Bedrohung durch APT: Seit dem Angriff Russlands auf die Ukraine ist eine weitere Art der IT-Bedrohung in den Fokus gerückt. Es geht um Hacker-Gruppen, die staatlich gelenkt und unterstützt werden. Diese Cyberkriminellen greifen mit hohem Ressourcen-Einsatz und viel Know-how Unternehmen, Organisationen und Behörden an. Die Art ihrer Angriffe wird als Advanced Persistent Threat (APT), auf Deutsch „fortgeschrittene andauernde Bedrohung“, bezeichnet.
APT ist kein neues Phänomen. Diese Angriffstechnik wird bereits seit einigen Jahren von Antivirenspezialisten und von staatlicher Seite aus beobachtet. Das Bundesamt für Sicherheit in der Informationstechnik beschreibt Advanced Persistent Threat so:
„APT liegt dann vor, wenn ein gut ausgebildeter, typischerweise staatlich gesteuerter Angreifer zum Zweck der Spionage oder Sabotage über einen längeren Zeitraum hinweg sehr gezielt ein Netz oder System angreift, sich unter Umständen darin bewegt und so Informationen sammelt oder Manipulationen vornimmt.“
Das Antivirenunternehmen Eset gibt seit 2022 einen APT-Report heraus. Darin beschreibt es die erstaunlich vielen Hacker-Gruppen weltweit und nennt ihre Ziele. Christian Lueg, IT-Sicherheitsspezialist bei Eset, erklärt, wie die Angreifer in fremde Systeme eindringen:
„Um sich diesen Zugang zu verschaffen, verwenden APT-Gruppen meist sehr fortschrittliche Angriffsmethoden, die bis dahin noch unbekannt waren. Das kann etwa die Ausnutzung einer Zero-Day-Schwachstelle oder Spear-Phishing sein.“
Bekannte Angriffsziele: Der APT-Report von Eset fasst die Bedrohungslage nach Ländern gruppiert so zusammen: Mit Russland verbundene Hacker wie Sandworm, Gamaredon, Turla oder Invisi Mole haben die Ukraine als Primärziel. Iranische Gruppen fokussieren ihre Aktivitäten auf Israel.
Ein deutsches Lebensmittelunternehmen war Ziel einer mit China verbundenen APT-Gruppe. Luftfahrt- und Rüstungsunternehmen werden von Akteuren angegriffen, die Verbindung nach Nordkorea haben. Zum Beispiel hatte es die Gruppe Lazarus auf einen Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden abgesehen. Die Gruppe nutzte eine Zero-Day-Schwachstelle in einem legitimen Dell-Treiber erstmalig aus, um in das Unternehmen einzudringen.
Schutz vor APT: Gegen APT-Angriffe müssen sich in erster Linie Firmen und Behörden schützen. Laut Antivirenfirmen gelingt das etwa über eine „Endpoint Detection und Response“-Lösung (EDR), auf Deutsch „Endpunkt Erkennung und Reaktion“. Als Endpunkte versteht man im Netzwerk mehr oder weniger alle Geräte mit eigener Netzwerkadresse – von PCs über Server bis zu Mobilgeräten oder Druckern. Auffälliges Verhalten lässt sich per EDR-Lösung erkennen.
Dazu zählen Virenwarnungen der lokal installierten Schutzlösungen ebenso wie verdächtiges Netzwerkverhalten, etwa die Kontaktaufnahmen zu Command & Control-Servern im Internet oder Einwahlversuche auf verschiedenen anderen Netzwerkgeräten eines Clients. Moderne Schutzsysteme bieten allerdings noch einiges mehr als klassische EDR-Systeme. Eset hat etwa das Sicherheitskonzept „Zero Trust Security“ vorgestellt (Infos hier).
Security