Was ist ein Advanced Persistent Threat (APT)?
Advanced Persistent Threats werden oft mit gezielten Angriffen gleich gesetzt oder zumindest in einen Topf geworfen. Das ist i.A. aber falsch. Zwar sind APTs immer gezielte Angriffe, aber nicht jeder gezielte Angriff endet in einem APT. Die erste Frage, die zu klären ist, lautet also
Was ist ein Advanced Persistent Threat (APT)?
Werfen wir mal einen Blick auf die Meinungen derjenigen, die sich mit Schadsoftware und IT-Angriffen auskennen: Die Antivirenhersteller. Laut Kevin Rowney von Symantec sind APTs
"... long-term, covert malware campaigns run by well-funded teams who are typically backed by the resources of a nation state. The playbook for such attacks is to stay “low and slow” in an organization’s infrastructure over a long period of time, allowing the attackers to gather detailed information on the target enterprise. The usual goal of these malware campaigns is ongoing theft of highly confidential data or even disruption of operations. The stakes are quite big."
Joseph Cepe von Trend Micro beschreibt APTs so:
"The use of the term “advanced persistent threats” perhaps helps people grasp how sophisticated attacks staged by groups that intend to and are capable of targeting a specific organization are. Attacks under the umbrella term “advanced persistent threats” usually take longer to plan and execute as well as utilize a variety of tools compared with typical malware attacks that are relatively uncontrolled and do not criticize in terms of target."
Am treffendsten ist die Erklärung von Brian Contos von McAfee:
"Advanced Persistent Threats or APTs have many definitions. In most cases it’s an over used and abused marketing term adopted by point solution security vendors to talk about their ability to stop “bad things.” The term most generally defines an adversary with formidable means, organization, and motivation: they’re on a mission. It is often associated with espionage, and as such the concept predates the digital era and can be traced back to the earliest documentation of intelligence gathering recorded by military strategists such as Sun-Tzu and Chanakya."
(Hervorhebung von mir)
Der Marketingbegriff "Advanced Persistent Threat" hat aber auch einen guten (Neben)effekt, wie Bruce Schneier sehr schön erklärt hat:
"It's taken me a few years, but I've come around to this buzzword. It highlights an important characteristic of a particular sort of Internet attacker.
[...]
APT attackers are more highly motivated. They're likely to be better skilled, better funded, and more patient. They're likely to try several different avenues of attack. And they're much more likely to succeed.
This is why APT is a useful buzzword. "
Eine "fortgeschrittene, andauernde Bedrohung"
Nun gehen wir dem Begriff "Advanced Persistent Threat", auf deutsch also einer "fortgeschrittenen, andauernden Bedrohung", einmal Wort für Wort auf den Grund:
- Advanced
- Das "Advanced", also "fortgeschritten", wird oft auf
die verwendeten Techniken bezogen. Das ist oft aber überzogen, auch
mit altbekannten Angriffstechniken lässt sich ein APT konstruieren.
Besser ist daher die Deutung des "Advanced" als Abgrenzung zu
herkömmlichen Angriffen mit Schadsoftware, bei denen dem Angreifer das
Opfer egal ist: Ein normaler Cyberkrimineller nimmt als Opfer, was er
kriegen kann. Bei einem APT dagegen wird der Angriff auf ein bestimmtes
Opfer oder zumindest eine stark eingegrenzte Anzahl an Opfern
eingegrenzt.
Eine weitere Deutung des "Advanced" bezieht sich auf das von den Angreifern eingesetzte Instrumentarium: Statt nur eine einzige Schadsoftware einzusetzen, greifen die APT-Angreifer auf eine mehr oder weniger große Anzahl von Techniken und Taktiken zurück. Insbesondere wird das Opfer vor dem eigentlichen Angriff detailliert ausgekundschaftet und die für den Angriff verwendete Schadsoftware möglichst optimal auf den Einsatzzweck angepasst, worauf normale Angreifer i.A. verzichten. - Persistent
- Das wichtigste am APT ist das "Persistent", also
"andauernd": Während sich ein normaler Angreifer darauf
beschränkt, seine Schadsoftware einzuschleusen und danach "nur" den
infizierten Rechner ausspäht oder zur Verbreitung seiner Schadsoftware
nutzt, dient der erste infizierte Rechner bei einem APT i.A. nur als
Sprungbrett ins lokale Netz. Nachdem der Angreifer quasi "den Fuß
in der Tür" hat, verschafft er sich nach und nach weitere
Benutzerrechte und dringt auf andere Rechner im lokalen Netz vor. So lange,
bis er sein eigentliche Ziel, z.B. einen Rechner mit Forschungs- und
Entwicklungsdaten, erreicht hat. Dort richtet er sich häuslich ein und
spioniert sein Opfer über längere Zeit aus. Dabei geht der
Angreifer i.A. sehr langsam und vorsichtig vor, um nicht vor Erreichen
seines Ziels entdeckt zu werden.
Statt das Opfer auszuspähen, kann der APT auch zur Sabotage eingesetzt werden, und auch eine Kombination dieser Möglichkeiten ist natürlich möglich. Wobei im letzten Fall die Sabotage auch zur Verdeckung des eigentlichen Angriffsziels dienen kann. - Threat
- Dass das Ganze ein "Threat", also eine "Bedrohung" ist, dürfte sich von selbst verstehen.
Ein APT geht von einem Staat aus
Oft wird davon ausgegangen, dass ein APT von einem Staat ausgeht. Auch wenn bei vielen "berühmten" APTs (von denen ich noch einige vorstellen werde) ein Staat als Urheber vermutet wird, muss das generell nicht so sein. Ein Staat hat durch seine vorhandene Infrastruktur in Form einer mehr oder weniger großen Anzahl an Geheimdiensten und einem schier unerschöpflichen Geldvorrat natürlich Vorteile gegenüber privaten Angreifern. Aber nichts spricht dagegen, dass Cyberkriminelle einen APT-Angriff durchführen. Oder ein Unternehmen über einen APT z.B. bei der Konkurrenz spioniert (womit es dann aber i.A. selbst zum Cyberkriminellen wird und damit zur vorhergehenden Gruppe gehört). Fassen wir also zusammen: APTs können generell von jedem Angreifer mit ausreichenden Wissen, Fähigkeiten und/oder Geld durchgeführt werden.
APTs sind eine neue Entwicklung
Machmal hört man, APTs seien eine neue Entwicklung. Neu ist aber nur der Name, entsprechende Angriffe gab es schon zuvor. Z.B. erfüllt der KGB-Hack, bei dem die Angreifer zwischen 1985 und 1989 in verschiedene Computernetze eindrangen, Daten sammelten und an den KGB verkauften, alle Anforderungen an einen APT: Die Hacker drangen schrittweise ins ARPANET und MILNET vor und sammelten auf den Zielrechnern über längere Zeiträume Informationen.
Zusammenfassung
Ein "Advanced Persistent Threat" ist also
- ein gezielter Angriff auf ein oder wenige Opfer,
- bei dem der Angreifer sehr zielgerichtet vorgeht und ggf. großen Aufwand auf sich nimmt,
- um nach dem ersten Eindringen in einen Rechner weiter in das lokale Netz des Opfers vorzudringen,
- wo er möglichst lange unentdeckt bleiben will,
- um über einen längeren Zeitraum Daten auszuspähen oder anderweitig Schaden anzurichten.
Wie so ein Angriff abläuft, erfahren Sie in der nächsten Folge.
Übersicht über alle Artikel zum Thema
- Was ist ein Advanced Persistent Threat (APT)?
- Ein bekannter Advanced Persistent Threat: Operation Aurora
- Ein weiterer bekannter Advanced Persistent Threat: Stuxnet
- Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
- Kann man Advanced Persistent Threats erkennen?
- Advanced Persistent Threats - Wo verrät sich der Angreifer?
- Advanced Persistent Threats - So verrät sich der Angreifer!
- Gezielte Angriffe und Advanced Persistent Threats
- Advanced Persistent Threats gegen tibetische Aktivisten und mehr
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neues zu Flashback & Co. und WordPress
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Adobe hat mal wieder ein Problem...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Internet Explorer, Ausgabe Dezember 2012
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Pwn2Own: Safari ignoriert, alles andere gehackt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare rund um Schadsoftware, SSL und Googles Glass
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die nächste 0-Day-Schwachstelle, diesmal in Microsoft Office
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues zu den 0-Day-Exploits, besonders bösartige Werbung und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 6.2015 - Angriffsziel TFS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: PHP Magazin 6.15 - Docker-Sicherheit - eine Bestandsaufnahme
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit für Flash Player unterwegs, bei Microsoft nur 0-Day-Schwachstellen gepatcht
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 11.17 - Windows 10 im Visier der Sicherheitsforscher
Vorschau anzeigen