Die Intention eines APT-Angriffs ist es tendenziell, entweder direkt gezielte Daten oder Informationen zu stehlen, oder zuerst Zuständigkeiten, Betriebsabläufe und interne Gewohnheiten zu erfassen, um diese Informationen später zum Schaden des Unternehmens bzw. zur eigenen finanziellen Bereicherung einzusetzen – z.B. falsche Überweisungen einzuleiten (sog. „CEO Fraud“). Sonstige Schäden an der IT werden in diesem Zusammenhang selten verursacht.
Ziel solcher APT-Angriffe waren in den vergangenen Jahren oftmals Organisationen in Bereichen, wo typischerweise sehr wertvolle Informationen vorliegen oder der Umgang mit hohen Geldsummen üblich ist. Dazu gehörten z.B. staatliche Institutionen wie Verteidigungs-Ministerien, große internationale Betriebe und die Finanzbranche.
In jüngerer Vergangenheit konnte allerdings zunehmend beobachtet werden, dass sich solche gezielten APT-Angriffe nicht mehr auf große, internationale oder staatliche Organisationen beschränken, sondern auch kleine und mittlere Unternehmen verschiedenster Branchen Opfer solcher Angriffe werden.
Wir konnten erschreckenderweise bereits einige solche Fälle im Umfeld unserer Kunden beobachten.
Methoden von Angriffen
Bei manchen einfachen Angriffen versucht der Eindringling nach der Verschaffung des Zugangs so schnell wie möglich in und – nach möglichst schneller Zielerreichung – wieder aus dem Netz zu kommen. Er möchte nicht vom eventuell vorhandenen Einbruchsschutzsystem z.B. einer Firewall (IDS – Intrusion Detection System) erkannt werden.
Bei vielen bekannten APT-Angriffen versucht der Cyberkriminelle allerdings, einen längerfristigen Zugriff auf das lokale Netzwerk zu erlangen. Um dies möglichst unentdeckt von Abwehrmechanismen durchzuführen, muss der Eindringling kontinuierlich die eingesetzte Spionagesoftware umschreiben und ausgeklügelte Ausweichtechniken einsetzen.
Einige bekannte Advanced Persistent Threats sind so komplex gestaltet, dass Sie einen Vollzeit-Administrator zum Management des Angriffs benötigen.
Durchführung von Angriffen
Initialen Zugang verschafft sich ein Angreifer z.B. mittels Sicherheitsschwachstellen über öffentlich erreichbare Systeme oder mittels E-Mail mit speziell kreiertem Schad-Anhang, die einem E-Mail aus dem bekannteren Ransomware-Bereich ähnlich sein kann und von einem Mitarbeiter geöffnet wird.
Oft benutzt wird auch sogenanntes Spear-Phishing, bei dem versucht wird, an persönliche Zugangsdaten mittels gefälschter Webseiten, E-Mails, Kurznachrichten, Social-Media-Plattformen, etc. zu gelangen, um sich in weiterer Folge „legalen“ bzw. unmanipulierten Zugang zu verschaffen.
Sobald der Cyberkriminelle Zugriff zum Zielnetzwerk hat, kreiert er aus vorhandenen Mitteln oder zusätzlicher Software eine Hintertür (sog. „Backdoor“).
Im nächsten Schritt versucht der Angreifer gültige Benutzer-Rechte zu erlangen. Besonders begehrt sind natürlich Administrator-Rechte. Danach bewegt sich der Cyberkriminelle durch das gesamte Netzwerk und versucht tendenziell, so viele Hintertüren wie möglich zu etablieren. Mithilfe dieser Hintertüren kann der Angreifer betrügerische Software bzw. Mechanismen installieren und somit eine eigene unsichtbare Infrastruktur kreieren. Darüber verfolgt er seine Ziele und bleibt dennoch meist lange Zeit unerkannt.
Identifikation eines Angriffs
Je nach verfolgtem Ziel der Cyberkriminellen wird dieser oben beschriebene Prozess oft gar nicht erkannt sondern äußert sich erst – teils viel später – durch Bekanntwerden vertraulicher Daten bei Dritten, welche diese aber gar nicht kennen dürften.
Wurde vom Angreifer beispielsweise das Ziel einer umgeleiteten Finanztransaktion (Überweisung) verfolgt, wird man hier tendenziell deutlich früher konfrontiert, was allerdings die Rückholbarkeit des falsch überwiesenen Betrags leider dennoch häufig nicht gewährleistet.
Auch wenn APT-Angriffe normalerweise schwierig zu identifizieren sind, hinterlässt ein Einbruch bzw. Datendiebstahl dennoch immer Spuren. Es gibt auch in Österreich dahingehend spezialisierte Unternehmen, die mittels forensischer Untersuchung den Einbruch nachvollziehen, den Schaden eventuell eindämmen und die Täter gegebenenfalls identifizieren können.
Was kann man tun?
Advanced Persistent Threats sind vielschichtige und komplexe Angriffe, die sich nahezu unmöglich grundsätzlich ausschließen lassen.
Allerdings kann man mit konsequent eingesetzten Mitteln und Mechanismen eine relativ klare Übersicht über mögliche Angriffsflächen und Datenvertraulichkeit schaffen, daraus Maßnahmen ab- und einleiten und sich eines klareren Restrisikos bewusst sein.