Was sind APTs (Advanced Persistent Threats)?

Wodurch zeichnen sich Advanced Persistent Threats (APTs) aus?

APTs unterscheiden sich deutlich von opportunistischen Angriffen wie Breitband-Phishing, die in der Regel auf Massenausnutzungstaktiken beruhen und auch von unerfahrenen Bedrohungsakteuren ausgeführt werden können. APTs weisen u. a. folgende Erkennungsmerkmale auf:

• Zielgerichtete Angriffe: APTs werden gezielt entwickelt, um bestimmte Unternehmen, Branchen, Einzelpersonen oder Behörden anzugreifen. Ihre Opfer sind in der Regel im Besitz wertvoller oder vertraulicher Daten, die die Angreifer manipulieren, zerstören oder verkaufen können.
• Langfristige Präsenz: APTs sind so konzipiert, dass sie monatelang oder sogar jahrelang unentdeckt in einem Netzwerk verbleiben. Dies gibt Angreifern Zeit, ihr Angriffsziel sorgfältig zu analysieren und den Wert und das Volumen ihres Angriffs zu steigern.
• Tarnung und Ausweichmanöver: APTs nutzen Techniken, die von vielen gängigen Sicherheitsmechanismen nicht erkannt werden. Zu den gängigsten Strategien zählen Verschlüsselung, das Tarnen als legitimer Code oder als legitime App (Spoofing) und die Selbstumschreibung (Polymorphismus).
• Unterstützung durch Nationalstaaten oder kriminelle Vereinigungen: APTs werden häufig von staatlichen oder kriminellen Vereinigungen finanziert, die politische Ziele verfolgen, Wettbewerbsvorteile erzielen oder Profit machen wollen. Bedrohungsakteure können diese Ressourcen nutzen, um auf spezielle Tools und Exploits zuzugreifen.

So funktionieren Advanced Persistent Threats

APTs durchlaufen einen stufenweisen Lebenszyklus, um ein Ziel zu infiltrieren, die Kontrolle zu übernehmen und einer Entdeckung zu entgehen. Die wichtigsten Phasen sind:

1. Aufklärung: Angreifer sammeln Informationen über ihr Ziel, um den idealen Angriffspunkt zu finden. Dazu können Details zum Netzwerk, zu Anwendungen, Usern (z. B. Namen, Anmeldedaten), Geschäftspartnern usw. des Opfers gehören.
2. Erstzugriff: Angreifer verschaffen sich Zugriff auf das Zielnetzwerk, häufig durch Social Engineering (z. B.Spear-Phishing- E-Mails, Business-E-Mail-Compromise), Zero-Day-Exploits oder Watering-Hole-Angriffe.
3. Einnistung: Angreifer setzen Schadsoftware wie Remote Access Trojaner (RATs) oder Backdoors ein, die es ihnen ermöglichen, sich auch dann wieder Zugriff zu verschaffen, wenn ihr ursprünglicher Einstiegspunkt geschlossen ist.
4. Rechteausweitung: Angreifer verwenden gestohlene Anmeldedaten oder nutzen interne Sicherheitslücken (z. B. laxe Zugriffsrichtlinien, Fehlkonfigurationen), um erweiterte Berechtigungen oder Administratorzugriff zu erlangen.
5. Laterale Ausbreitung: Angreifer nutzen ihre neuen Berechtigungen, um sich unentdeckt durch das Netzwerk zu bewegen und so ihre Position weiter zu stärken, während sie durch die Umgebung navigieren.
6. Datenexfiltration: Angreifer übertragen wertvolle Daten (z. B. geistiges Eigentum, Finanzunterlagen, Kundeninformationen) an einen externen Ort, den sie kontrollieren. Oft verschlüsseln sie die Daten oder betten sie in legitimen Traffic ein, um eine Erkennung zu vermeiden.
7. Verwischen der Spuren: Um den Zugriff auf das Netzwerk aufrechtzuerhalten und weiterhin einer Erkennung zu entgehen, können Angreifer Protokolle ändern oder löschen, Zeitstempel ändern usw.
   

Neue APT-Taktiken, -Techniken und -Verfahren

APT-Gruppen entwickeln ständig neue Techniken, um etablierte APT-Sicherheitsmethoden zu umgehen.

Missbrauch von Cloud-Services

APT-Gruppen missbrauchen zunehmend legitime Cloud-Services wie GitHub und Dropbox, um heimliche Angriffe durchzuführen. Diese Services verfügen über eine native Verschlüsselung, die es APTs leicht macht, verborgen zu bleiben, während sie verschiedene Taktiken anwenden:

• API-Missbrauch: Ausnutzen vertrauenswürdiger Softwareintegrationen zur Umgehung von Sicherheitskontrollen
• Missbrauch von Webhooks: Ausnutzung automatisierter App-zu-App-Kommunikation, um den eigenen Standort zu verbergen
• Dead-Drop-Resolver, die Cloud-Speicher ausnutzen, um den Standort ihrer schädlichen Infrastruktur zu schützen
• Payload-Hosting: Speicherung schädlicher Payloads auf Plattformen, denen User und Sicherheitstools vertrauen

Missbrauch sozialer Medien

APT-Akteure nutzen soziale Medien auch als Deckmantel für ausgeklügelte Social-Engineering-Techniken, Dead Drops und mehr. Zum Beispiel geben sie sich auf Plattformen wie LinkedIn und X (ehemals Twitter) als Personalvermittler oder als Sicherheitsexperte aus.

Weitere Informationen finden Sie im ThreatLabz-Report zu verschlüsselten Angriffen.

Wer startet Advanced Persistent Threats?

Die Mehrzahl der APT-Angreifer fällt in eine der folgenden Kategorien:

• Nationalstaatliche Akteure
• Hacktivisten-Gruppen
• Cyberkriminelle Vereinigungen
• Extern motivierte Insider

Hinter APTs stehen erfahrene Hacker, die in der Regel über ausreichend Ressourcen und finanzielle Unterstützung verfügen, um auf fortschrittliche Methoden und Tools zugreifen zu können. Ihre Auftraggeber können gewinnorientierte organisierte kriminelle Unternehmen sein, in erster Linie handelt es sich jedoch um nationalstaatliche Gruppen, die in die Cyber-Spionage verwickelt sind. Insbesondere Gruppen aus China, Iran, Nordkorea und Russland werden regelmäßig mit prominenten APT-Kampagnen in Verbindung gebracht.

Beispiele für APT-Angriffe aus der Praxis

APTs stellen eine aktive und wachsende Bedrohung dar. Einige Vorfälle aus jüngster Zeit im Überblick:

• Nordkoreanische Remote-Arbeiter in westlichen Ländern: Nordkoreanische Bedrohungsakteure nutzen Social Engineering, GenAI und gestohlene Daten – darunter Quellcode, personenbezogene Daten und Krypto-Wallets –, um sich Remote-Arbeit in westlichen Ländern zu sichern.
• Kimsuky (APT43): Diese von der Demokratischen Volksrepublik Korea unterstützte Bedrohungsgruppe nutzt verschiedene Techniken, darunter schädliche Chrome-Erweiterungen, um Anmeldedaten, Trackingdaten und mehr von südkoreanischen Thinktanks, Regierungsbehörden und Schulen zu stehlen.
• Earth Baku (APT41): Dieser in China ansässige Bedrohungsakteur nutzt den getarnten DodgeBox-Loader, um die Backdoor-Malware MoonWalk zu verbreiten. Ursprünglich bekannt für Angriffe auf Unternehmen in Südostasien, hat die Gruppe ihre Aktivitäten nun auch auf die EMEA-Region ausgeweitet.

Die Auswirkungen anderer APT-Angriffe, die schon länger zurückliegen, sind bis heute spürbar:

• SolarWinds-Angriff (2020): Russische staatliche Akteure stellten trojanisierte Updates für die SolarWinds Orion-Software bereit und konnten so Schadsoftware auf den Systemen von rund 18.000 SolarWinds-Kunden installieren, darunter auch US-Behörden.
• Stuxnet (2010): Dieser Wurm-Malware-Virus war angeblich Teil einer verdeckten Cyber-Sabotage-Operation und störte industrielle Prozesse in iranischen Atomanlagen. Dabei wurden schätzungsweise 1.000 Atomzentrifugen schwer beschädigt.
• Operation Aurora (2009): Von China unterstützte Cyberkriminelle nutzten eine Zero-Day-Sicherheitslücke im Internet Explorer, um Daten von Dutzenden großer Unternehmen zu stehlen, darunter Adobe, Google und Yahoo. Der Vorfall führte dazu, dass Google die Aktivitäten in China einstellte.

Auswirkungen dieser Kampagnen

APT-Angriffe können schwerwiegende Folgen haben, die weit über Datenlecks hinausgehen. Nach einem Verstoß drohen den Opfern finanzielle Verluste sowie rechtliche und aufsichtsrechtliche Konsequenzen und eine Schädigung ihres Rufs, sodass die Wiederherstellung sich teilweise über sehr lange Zeit hinziehen kann.

Wenn ein APT kritische Vorgänge oder Systeme stört, kann dies zu Unterbrechungen in Lieferketten, der Produktion oder wichtigen Versorgungseinrichtungen führen oder sogar größere politische oder wirtschaftliche Turbulenzen verursachen. Insbesondere die Angriffe der Operation Aurora und Stuxnet zeigen, wie APTs zu langfristigen gesellschaftspolitischen und geopolitischen Spannungen beitragen können.

Tipps für die Erkennung und Abwehr von APTs

APT-Gruppen gestalten ihre Angriffe geschickt so, dass sie schwer zu erkennen sind. Dennoch ist der Kampf gegen APTs nicht aussichtslos. Voraussetzung ist eine robuste, proaktive Sicherheitsarchitektur, die folgende Funktionen bereitstellt:

• Lückenlose Transparenz: Durch kontinuierliche Überwachung lassen sich Transparenzlücken an Endgeräten, in Netzwerken und Clouds beseitigen, sodass verdächtige Aktivitäten erkannt werden können.
• Anomalieerkennung: KI-gestützte Tools können ungewöhnliche Muster erkennen, beispielsweise anormale Traffic-Ströme oder verschleierte Versuche, Daten abzugreifen.
• Integrierte Bedrohungsinformationen: Bedrohungsinformationen in Echtzeit verknüpfen externe Daten mit internen Aktivitäten und ermöglichen so eine schnellere Identifizierung APT-spezifischer Taktiken.
• Proaktive Bedrohungssuche: Erfahrene Bedrohungsexperten können Aktivitäten wie die Ausweitung von Berechtigungen oder laterale Bewegungen erkennen, noch bevor diese automatische Warnmeldungen auslösen.
• Erweiterte Erkennungstools: Tools wie Endpoint Detection and Response (EDR), Intrusion Detection Systems (IDS) und Sandboxes können Anzeichen von APT-Verhalten aufdecken, die herkömmlichen Tools entgehen.
• Zero-Trust-Architektur: Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe und die kontinuierliche Überprüfung von Identitäten und Geräten minimieren die Risiken einer lateralen Bewegung oder Eskalation.
  

Vorteile der Zscaler-Lösung im Kampf gegen APTs

Zscaler kombiniert wesentliche Funktionen mit einer Cloud-nativen Zero-Trust-Architektur und erweiterten Analysen für umfassende APT-Sicherheit. In unserem Ansatz sind folgende Funktionen und Leistungen inbegriffen:

• Lückenlose Inline-Trafficprüfung: Unsere Cloud-native Proxy-Architektur prüft den gesamten ein- und ausgehenden Traffic, einschließlich des TLS/SSL-verschlüsselten Traffics, und lässt sich beliebig skalieren.
• Inline-Cloud-Sandbox-Analyse: Unsere KI-gestützte Sandbox gewährleistet unbegrenzte, latenzfreie Untersuchungen und Echtzeiturteile, um Bedrohungen zu blockieren, bevor sie die Endgeräte erreichen.
• Experteninformationen zu Bedrohungen: Unser ThreatLabz-Bedrohungsforschungsteam verfolgt aktiv die weltweit gefährlichsten APT-Gruppen, um neue Trends und Taktiken zu verstehen.