck angepasst, worauf normale Angreifer i.A. verzichten.
Persistent
Das wichtigste am APT ist das "Persistent", also "andauernd": Während sich ein normaler Angreifer darauf beschränkt, seine Schadsoftware einzuschleusen und danach "nur" den infizierten Rechner ausspäht oder zur Verbreitung seiner Schadsoftware nutzt, dient der erste infizierte Rechner bei einem APT i.A. nur als Sprungbrett ins lokale Netz. Nachdem der Angreifer quasi "den Fuß in der Tür" hat, verschafft er sich nach und nach weitere Benutzerrechte und dringt auf andere Rechner im lokalen Netz vor. So lange, bis er sein eigentliche Ziel, z.B. einen Rechner mit Forschungs- und Entwicklungsdaten, erreicht hat. Dort richtet er sich häuslich ein und spioniert sein Opfer über längere Zeit aus. Dabei geht der Angreifer i.A. sehr langsam und vorsichtig vor, um nicht vor Erreichen seines Ziels entdeckt zu werden.
Statt das Opfer auszuspähen, kann der APT auch zur Sabotage eingesetzt werden, und auch eine Kombination dieser Möglichkeiten ist natürlich möglich. Wobei im letzten Fall die Sabotage auch zur Verdeckung des eigentlichen Angriffsziels dienen kann.
Threat
Dass das Ganze ein "Threat", also eine "Bedrohung" ist, dürfte sich von selbst verstehen.

Ein APT geht von einem Staat aus

Oft wird davon ausgegangen, dass ein APT von einem Staat ausgeht. Auch wenn bei vielen "berühmten" APTs (von denen ich noch einige vorstellen werde) ein Staat als Urheber vermutet wird, muss das generell nicht so sein. Ein Staat hat durch seine vorhandene Infrastruktur in Form einer mehr oder weniger großen Anzahl an Geheimdiensten und einem schier unerschöpflichen Geldvorrat natürlich Vorteile gegenüber privaten Angreifern. Aber nichts spricht dagegen, dass Cyberkriminelle einen APT-Angriff durchführen. Oder ein Unternehmen über einen APT z.B. bei der Konkurrenz spioniert (womit es dann aber i.A. selbst zum Cyberkriminellen wird und damit zur vorhergehenden Gruppe gehört). Fassen wir also zusammen: APTs können generell von jedem Angreifer mit ausreichenden Wissen, Fähigkeiten und/oder Geld durchgeführt werden.

APTs sind eine neue Entwicklung

Machmal hört man, APTs seien eine neue Entwicklung. Neu ist aber nur der Name, entsprechende Angriffe gab es schon zuvor. Z.B. erfüllt der KGB-Hack, bei dem die Angreifer zwischen 1985 und 1989 in verschiedene Computernetze eindrangen, Daten sammelten und an den KGB verkauften, alle Anforderungen an einen APT: Die Hacker drangen schrittweise ins ARPANET und MILNET vor und sammelten auf den Zielrechnern über längere Zeiträume Informationen.

Zusammenfassung

Ein "Advanced Persistent Threat" ist also

  • ein gezielter Angriff auf ein oder wenige Opfer,
  • bei dem der Angreifer sehr zielgerichtet vorgeht und ggf. großen Aufwand auf sich nimmt,
  • um nach dem ersten Eindringen in einen Rechner weiter in das lokale Netz des Opfers vorzudringen,
  • wo er möglichst lange unentdeckt bleiben will,
  • um über einen längeren Zeitraum Daten auszuspähen oder anderweitig Schaden anzurichten.

Wie so ein Angriff abläuft, erfahren Sie in der nächsten Folge.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Was ist ein Advanced Persistent Threat (APT)?
Ein bekannter Advanced Persistent Threat: Operation Aurora
Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
Kann man Advanced Persistent Threats erkennen?
Advanced Persistent Threats - Wo verrät sich der Angreifer?
Advanced Persistent Threats - So verrät sich der Angreifer!
Gezielte Angriffe und Advanced Persistent Threats
Advanced Persistent Threats gegen tibetische Aktivisten und mehr

Trackbacks

Dipl.-Inform. Carsten Eilers am : Neues zu Flashback & Co. und WordPress

Vorschau anzeigen
Es gibt noch ein paar Neuigkeiten zu Flashback und anderen, die gleiche Schwachstelle ausnutzenden Schädlingen. Und wussten Sie schon, dass Flashback über WordPress-Installationen verbreitet wurde und noch wird? Abweichungen bei der

Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Apple erlaubt keine Virenscanner im App-Store, es gibt Angriffe auf die PHP-CGI-Schwachstelle, Yahoo! veröffentlicht einen privaten Schlüssel, eine Verbesserung für TLS soll

Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits

Vorschau anzeigen
Zur Zeit laufen Angriffe über zwei Schwachstellen in Microsoft-Programmen, die beide die Ausführung von eingeschleustem Code erlauben: Eine 0-Day-Schwachstelle in den XML Core Services und eine am Juni-Patchday gepatchte Schwachstelle im In

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Adobe hat mal wieder ein Problem...

Vorschau anzeigen
Adobe hat mal wieder ein Problem. Und zwar ein ziemlich großes. Diesmal ist es keine 0-Day-Schwachstelle in Flash Player oder Adobe Reader, mit denen man ja reichlich Erfahrung hat. Stattdessen musste man zugeben, dass ein Angreifer Schadsoft

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012

Vorschau anzeigen
Ende Dezember wurden Angriffe über eine neue 0-Day-Schwachstelle im Internet Explorer entdeckt. Und die hat es ebenso wie die Angriffe selbst in sich. Erste Angriffe am 27. 21. 7 Dezember 2012 Laut Symantec und FireEye konnten die er

Dipl.-Inform. Carsten Eilers am : Pwn2Own: Safari ignoriert, alles andere gehackt

Vorschau anzeigen
Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, s

Dipl.-Inform. Carsten Eilers am : Kommentare rund um Schadsoftware, SSL und Googles Glass

Vorschau anzeigen
Heute gibt es mal wieder nur ein paar kommentierte Lesetipps: Zu Schadsofware, zu SSL und zu Googles Glass, Datenschutz und Privatsphäre Googles Glass wirft viele Fragen auf, zum Beispiel wie es mit dem Datenschutz der damit Beobach

Dipl.-Inform. Carsten Eilers am : Die nächste 0-Day-Schwachstelle, diesmal in Microsoft Office

Vorschau anzeigen
Weitgehend unbemerkt wurde am Dienstag von Microsoft eine 0-Day-Schwachstelle in MS Office behoben. Die 13. in diesem Jahr. Viele Informationen gibt es bisher nicht, aber zumindest das wenige habe ich mal zusammen getragen. Ein "wichtiges"

Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Vorschau anzeigen
Es gibt weitere Informationen zur 0-Day-Schwachstelle in Microsoft Graphics, die über präparierte Word-Dateien ausgenutzt wird. Und die sind sehr interessant, denn es könnte sich ein neuer Trend für 0-Day-Angriffe herauskristal

Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr

Vorschau anzeigen
Es gibt Neues zu den von Microsofts am Oktober-Patchday behobenen 0-Day-Schwachstellen, es wurde besonders bösartige Werbung entdeckt, und dann gibt es da noch ein paar widersprüchliche Meldungen. Ach so, und was die Nutzung von Fake-

Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra

Vorschau anzeigen
Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu

Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 6.2015 - Angriffsziel TFS

Vorschau anzeigen
Im windows.developer 6.15 ist ein Artikel über die Sicherheit des Team Foundation Servers erschienen. Der Team Foundation Server ist als Plattform für die kollaborative Softwareentwicklung theoretisch aus mehreren Richtungen gef&auml

Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 6.15 - Docker-Sicherheit - eine Bestandsaufnahme

Vorschau anzeigen
Im PHP Magazin 6.2015 ist ein Artikel zur Sicherheit von Docker erschienen. Docker isoliert Anwendungen in Container. Aber ist diese Isolation auch sicher? Manche meinen, nein - und bringen eine Alternative an den Start. Sollte man also um

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?

Vorschau anzeigen
Im windows.developer 6.17 ist ein Artikel über Social-Engineering-Angriffe (Scams, Phishing und Spear-Phishing) erschienen. Kann man diese Angriffe technisch bekämpfen, oder sind die potentiellen Opfer darauf angewiesen, sie eigenst&au