Möglicherweise haben Sie schon einmal etwas von Advanced Persistent Threats (APT) gehört, z. B. im Zusammenhang mit dem Angriff auf die Lieferkette von SolarWinds. Was aber sind fortgeschrittene anhaltende Bedrohungen? Wie unterscheiden sie sich von anderen Cyberangriffen?
Eine fortgeschrittene, anhaltende Bedrohung (Advanced Persistent Threat, APT) ist ein Cyberangriff, bei dem der Angreifer über einen längeren Zeitraum unentdeckt in einem kompromittierten Netzwerk operiert, nachdem er sich unbefugt Zugang verschafft hat.
APT-Angriffe setzen hochentwickelte Tools und Techniken ein, um nicht entdeckt zu werden, Anmeldeinformationen zu stehlen und sich durch das Netzwerk zu bewegen, um an hochrangige Werte zu gelangen. Diese Tools und Techniken erfordern ein erhebliches finanzielles und personelles Kapital, um sie zu erwerben oder zu entwickeln. Deshalb sind APT-Angriffe so konzipiert, dass sie sich auf die schlechtesten Netzwerkverteidigungen fokussieren, die wichtige Organisationen und ihre Assets schützen. Bei diesen Organisationen handelt es sich in der Regel um staatliche Stellen, kritische Infrastrukturen und Großunternehmen. Ziel ist es, sensible Daten wie Staatsgeheimnisse und geistiges Eigentum zu stehlen, langfristige Cyberspionage zu betreiben oder die gesellschaftliche Stabilität zu stören und die nationale Sicherheit zu gefährden. Die Merkmale eines APT-Angriffs bedeuten, dass nur Nationalstaaten und staatlich unterstützte Organisationen über die Ressourcen und die Absicht verfügen, APT-Angriffe auszuführen. In der Tat werden die meisten APT-Angriffe verschiedenen Regierungen weltweit zugeschrieben.
Während APT-Angriffe ursprünglich auf hochrangige Unternehmen abzielen, haben sich in den letzten Jahren mehrere wichtige Trends herauskristallisiert, die darauf hindeuten, dass kleinere Organisationen oder unkonventionelle APT-Ziele nicht mehr vor APT-Angriffen sicher sind.
Der Fortschritt von Cybersicherheitstechnologien erhöhen die Schwierigkeit und die Kosten der Durchführung eines APT-Angriffs immer mehr. Infolgedessen beginnen nationalstaatliche und staatlich gesponserte APT-Bedrohungsakteure, nicht-konventionelle APT-Ziele wie kleinere Unternehmen ins Visier zu nehmen, die Zugang zum Netzwerk des eigentlichen Ziels haben. Indem sie ein kleineres Unternehmen mit schwächerer Verteidigung kompromittieren, haben APT-Angreifer eine effizientere Möglichkeit, in das Netzwerk ihres eigentlichen Ziels einzudringen. Das bedeutet, dass kleinere Organisationen, die bisher als unwahrscheinliche Ziele galten, nicht mehr vor einem APT-Angriff gefeit sind.
Nicht staatlich unterstützte Bedrohungsakteure setzen zunehmend APT-ähnliche Taktiken, Techniken und Verfahren (TTPs) ein, um einen finanziellen Gewinn zu erwirtschaften und Massenstörungen zu verursachen. Insbesondere Ransomware-Banden nutzen diese Tools und Techniken, um Daten sowohl zu verschlüsseln, als auch zu stehlen. Diese Form der doppelten Erpressung ermöglicht es den Angreifern, von ihren Opfern ein höheres Lösegeld zu verlangen. Die ständig steigenden Lösegeldforderungen bei Ransomware-Angriffen spiegeln diesen beunruhigenden Trend wider.
Ein APT-Angriff umfasst mehrere Phasen, die Angreifer durchlaufen müssen, um ihre Ziele zu erreichen. Im folgenden Abschnitt werden die typischen Phasen eines APT-Angriffs beschrieben.
Bildquelle: Wikipedia
Ein APT-Angriff beginnt immer mit der Identifizierung von Zielen, die den Zielen des Angreifers entsprechen. Sobald ein Ziel ausgewählt wurde, führen die Angreifer eine Erkundung des Ziels durch, um potenzielle Einstiegspunkte (Angriffsvektoren) zu entdecken und so viele Informationen wie möglich über das Ziel zu sammeln.
Nach gründlicher Vorbereitung versucht der Angreifer, sich durch Ausnutzung eines oder mehrerer praktikabler Angriffsvektoren unbefugten Zugang zum Netzwerk des Ziels zu verschaffen.
Eine der häufigsten Methoden, um das zu erreichen, sind hochgradig betrügerische Social-Engineering-Techniken wie Spear-Phishing-E-Mails. Diese E-Mails sind geschickt so gestaltet, dass sie authentisch erscheinen und die Empfänger dazu verleiten, auf eine URL zu klicken, die daraufhin eine bösartige Datei herunterlädt. APT-Gruppen sind auch sehr geschickt darin, bekannte und unbekannte 0-Day-Schwachstellen in Systemtools, Diensten, Software und Hardware auszunutzen, um sich einen ersten Zugang zu verschaffen. Auch das Eindringen in das Netzwerk durch einen Angriff auf die Lieferkette gewinnt angesichts der jüngsten aufsehenerregenden Angriffe zunehmend an Bedeutung.
Nachdem er sich Zugang zum Netzwerk des Opfers verschafft hat, führt der Angreifer die erste Malware-Nutzlast auf dem kompromittierten Rechner (Patient Null) aus. Diese anfängliche Malware-Nutzlast wird verwendet, um eine Vielzahl von weitergehenden Zielen zu erreichen, wie z. B. interne Aufklärung, Umgehung der Verteidigung und Befehls- und Kontrollkommunikation.
Die Verteidigung umgehen: Der Angreifer verwendet Tools und Techniken, um nicht entdeckt zu werden. Dazu gehört die Deinstallation/Deaktivierung von Sicherheitssoftware oder die Ausnutzung vertrauenswürdiger Prozesse, um ihre Malware zu verstecken und zu verschleiern.
Befehl und Kontrolle: Der Angreifer stellt die Befehls- und Kontrollkommunikation (C&C) zwischen dem kompromittierten System und seiner Infrastruktur her. C&C ermöglicht es dem Angreifer, den Angriff aus der Ferne zu orchestrieren und dadurch kann eine Hintertür für einen bequemen Netzwerkzugang geöffnet werden um Daten zu exfiltrieren.
Sobald der Angreifer auf dem kompromittierten System Fuß gefasst hat, beginnt er, Zugangsdaten (User-, Domänenadministrator- und Dienstkonten) zu sammeln, um seine Privilegien zu erweitern. Durch diese erweiterten Rechte hat der Angreifer mehr Freiheit und Deckung, um sich seitlich durch das Netzwerk zu bewegen und um seine Ziele zu erreichen. Dabei ermöglichen es mehrere native Fernzugriffsdienste und Fernsteuerungstools wie SMB, RDP, Windows Admin Shares und PsExec den Angreifern, auf andere Systeme im Netzwerk zuzugreifen und Aktionen wie die Übertragung bösartiger Dateien, die Ausführung von Programmen und die Planung von Aufgaben durchzuführen.
Nachdem der APT-Angreifer die wertvollen Vermögenswerte erreicht hat, beginnt er mit der Exfiltration der Daten aus dem Netzwerk des Ziels in seine eigene Infrastruktur. Die Daten werden in der Regel an einen zentralen Ort übertragen und in ein Archiv verpackt. Das Archiv wird verschlüsselt, um es vor einer Deep Packet Inspection während der Exfiltration zu verbergen, und komprimiert und gechunked, so dass die Daten in so kleinen Mengen exfiltriert werden, dass sie einer normalen Verkehrsaktivität ähneln, um nicht aufzufallen. Der Angreifer kann auch einen DDoS-Angriff als Deckmantel verwenden, um die Aufmerksamkeit des Verteidigers von der Exfiltration abzulenken. Sobald die Daten erfolgreich exfiltriert wurden, kann der APT-Angreifer je nach seinen Zielen beschließen, die Umgebung des Opfers zu sabotieren. So können sie beispielsweise die Datenbank des Opfers löschen, seine Website verunstalten oder die Infrastruktur übernehmen.
Im folgenden Abschnitt werden einige bekannte APT-Angriffe beschrieben, die verschiedene Dimensionen eines Angriffs aufzeigen, wie die Art des Ziels, die Methode des Eindringens, ausgefeilte Techniken und der Zeitrahmen der Angriffe.
Eine Liste prominenter APT-Angriffe ist unvollständig ohne die Erwähnung des SolarWinds-Lieferkettenangriffs. "Aus softwaretechnischer Sicht kann man wohl mit Fug und Recht behaupten, dass dies der größte und raffinierteste Angriff ist, den die Welt je gesehen hat", sagte Microsoft-Präsident Brad Smith.
Im Dezember 2020 wurde der US-amerikanische Anbieter von IT-Management-Software SolarWinds als Opfer eines großen Angriffs auf die Software-Lieferkette enttarnt. Der Angreifer verschaffte sich bereits im September 2019 unberechtigten Zugriff auf das SolarWinds-Netzwerk. Die Angreifer kompilierten die Sunburst-Backdoor in die SolarWinds Orion Plattform, eine beliebte Netzwerküberwachungssoftware, die von 33.000 Kunden genutzt wird. Orion-Kunden begannen im März 2020 mit der Installation der Software-Updates inklusive dem Trojaner, wodurch die Angreifer direkten Zugang zu den Netzwerken von 18.000 Orion-Kunden erhielten. Zu den Opfern gehörten die höchsten Ebenen der US-Regierung, darunter das Pentagon, das Finanzministerium, das Heimatschutzministerium und das Außenministerium. Bis zu 80 % der Opfer waren jedoch Großunternehmen wie Microsoft, Intel und Cisco. Das wahre Ausmaß des Angriffs ist nach wie vor unklar, aber Schätzungen zufolge belaufen sich die Gesamtkosten des Angriffs auf 100 Milliarden Dollar.
Ende 2018 gaben die Marriot Hotels bekannt, dass sie Opfer einer groß angelegten Datenschutzverletzung wurden. Der erste Verstoß soll vier Jahre zuvor, im Jahr 2014, erfolgt sein.
Die Angreifer verschafften sich ursprünglich unbefugten Zugang zum Netzwerk der Starwood Hotels Group, die zwei Jahre später im Jahr 2016 von Marriot übernommen wurde. Die Marke Starwood verwendete weiterhin die Altsysteme von Starwood aus der Zeit vor der Übernahme, so dass die Angreifer ihren Zugriff auf die gesamte Marriot-Gruppe ausweiten konnten. Am 8. September 2018 meldete ein internes Sicherheitstool einen verdächtigen Versuch, auf die interne Reservierungsdatenbank von Starwood zuzugreifen. Ein User mit Administratorrechten führte die Datenbankabfrage durch, aber die Analyse ergab, dass die Abfrage nicht von der Person durchgeführt wurde, der das Konto zugewiesen war - ein Hinweis darauf, dass jemand anderes das Konto gehackt hatte. Die anschließende forensische Untersuchung führte zur Enthüllung der Sicherheitsverletzung. Es wurden personenbezogene Daten von bis zu 339 Millionen Gästen abgegriffen, darunter äußerst sensible Informationen wie Pass- und Kreditkartennummern, was den Angriff zu einer der größten Datenschutzverletzungen der Geschichte macht. Marriot Hotels wurde wegen Datenschutzverstößen zu einer Geldstrafe von 18,4 Millionen Pfund verurteilt.
Ein zerstörerischer Ransomware-Angriff traf die irische Gesundheitsbehörde (Health Service Executive, HSE) am 14. Mai 2021, wobei der Angreifer ein Lösegeld in Höhe von 20 Millionen Dollar forderte. Ransomware-Angriffe werden im Allgemeinen nicht als APT-Angriffe betrachtet, da sie einerseits nicht ausgeklügelt genug sind und sich andererseits nicht lange genug in einem Netzwerk befinden. Der Angriff auf HSE ist jedoch ein Beispiel für einen Ransomware-Angreifer, der bei seinen Angriffen APT-ähnliche TTPs einsetzte. Die Conti Ransomware-Bande verschaffte sich am 18. März 2021 Zugang zum HSE-Netzwerk, fast zwei Monate bevor die Ransomware ausgeführt wurde. Die Sicherheitslücke entstand, als ein interner User auf eine bösartige Microsoft Excel-Datei im Anhang einer Phishing-E-Mail klickte und diese öffnete. Conti arbeitete acht Wochen lang in der Umgebung von HSE weiter. Dazu gehörte die Kompromittierung einer erheblichen Anzahl von hoch privilegierten Konten und Servern, die Exfiltrierung von Daten und seitliche Bewegungen auf gesetzliche und private Krankenhäuser. Conti führte die Ransomware am 14. Mai 2021 aus und verschlüsselte 80 % der Systeme von HSE. Dies führte zu schwerwiegenden Unterbrechungen der Gesundheitsdienste in ganz Irland und zum Verlust der Daten von Tausenden von Iren, nachdem etwa 700 GB an Daten (einschließlich geschützter Gesundheitsinformationen) aus dem HSE-Netzwerk gestohlen wurden.
Stuxnet ist ein Computerwurm, der im Juni 2010 entdeckt wurde, nachdem eine Untersuchung über erheblichen Schäden an den Zentrifugen im iranischen Atomanreicherungslabor Natanz eingeleitet wurde. Es wird vermutet, dass der Stuxnet-Wurm im Juni 2009 in den Iran eingeschleust wurde und speziell die iranischen Atomanreicherungsanlagen zum Ziel hatte. Der Wurm verschaffte sich über ein USB-Laufwerk Zugang zu den Systemen und verbreitete sich auf andere Microsoft Windows-PCs im Netzwerk. Der Wurm durchsucht den Computer auf der Suche nach der Siemens Step7-Software, die eine speicherprogrammierbare Steuerung (SPS) steuert.
Wenn die Siemens-Software nicht gefunden worden wäre, wäre der Wurm inaktiv geblieben und er wurde so programmiert, dass er sich zu einem bestimmten Datum selbst gelöscht hätte.
Doch das war nicht der Fall und die Software wurde entdeckt. In dem Fall lud Stuxnet eine neuere Version von sich selbst herunter und nutzte die vier 0-Day-Schwachstellen aus, um schließlich bösartigen Code in die Software und die SPS einzuschleusen. Dadurch konnten die Angreifer die Anreicherungszentrifugen sabotieren, indem er ihre Geschwindigkeit kontrollierte, um sie auszubrennen. Der Wurm manipulierte auch die Rückmeldungen der Zentrifugen, so dass die Betreiber nichts von der Sabotage mitbekamen. Der Stuxnet-Wurm hat Berichten zufolge mehr als 200.000 Computer in 14 iranischen Einrichtungen infiziert und könnte bis zu 10 % der 9.000 Zentrifugen in Natanz zerstört haben.
Es ist klar, dass APT-Angriffe sehr schwer zu erkennen und ausgeklügelt sind. Die erfolgreiche Kompromittierung großer Unternehmen und hochrangiger Regierungsorganisationen lässt uns vielleicht daran zweifeln, ob es überhaupt möglich ist, APT-Angriffe zu erkennen und abzuwehren.
In der Tat bieten viele Cybersicherheitslösungen wie Firewalls, Endpunktsicherheit, Intrusion Detection and Prevention Systeme keinen ausreichenden Schutz mehr gegen APT-Angriffe. Im Wesentlichen sind diese Tools darauf ausgelegt, bekannte Bedrohungen durch ebenfalls bereits bekannte Malware-Signaturen, bekannter Kompromissindikatoren (Indicators of Compromise, IoC) und bekannter Angriffsmuster zu verhindern und zu erkennen. Da APT-Bedrohungsakteure ihre Tools, TTPs und Infrastrukturen ständig aktualisieren, ist eine Lösung zur Erkennung von nicht signaturbasierter Malware und unbekannten Angriffsaktivitäten und -mustern dringend erforderlich.
Network Detection and Response kann APTs sowohl erkennen als auch Unternehmen vor gefährlichen Angriffen schützen.
Network detection and response (NDR) ist eine Sicherheitslösung, die eine Echtzeit-Überwachung und -Analyse des netzwerkweiten Datenverkehrs durchführt, um Malware und verhaltensbasierte bösartige Aktivitäten im Netzwerk zu erkennen und darauf zu reagieren.
Der Kernpunkt von NDR ist die Erkennung verhaltensbasierter bösartiger Aktivitäten. So heimlich sie auch agieren, APT-Aktivitäten erzeugen in allen Phasen eines Angriffs Netzwerkverkehr, und können aufgrund dessen entdeckt werden. NDR nutzt die Möglichkeiten des maschinellen Lernens, der künstlichen Intelligenz und der Verhaltensanalyse, um den Netzwerkverkehr zu analysieren und granulare Abweichungen von der normalen Netzwerkaktivität zu erkennen, um APT-Bedrohungen aufzudecken.
Die Erkennung von Bedrohungen auf der Netzwerkebene ist auch deshalb so effektiv, weil APT-Angreifer für ihre Aktivitäten auf das Netzwerk angewiesen sind und es daher kontraproduktiv wäre, dieses zu sabotieren. Darüber hinaus verfügen NDR-Lösungen über integrierte Entschlüsselungsfunktionen, um den verschlüsselten Datenverkehr zu erkennen, mit dem Angreifer ihre böswilligen Handlungen und die Exfiltration von Daten verbergen.
Erkennung: NDR sammelt und normalisiert kontinuierlich den rohen Netzwerkverkehr in Echtzeit und extrahiert Verkehrsmetadaten an einem zentralen Ort für die maschinelle Analyse. Eine grundlegende Technologie, die dem NDR zugrunde liegt, ist das maschinelle Lernen (ML). Um bösartige Netzwerkaktivitäten zu erkennen, erstellt und optimiert ML dynamisch Basismodelle der normalen Netzwerkaktivitäten für User, Dateien, Anwendungen, Endpunkte, Geräte und Server in der gesamten Umgebung. Modelle für Taktiken, Techniken und Verfahren des Gegners werden ebenfalls integriert, um bekannte Angriffsmuster und Verhaltensweisen zu erkennen.
Die aus dem Netzwerkverkehr gewonnenen Metadaten werden mit einer KI-gestützten Verhaltens- und Statistikanalyse geprüft, um anomale Aktivitäten zu erkennen. Die Verhaltensanalyse stellt Querverweise auf frühere und Echtzeitdaten her, um scheinbar harmlose Ereignisse zu korrelieren. Mithilfe von Verhaltensanalysen identifiziert NDR Signale, die auf vom Muster abweichende Aktionen von Usern hinweisen, wie z. B. Standort oder Namenskonventionen, und untersucht Aktivitäten, Anwendungen und abgerufene Dateien, um Bedrohungen zu identifizieren.
Response/Reaktionen: NDR kann nicht nur potenzielle Bedrohungen aufspüren, sondern auch einen vollständigen Einblick in die Bedrohungshistorie gewähren, d. h. in die Zeitleiste bösartiger Aktivitäten, die die gesamte Cyber-Kill-Chain abdeckt. In diesem Fall können die Sicherheitsteams bei der Reaktion auf einen Vorfall ein breites Spektrum an Fragen beantworten. Sie können zum Beispiel antworten: Was hat das Asset oder das Konto vor der Warnmeldung getan? Wie verhielt es sich nach der Warnung? Wann begann die Situation zu eskalieren? Auf diese Weise gibt NDR den Sicherheitsteams das Wissen für eine schnelle Reaktion und Abhilfe an die Hand.
NDR kann in andere Cybersicherheitslösungen integriert werden, um über SOAR (Security Orchestration, Automation and Response) automatisierte Reaktionen einzuleiten. Wenn beispielsweise vorkonfigurierte SOAR-Playbooks ausgelöst werden, kann NDR mit der Netzwerk-Firewall kommunizieren, um IP-Adressen zu blockieren, die als bösartig eingestuft werden, oder EDR anweisen, bestimmte Dienste, Prozesse und Ports zu blockieren und zu beenden, die Anzeichen für bösartige Aktivitäten aufweisen.