Advanced Persistent Threats (APT) – Buzzword oder reale Bedrohung?

Ein «Advanced Persistent Threat (APT)» ist ein Cyber-Angriff, der sich gegen Unternehmen oder politische Ziele richtet. Die Attacke wird normalerweise von einer Gruppe koordiniert, die die Absicht hat, ihr Angriffsziel dauerhaft zu kompromittieren. Der Aufwand, um die Attacke erfolgreich durchzuführen, unbemerkt zu bleiben und die kontinuierliche Kontrolle über den Angriff zu gewährleisten, ist oft sehr hoch.

Unter dem Begriff APT oder «fortgeschrittene andauernde Bedrohung» wurde in den letzten Jahren eine neue Art von Cyber-Angriff bekannt. APTs nutzen verschiedenste Techniken und Methoden von Hacker-Attacken, die unbemerkt versteckte Angriffe auf Zielsysteme durchführen. Das Ziel dabei ist immer, langfristige Verbindungen aufrechterhalten zu können.

Stuxnet, Duqu, Regin, Retefe & Co.

Erste Beispiele für APTs sind Stuxnet und Duqu, die vor rund fünf Jahren auf die Zentrifugen des iranischen Atomprogramms abzielten. Damals wurde solche Malware «noch» als normaler Computerwurm bezeichnet. Nachfolgende Angriffe wurden um einiges gezielter und spezialisierter, was Malware wie Flame oder Regin eindrücklich bewiesen. Aktuelle Beispiele wie Retefe, ein Schweizer E-Banking-Trojaner, zeigen, dass es immer schwieriger wird, die Malware für APT-Angriffe zu entdecken. Dieser Trojaner wurde im Juli 2014 bemerkt, scheint jedoch immer noch aktiv zu sein. Vorzugsweise werden sogenannte Zero-Day Exploits verwendet, bei denen weder ein Sicherheitspatch noch Signaturen für Antivirenprogramme zur Verfügung stehen.

Die vier Phasen eines Advanced Persistent Threats

Häufig wird APT fälschlicherweise mit einem gezielten Angriff gleichgesetzt. APT beinhaltet durchaus gezielte Angriffe, letztere müssen allerdings nicht unbedingt in einer andauernden Bedrohung enden. Ein APT-Lebenszyklus kann grob in vier Phasen unterteilt werden:

• Vorbereitung
• Infektion
• Verteilung
• Persistenz

In der Vorbereitung wird das Ziel ausgewählt sowie Mittel und Ressourcen bereitgestellt. Abhängig von Ziel und Motivation müssen immense Mittel für einen erfolgreichen Angriff aufgewendet werden. Die verwendete Malware ist meist auf das Ziel zugeschnitten, damit sie nicht erkannt wird. Durch Hintergrundrecherchen, Observation und Social Engineering wird das Ziel erforscht und mögliche Angriffsvektoren und Eindringvarianten evaluiert.

Für die Infektionsphase wird sichergestellt, dass der Angriff nicht erkannt wird. Dafür gibt es gängige Methoden und Techniken, Malware so zu verschleiern, damit sie von Antivirusprogrammen nicht erkannt wird. Die Ersteindringung erfolgt meist durch Social-Engineering-Techniken, mit denen Mitarbeiter dazu gebracht werden, ein erstes System des Ziels zu infizieren.

Sobald ein erstes System erfolgreich infiziert und übernommen werden konnte, beginnt die Phase der Verteilung. Opfersysteme werden oft Teil eines grösseren Botnetzwerks und können so mühelos «ferngesteuert» werden. Nun gilt es, sich möglichst verdeckt in andere Systeme der Zielinfrastruktur vorzuarbeiten.

Weitere Angriffe auf das Ziel sind während dieser Phase durchaus üblich. So schafft der Angreifer die Illusion, dass noch kein erfolgreiches Eindringen stattgefunden hat.

In der Persistenz-Phase werden häufig alternative Zugänge mittels Tunneling- und Backdoor-Techniken geschaffen, damit der Zugriff auf die kompromittierten Systeme jederzeit möglich ist. Der Angreifer kann nun über einen längeren Zeitraum Daten sammeln oder Systeme gezielt manipulieren. Solange er nicht entdeckt wird, befindet er sich mit Augen und Ohren im Netzwerk.

Wer steckt dahinter?

Wie den Medien zu entnehmen ist, werden solche Angriffe momentan vorwiegend von Regierungen durchgeführt. Dabei werden meist klassische Ziele der Spionage verfolgt: Bekannt geworden sind beispielsweise Angriffe aus China, Israel, Russland und den USA. Auch die Wirtschaftsspionage ist heutzutage durchaus ein Motiv für einen APT-Angriff. Zunehmend wird Cyber-Kriminalismus professionalisiert, und es werden auf Basis von Dienstleistungspaketen komplexe Angriffe angeboten. Organisierte Cyber-Kriminelle greifen heutzutage in der Regel bei finanziell lohnenswerten Zielen auf APT-Angriffe zurück.

Wie schützt man sich gegen APTs?

Will man APT-Angriffe abwehren, erkennen und beseitigen, braucht man zwingend ein Konzept, das in alle Phasen eines APT-Lebenszyklus eingreifen kann – nicht nur an ein oder zwei singulären Punkten. Zu den Mechanismen zählen z.B: das Blocken eines Spear-Phishing-Angriffs, das Identifizieren von Zero-Day-Attacken und das Erkennen verdächtigen Netzwerk- und Internet-Datenverkehrs.

Um einen APT-Angriff abzuwehren, muss man die unterschiedlichen Elemente, aus denen ein APT-Angriff aufgebaut sein kann, zunächst grundlegend verstehen. Mit diesen Erkenntnissen sollten gezielte Abwehrstrategien und technische Tools eingesetzt werden, die für jede Phase eines APT-Angriffs am effektivsten wirken. Denn leider ist APT weder Buzzword noch Medien-Hype, sondern schlicht der nächste Evolutionsschritt der Internetkriminalität.

Immanuel Willi
Penetration Tester & Security Consultant, Oneconsult AG

Nach Abschluss der Informatikerlehre an einem Universitätsspital arbeitete Immanuel Willi ab 2005 zwei Jahre als Systemadministrator an einer Hochschule. Nach dem Wechsel an eine andere Hochschule übernahm er die Leitung der hochschulinternen Informatikdienste. Zwischen 2008 und 2013 studierte Immanuel Willi berufsbegleitend Informatik an der Fernfachhochschule Schweiz und schloss sein Studium Anfang 2013 mit dem Titel BSc FH in Informatik ab. Er ist seit November 2013 bei Oneconsult AG als Security Consultant und Penetration Tester tätig. Immanuel Willi verfügt über Zertifizierungen als Information Systems Security Professional (CISSP), Offensive Security Wireless Professional (OSWP), OSSTMM Professional Security Tester (OPST) sowie über die «ITIL® V3 Foundation»-Zertifizierung.