Was ist APT?

11 Jun 2013

Die Abkürzung APT steht für Advanced Persistent Threat („fortgeschrittene, andauernde Bedrohung“) – ein Begriff, der wirklich etwas bedeutete, bis die Medien und die Marketingabteilungen der Sicherheitsfirmen ihn so oft und mit solcher Gleichgültigkeit nutzten, das er mittlerweile komplett nichtssagend ist. Ich gebe zu, dass es etwas übertrieben ist, den Begriff APT als bedeutungslos zu bezeichnen, doch etwa zwei Jahre lang schien der Begriff für eine wirklich verwirrende Menge von Dingen genutzt zu werden.

APT

Das ging sogar so weit, dass das Aussprechen der drei Buchstaben als lächerlich galt, und viele Experten einfach nicht mehr über Advanced Persistent Threats sprachen, da sie um ihre Reputation fürchteten. Ironischerweise konnte der Begriff dadurch mit einer klareren Bedeutung zurückkommen – vor allem durch einen Artikel der New York Times, der eine monatelange Attacke enthüllte, bei der eine chinesische Militäreinheit mit dem Namen „APT 1“ mithilfe von Spear-Phishing-Mails und extra angepassten Schadprogrammen in das Netzwerk der Zeitung eindrang.

Man kann es auf zwei Arten sehen: APTs als Dinge und APTs als Menschen. Auf der einen Seite bezeichnet APT eine äußerst präzise Art von Cyberattacke. Auf der anderen Seite kann der Begriff auch die Gruppen bezeichnen, die – oft von Staaten oder anderweitig gut finanziert – für solche Angriffe verantwortlich sind.

Advanced Persistent Threats sind wirklich ein bisschen unfassbar. Wenn man an den Großteil der Cyberkriminellen und Virenschreiber denkt, weiß man, dass deren Ziel die massenhafte Infizierung von Computern, das Stehlen von Zugangsdaten, das Aufbauen von Botnetzen oder die Verbreitung von Schadprogrammen ist. Je größer das Netz, desto mehr Möglichkeiten gibt es, Geld oder Computer-Ressourcen zu stehlen, oder was immer gerade im Visier der Kriminellen steht. Die Täter hinter APTs sind dagegen daran interessiert, nur die Computer bestimmter Menschen zu infizieren.

Das oberste Ziel eine APT-Attacke ist es, einen Computer zu kompromittieren, auf dem wertvolle Informationen gespeichert sind. Es wäre zum Beispiel ein ganz klarer Erfolg, wenn ein Angreifer es schaffen würde, auf dem Rechner des Geschäftsführers oder IT-Leiters einer bekannten Firma einen Keylogger oder ein Backdoor zu installieren. Allerdings muss man schon recht früh austehen, um so jemanden auszutricksen. Die sind ja nicht dumm. Sie haben Sicherheits-Teams und Programme, die genau aufpassen. Mit anderen Worten: Es ist wahrscheinlich zu kompliziert, solche Firmenmitarbeiter zu hacken.

Deshalb konzentrieren sich APT-Gruppen oft auf niedrigere Angestellte anstatt den Geschäftsführer – etwa Texter oder Grafiker, die zwar selbst vielleicht keine allzu wertvollen Informationen auf ihren Computern gespeichert haben, sich aber im gleichen Netzwerk wie die Rechner mit wertvollen Daten aufhalten. Sie können daher eventuell als Sprungbretter genutzt werden, um vielleicht die wertvolleren Computer infizieren zu können. Oder kurz gesagt: Infiziere den Computer des Texters und nutze seine E-Mail-Adresse, um dem Geschäftsführer Spear-Phishing-Mails zu senden.

Doch sogar diese Taktik ist oft nicht recht erfolgsversprechend, da die Firmen immer mehr Geld für Business-Security-Lösungen ausgeben und ihre Mitarbeiter über Sicherheitsthemen aufklären. APT-Hacker wählen deshalb immer häufiger unbedeutende Ziele, um eine komplizierte Kette von Infizierungen auszulösen, die früher oder später zu den gewünschten Daten führt. Ein Beispiel: Sagen wir, Ihr Onkel ist ein hohes Tier bei Boeing oder Sie arbeiten als Ingenieur bei einer Spezialfirma, die eine Abgaskomponente für die Flugzeuge von Boeing herstellt. APT-Gruppen nehmen vielleicht gerade Sie ins Visier, um einen Startpunkt zu haben, von dem aus sie vielleicht auf Geheimnisse von Boeing zugreifen können.

Der Punkt ist: Man muss kein Geschäftsführer sein, um Opfer einer APT zu werden. Fast jeder mit einer Internetverbindung ist ein potenzielles Ziel für eine APT-Kampagne.

Erst letzte Woche entdeckten unsere Kollegen von Securelist eine APT-Spionagekampagne mit dem Namen „NetTraveler“, die fast zehn Jahre lang lief und auf Diplomaten, Militär-Unternehmen und Regierungsbehörden in 40 Ländern abzielt. Diese Attacke startete – wie viele APT-Angriffe – mit einer Spear-Phishing-Mail, die ein paar bekannte Microsoft-Sicherheitslücken ausnutzte. Schließlich setzten die Angreifer ein Programm ein, das Systeminformationen auslesen, Keylyogger installieren und Office-Dokumente wie Word-, Excel- und PowerPoint-Dateien stehlen konnte. Zudem war es damit möglich, Konfigurationen zu ändern, um Corel-Draw-Designs, AutoCAD-Dateien und andere Dateien zu stehlen, wie sie bei herstellenden Betrieben und im Verteidigungsbereich eingesetzt werden.

Dieser Angriff sollte ebenfalls als Advanced Persistent Threat gesehen werden, denn er scheint nur auf einzelne Personen und Organisationen abgezielt zu haben, deren Computer wertvolle Geheimnisse enthalten könnten. Wie schon gesagt, kann man mit APT auch Hacker oder Angreifergruppen bezeichnen. In diesem Fall, war die APT-Gruppe eine sehr produktive. Vielleicht nicht so produktiv wie die berüchtigte Comment Crew (auch als APT 1 bekannt), doch die Experten von Kaspersky Lab sagen, dass die Urheber von NetTraveler wahrscheinlich auch für die Titan-Rain– und GhostNet-Attacken verantwortlich sind.