Advanced Persistent Thread (APT) – HACK-Spionage erklärt

Schon mal darüber nachgedacht, ob ein Hacker unbemerkt Dich auf Deinem Server ausspioniert? Komische Vorstellung, aber eine Advanced Persistent Thread beschreibt genau diese Situation.

Dieses Tutorial stellt vor, die wie Hacker den unentdeckten Trick schaffen.

Aufgabe: APT verstehen + (hoffentlich) erkennen!

Um was geht’s? – APT

APT gehört zu dem fortgeschrittenen Hacking – Die Hacker haben die Gewalt über Dein Server, wollen aber unentdeckt bleiben.

Die Hacker haben seit Woche einen Zugriff auf Deine Daten und die Hardware, während der Admin davon nichts merkt. Die Angreifer setzen sich zum Ziel den Opfer-Server so lange wie möglich zu beobachten und die relevante (sensible) Daten herauszufiltern.

Knappe Einordnung

Die APT-Attacke ordnen die IT-Spezialisten zu den Computer Angriffen hinzu. Ein unautorisierte Personen-Gruppe erhält den Zugriff auf Deine Hardware und Deine Software, welche der Öffentlichkeit (eigentlich!) verschlossen sein sollte.

DAS. Sagen die Medien.

Die APT-Attacken setzen einige Regierungen ein, um eine bestimmte Personen, unbeliebte Firmen oder eine andere verdächtige Organisationen über einen längeren Zeitraum auszuspionieren. Sie wollen die Aktivitäten einer gegnerischen Organisation analysieren. Daraus erhoffen sie sich einen Vorteil zu ziehen und eine besseres Vorgehen planen zu können.

Die amerikanische Regierung  beauftragte den Stunex Worm, welcher das Iranische Atomwaffenprogramm ausspionieren sollte.  Der Wurm verbreitet sich aber ungewollt auf andere Kraftwerk-Systeme.

Grundlagen: Was bedeutet APT genau?

APT einfach erklärt

Advanced – Zum Hacken nutzen die Angreifer viele verschieden Angriffswege und –möglichkeiten. Sie wollen sich in das System unbemerkt  einloggen: Dazu kommt eine fortgeschrittene Malware zum Einsatz. Eine jahrelange Entwicklungsarbeit stecken in den hoch-professionellen Worms.

Persistent – Die Hacker wollen das Opfer ausspionieren und dabei so viele Daten über ein bestimmtes Thema z.B. Finanzen sammeln wie möglich. Persistent bedeutet, dass die Auftraggeber über eine (längeren) Zeitraum die gegnerische Seite beobachten möchte.

Thread – Einer ATP Attacke basiert  oft auf einer menschliche Interaktion, weil die Angriffe nicht so leicht automatisierbar sind. Die Hacker arbeiten sehr zielorientiert. Diese erhalten die Aufgaben von den Regierungen oder anderen liquiden Firmen. Die Profis sind deswegen gut bezahlt. Einen erfolgreichen ATP-Attacke setzt viel Expertenwissen und Zeit zum Testen voraus.

Hack IT: Unbemerkt auf einen Server kommen

Blick in das Vorgehen

Jede APT ist anders. Trotzdem verfolgen fast alle Attacken einer logischen Reihenfolge. Hier eine kleine Übersicht:

  1. Auswahl eines Spionageziels: Welche Informationen und Daten wollen wir dem Opfer-Server entlocken? Was ist das Ziel? (Planung des Auftraggebers)
  2. Entwicklung von Malware: Die Hacker müssen im zweiten Schritt Malware programmieren, die eine unbemerktes Eindringen ermöglicht.
  3. Erstes Eindringen: Die Angreifer versuchen über eine Vulnerabilität in das System zu gelangen. Die möglichen Wege sind das Spear-Phishing oder der Zero-Day-Virus.
  4. Geheimer Login: Die Hacker installieren eine Software auf dem Server, mit dem sie immer wieder unbemerkt auf das System einloggen können. Bei der Entwicklung der Malware ist wichtig, dass das Administratoren nichts von der Installation oder sonstigen Aktivitäten mitbekommen können. Deshalb bauen die Angreifer die Systemumgebung nach und testen die Funktion Ihrer Malware im Detail.
  5. Spionage-Software: Haben die Angreifer einen geheimen Zugang mit dem sie unbemerkt auf den Server kommen können, installieren sie eine Spionage-Software. In regelmäßigen Abständen ließt die Software z.B. sensitive Finanzinformation aus und leitet diese weiter.
  6. „Daten-Ernte“: Ist die Hack-Umgebung geschaffen, „erntet“ (data harvesting) die Spionage-Software über einen bestimmten Zeitraum die relevanten Information vom Server. Dazu kann sich die Software auf Clients ausbreiten, um noch andere Datenquellen anzuzapfen.
  7. Spuren verwischen: Zu einem ATP-Hack gehört immer dazu, dass das Opfer im Nachhinein nichts davon mitbekommt. Dazu manipulieren die Kriminelle alle Spuren und verdächtige Logs, die beim Auspionieren enstanden sind.
  8. Abschluss: Sobald die gewünschten Datensätze komplett sind, löschen die Angreifer alle Software und reseten die Konfiguration, sodass die Systemadministratoren im Nachhinein keine Spur verfolgen können.

Sicherung: Schwer. Aber nicht unmöglich!

Sicherungsmaßnahme

ATP – Wie im Namen geschrieben, können IT-Spezialisten eine ATP weder abwehren oder entdecken. Grundsätzlich können die Administratoren den Hackern das Leben so schwer wie möglich zu machen:

  • alle Updates / Patches für die Software und das Betriebssystem regelmäßig installieren
  • alle offene Ports schließen
  • API Lücken suchen / ungenutzte APIs sperren
  • möglichst alle Vulnerabilitäten finden und schließen (Vulnerability-Scanner für Firmen)
  • alle Server mit Viren-Scanner auf Malware und weiterer Schadsoftware überprüfen

Einen ATP sicher zu erkennen grenzt an die Unmöglichkeit, aber die Administratoren können nach folgenden Anzeichen Ausschau halten:

  • ein permanent erhöhter ausgehender Traffic
  • Ungewöhnliches Login-Verhalten
  • weitere unbekannte SSH Verbindungen / Zugriffe – Veränderung der Anzahl
  • Ungewöhnliche Traffic-Spitzen, Grundlast, Rhythmen

Außerdem sollten die Cyber Security immer auf  die Nachrichten der US-CERT einen Blick werfen. Vielleicht konnten andere Firmen per Zufall ATPs erkennen und teilen jetzt die Sicherheitslücke (mit der Lösung).

11 Kostenlose Exklusive App Dev Tipps

Deine Mail für Zugang zu praxisnahe App Entwicklung Tipps zu erhalten

Credits

Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY  – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY –Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY

Sichere Dir den kompletten
Fundamental Ionic Course

Die kostenlosen Tutorials sind ein Ausschnitt
aus dem Fudamental Ionic Course by Steffen Lippke.

Schon 4832 erfolgreiche Absolventen

  • Code Downloads + umfangreiche Lösungen + Dateien für Grundlagen zum Coden
  • Visuelle Beschreibungen mit HD+ Screenshots und Hilfen
  • Steffen's Clean Code - Erweiterung - Verbesserungs - Tipps
 

100 h Kurslänge | 100 % Geld-Zurück-Garantie | Live-Support

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.