Advanced Persistent Threat – so heißt die Ausdauerdisziplin unter den Hackerangriffen. Hier geht es nicht ums schnelle Geld, sondern darum, möglichst viele Informationen zu sammeln. Und das über einen möglichst langen Zeitraum. Im 13. Teil unserer Serie „Sicherheit im Internet“ berichten wir von einem perfiden Versteckspiel, mit dem sich ganze Staaten beharken.
Bild: Pixabay via Pexels
„Advanced Persistent Threats“ oder kurz APT zielen auf die ganz dicken Fische im Netz: Auf die Daten von Regierungen und Behörden, auf geheime Entwicklungsdateien von Unternehmen, auf die Ergebnisse von Forschungsinstituten. Kurzum: alle Institutionen, bei denen besonders sensible oder wertvolle Informationen zu holen sind. Deshalb gelten diese Angriffe auch als Königsklasse unter den Cyberbedrohungen: Sie verschonen aber auch kleinere Unternehmen nicht. Dort dienen sie typischerweise als Türöffner für den Zugang zu größeren Unternehmen und Organisationen.
Angriffe von langer Hand vorbereitet
Bei so einem APT ist der Name Programm; („Advanced Persistent Threat“ steht auf deutsch für „fortgeschrittene, andauernde Bedrohung“). Die Angriffe erstrecken sich über einen langen Zeitraum, in dem die Angreifer versuchen, so viele Informationen über das Angriffziel wie möglich abzugreifen. Im Unterschied zu klassischen Cyberbedrohungen, die eher auf die breite Masse zielen, haben APT immer ein ganz bestimmtes Opfer im Visier.
Solche Angriffe werden von langer Hand vorbereitet und sind oft mit erheblichem Aufwand verbunden. Dafür wird die komplette Werkzeugkiste der Cyberkriminellen eingesetzt. Zu ihnen gehören Angriffsvektoren wie etwa Rootkits, DNS-Tunneling, Social Engineering oder ausgeklügelte WLAN-Strategien. Die eingesetzten Angriffswerkzeuge werden sorgfältig an den jeweiligen Angriff angepasst und zum Teil zu diesem Zweck sogar neu entwickelt – beispielsweise spezielle Software-Pakete.
APT-Angriffe sind strategisch motiviert
Im Gegensatz zu anderen Cybercrimes sind APT-Angriffe in der Regel nicht finanziell motiviert, vielmehr verfolgen sie strategische Ziele. Die Angreiger sind oft im Auftrag von Staaten aktiv und werden von diesen bezahlt und ausgerüstet. Weltweit ist eine Fülle von Gruppen bekannt, die sich auf APT spezialisiert haben. Besonders aktiv sind russische Gruppen, gerade auch jetzt vor der bevorstehenden Europawahl.
„Im Vorfeld der Wahlen zum Europäischen Parlament bleibt Russland die größte Bedrohung für Europa“, sagt Jamie Collier von der Sicherheitsfirma Mandiant im Deutschlandfunk. „Russische Operationen werden wahrscheinlich in ganz Europa stattfinden und versuchen, die Unterstützung für die Ukraine sowie das Vertrauen in die NATO und die EU zu untergraben.“ Den russischen Hackern geht es auch darum, Unsicherheit zu verbreiten, Industriespionage zu betreiben und Bankgeheimnisse zu knacken. Das kann wiederum Ziele verfolgen wie russische Beamte unter Druck zu setzen, die versuchen, ihr Geld ins Ausland zu bringen.
APT-Gruppen seit 2006 aktiv
APT-Hackergruppen, die der Einfachheit halber schlicht durchnummeriert werden, sind keine neue Erscheinung. APT1 oder auch „Comment Panda“ ist bereits seit 2006 aktiv und soll von China aus gelenkt werden. Die Gruppe hat vor allem die angelsächsischen Länder im Visier. APT29, die auch unter dem Namen Cozy Bear bekannt ist, ist eine der bekanntesten russischen Gruppen. Sie wird unter anderem beschuldigt, im Vorfeld der US-Präsidentschaftswahlen 2016 ins Computersystem des amerikanischen Democratic National Committee (DNC) eingebrochen zu sein und die die erbeuteten Daten Wikileaks zugespielt zu haben. Eine weitere sehr aktive russische Gruppe ist APT28, auch als Fancy Bear oder Sofacy Group bekannt. Sie wird dem russischen Geheimdienst GRU zugeordnet und soll neben Angriffen auf verschiedene Ziele in Georgien und der Ukraine auch für Hackerangriffe auf die SPD Anfang 2023 verantwortlich sein.
Ein Unterfangen, das auch diplomatische Verwerfungen hervorgerufen hat. „Staatliche russische Hacker haben Deutschland im Cyberraum angegriffen. Das ist völlig inakzeptabel und wird nicht ohne Konsequenzen bleiben“, zeigte sich Außenministerin Annalena Baerbock empört.
Weitere APT-Gruppen sind vor allem für den Iran und Nordkorea aktiv. Und selbstverständlich ist davon auszugehen, dass auch Gruppen für westliche Regierungen arbeiten – auch wenn das in den entsprechenden Ländern eher nicht an die große Glocke gehängt wird.
In der Ruhe liegt die Kraft
Ein APT hat seine eigene Choreografie. Im ersten Schritt versuchen die Angreifer sich Zugriff auf das Opfer-System zu verschaffen. Das kann beispielsweise über unentdeckte Sicherheitslücken, per Malware oder viel öfter über Social Engineering-Taktiken, wie etwa Spear-Phishing geschehen. Spear Phishing ist ein gezielter Angriff auf bestimmte Personen. Und das ist aufwändig. Die Angreifer verwenden viel Zeit und Mühe darauf, möglichst viele Details über die Arbeit, das Leben, die Freunde und die Familie der potenziellen Opfer herauszufinden. Mithilfe dieser Informationen können Angreifer umfassende Profile ihrer Ziele erstellen – und am Ende beispielsweise Mails verschicken, die dem Angegriffenen legitim erscheinen, in Wahrheit jedoch das Opfer zur Herausgabe von geheimen Daten verführen sollen.
Sind die Angreifer im System drin, dann gilt es einen „Fuß in der Tür zu behalten.“ Die Hacker installieren unauffällige Backdoors, die ihnen einen permanenten Zugriff ermöglichen. Sobald die Angreifer vollen Zugriff auf das System haben, können sie auch Sicherheitslösungen ausschalten oder deren Einstellungen zu ihren Gunsten ändern. Gleichzeitig breiten sich die Angreifer im System aus, verschaffen sich Zugriff auf weitere vertrauliche Daten. Diese werden dann gepackt und unauffällig weiter transferiert. Ziel ist es, möglichst lange unerkannt zu bleiben.
Schwierige Abwehr
Diese langsame und äußerst sorgfältige Vorgehensweise auf hohem Level macht es extrem schwer, solche Angriffe zu erkennen und abzuwehren. Wird ein APT-Angriff aufgedeckt, dann ist es oft noch schwerer das kompromittierte System zu bereinigen. Die Angreifer dringen tief in die Sicherheitsarchitektur ein und hinterlassen dort meistens nicht nur eine Hintertür. Zudem müssen aufwändige Untersuchungen angestellt werden, um alle kompromittierten Elemente zu finden und zu säubern. Das ist dann oft die Aufgabe von speziellen APT-Response-Dienstleistern, wie sie etwa das BSI in einer Liste zusammengestellt hat.
Eines der bislang bekanntesten Opfer von APT dürfte der US-amerikanische Anbieter von IT-Management-Software SolarWinds sein. Bei dem bereits im September 2019 in die Wege geleiteten Angriff ging es nicht um das Unternehmen selbst, sondern vielmehr um seine Kunden: Der Angriff, der erst Ende 2020 aufflog, war ein sogenannter Supply-Chain-Angriff. Und ein extrem gelungener dazu: „Aus softwaretechnischer Sicht kann man wohl mit Fug und Recht behaupten, dass dies der größte und raffinierteste Angriff ist, den die Welt je gesehen hat“, zitiert die Sicherheitsfirma Forenova in ihrem Blog Microsoft-Präsident Brad Smith.
Zulieferer infiziert Kunden
Und der sah so aus: Die Angreifer schmuggelten eine Backdoor in die SolarWinds Orion Plattform, eine Netzwerk-Überwachungssoftware, die von 33.000 Kunden genutzt wird. SolarWind lieferte ab März 2020 nichts ahnend an 18.000 Kunden Backups aus – inklusive der Schadsoftware, was den Cyberkriminellen direkten Zugriff auf deren Netzwerke eröffnete. Zu den Kunden von SolarWind gehörten US-amerikanische Ministerien wie das Pentagon, das US-Finanzministerium oder auch das US-Außenministerium. Den Löwenanteil der Kunden mit über 80 Prozent stellten aber Großunternehmen wie Intel, Cisco oder eben auch Microsoft. Ihr Schaden wird auf 100 Mrd. Dollar geschätzt.
SolarWinds ist nur die Spitze des Eisbergs, in den kommenden Jahren dürften weitere, ähnlich spektakuläre Fälle hinzu kommen. Im jährlichen Security Bulletin prognostizieren die Experten von Kaspersky, dass angesichts der geopolitischen Spannungen die Zahl staatlich-unterstützter Cyberangriffe im kommenden Jahr zunehmen wird. Und deren Erfolgsaussichten werden immer besser. So lassen sich schon bald Personen ganz einfach durch KI imitieren – am Telefon oder mit höherem Aufwand sogar per Video. Spear Phishing war nie einfacher – und die darauf fußenden APTs leider auch nicht.