Was ist ein Advanced Persistent Threat (APT) und wie unterscheidet es sich von herkömmlichen Cyberangriffen?
Die Eigenschaften und Merkmale von APTs
Als Advanced Persistent Threats (dt. fortgeschrittene, andauernde Bedrohungen) bezeichnet man Angriffe, die in mehreren Stufen durchgeführt werden. Des Weiteren sind an dieser Art von Angriff in aller Regel professionelle „Hacker“ beteiligt.
Der Begriff APT wird fälschlicherweise gerne für alle Arten von Angriffen verwendet die komplexer aufgebaut sind, als beispielsweise eine Ransomware Kampagne.
APTs werden häufig im Zusammenhang mit Nation State Actors (Regierungen) genannt. Im Grund kann ein APT Angriff aber von jedem durchgeführt werden, der das Wissen und die Geduld mitbringt, in mehreren Stufen und mit verschiedenen Werkzeugen in ein Netzwerk einzudringen und Daten und Informationen zu stehlen.
Die 8 Stufen eines APT - Advanced Persisten Threat Angriffs
1. Informationsbeschaffung, Reconnaissance
Die Angreifer sammeln alle Informationen die sie im Netz und durch Social Engineering über das Ziel bekommen können.
2. Das Eindringen / The initial compromise
Jetzt werden die im vorigen Schritt gefundenen Lücken und Schwachstellen ausgenutzt, um in das System einzudringen.
3. Brückenkopf einrichten / Establish beachhead
In diesem Schritt errichten die Angreifer einen dauerhaften Zugangspunkt in das System, beispielsweise durch Backdoors, um später einen bequemen Zugang zum System zu haben.
4. Rechteausweitung / Privilege Escalation
Die Rechteausweitung auf dem System hat zum Ziel, den Angreifern administrativen Zugriff auf das System zu gewähren.
5. Interne Informationsbeschaffung / Internal Reconnaissance
Mit administrativen Rechten ausgestattet, werden nun Informationen über die Netzwerkstruktur gesammelt und ausgewertet.
- Wo befinden sich die Datenbanken?
- Wo werden die Entwicklungsergebnisse gelagert?
- Wie kann ich mich weiter ausbreiten?
6. Ausbreitung / Network Colonization
In diesem Schritt versuchen die Angreifer weitere Geräte im Netzwerk zu kompromittieren und unter Ihre Kontrolle zu bringen.
7. Einnisten / Persist
Die Angreifer haben das Netzwerk bereits ganz oder teilweise unter Ihrer Kontrolle. Jetzt werden Maßnahmen getroffen, um die Werkzeuge unentdeckt zu halten und Spuren zu verwischen.
8. Exfiltration / Complete the Mission
Der finale Schritt eines APT ist das Exfiltrieren der erbeuteten Daten und Informationen, oder allgemeiner ausgedrückt:
„Das Vollenden der Mission“
Zusätzlich werden in der Regel die Spuren verwischt, oder die Systeme zerstört.