Schon mal darüber nachgedacht, ob ein Krimineller Dein Unternehmen oder Staat digital ausspioniert?
Ein Advanced Persistent Threat beschreibt ein solches Szenario?
Dieses Tutorial stellt vor, die wie Kriminelle unentdeckt bleiben.
Starten wir
Was ist ein Advanced Persistent Threat?
Ein Advanced Persistent Threat (APT) gehört zu dem fortgeschrittenen Hacking – die Kriminelle haben die Gewalt über einen Server, wollen aber unentdeckt bleiben. Die Kriminelle in der Regel kein Hobby-Hacker, sondern Top-IT-Sicherheitsexperten (ohne Gewissen), die von Staaten oder Unternehmen für das Verbrechen bezahlt werden.
Die Kriminelle haben seit Wochen einen Zugriff auf Deine Daten und die Hardware, während der Admin davon nichts merkt. Die Angreifer setzen sich zum Ziel, den Opfer-Server so lange wie möglich zu beobachten und die relevante (sensible) Daten herauszufiltern.
Knappe Einordnung
Ein APT kategorisieren die IT-Spezialisten zu den Computerangriffen hinzu. Eine unautorisierte Personen-Gruppe erhält den Zugriff auf Deine Hardware und Deine Software, welche der Öffentlichkeit (eigentlich!) verschlossen sein sollte.
Warum eine APT machen?
Die APT setzen einige Unternehmen und Regierungen ein, um eine bestimmte Person, Konkurrenz-Unternehmen oder eine andere verdächtige Organisation über einen längeren Zeitraum auszuspionieren. Sie wollen die Aktivitäten einer gegnerischen Organisation analysieren. Daraus erhoffen sie sich einen Vorteil zu ziehen und ein besseres Vorgehen planen zu können.
Die amerikanische Regierung beauftragte den Stunex Worm, welcher das iranische Atomwaffenprogramm ausspionieren sollte. Der Wurm verbreitet sich ungewollt auf andere Kraftwerk-Systeme.
ATP? Hae? Die Begriffserklärung
Advanced – Zum Hacken nutzen die Angreifer viele verschiedene Angriffswege (Vektoren). Sie wollen in das System des Opfers unbemerkt eindringen. Fortgeschrittene, individuell-programmierte Malware kommt hier zum Einsatz. Eine jahrelange Entwicklungsarbeit stecken in den hoch-professionellen Worms.
Persistent – Die Hacker wollen das Opfer ausspionieren und dabei so viele Informationen über ein bestimmtes Thema z.B. Patente, Rezepturen und Geschäftsbeziehungen sammeln wie möglich. Persistent bedeutet, dass die Auftraggeber über eine (längeren) Zeitraum die gegnerische Seite beobachten möchte.
Threat – Einer ATP Attacke basiert oft auf einer menschlichen Interaktion, weil die Angriffe nicht so leicht automatisierbar sind. Die Hacker arbeiten sehr zielorientiert. Eine erfolgreiche ATP setzt viel Expertenwissen und Zeit zum Testen voraus.
8 Schritte zur Vernichtung
Jede APT ist anders. Trotzdem verfolgen fast alle Attacken einer logischen Reihenfolge. Hier eine kleine Übersicht:
- Auswahl eines Spionageziels: Welche Informationen und Daten wollen wir dem Opfer-Server entlocken? Was ist das Ziel? (Planung des Auftraggebers).
- Entwicklung von Malware: Die Hacker müssen im zweiten Schritt eine Malware programmieren, die ein unbemerktes Eindringen ermöglicht.
- Erstes Eindringen: Die Angreifer versuchen über eine Vulnerabilität in das System zu gelangen. Die möglichen Wege sind das Spear-Phishing oder ein gekaufter Zero-Day-Exploit.
- Geheimer Login: Die Hacker installieren eine Software auf dem Server, mit dem sie immer wieder unbemerkt auf das System einloggen können. Bei der Entwicklung der Malware ist wichtig, dass die Administratoren nichts von der Installation oder den Folgeaktivitäten mitbekommen. Die Angreifer bauen die Systemumgebung nach und testen die Funktion Ihrer Malware im Voraus im Detail.
- Spionage-Software: Haben die Angreifer einen geheimen Zugang, mit dem sie unbemerkt auf den Server kommen können, installieren sie eine Spionage-Software. In regelmäßigen Abständen liest die Software z.B. sensitive Finanzinformation aus und leitet diese weiter.
- „Daten-Ernte“: Ist die Hack-Umgebung geschaffen, „erntet“ (data harvesting) die Spionage-Software über einen bestimmten Zeitraum die relevanten Informationen. Die Software kann E-Mail mitlesen, Anhänge entschlüsseln, sich auf Datenbanken einloggen oder aus einem Mitarbeiter Laptop eine Wanze bauen.
- Spuren verwischen: Sobald die gewünschten Datensätze komplett sind, löschen die Angreifer alle Software und resetten die Konfiguration, sodass die Systemadministratoren im Nachhinein keine Spur verfolgen können. Kriminelle manipulieren alle Spuren und verdächtige Logs, die beim Ausspionieren entstanden sind.
- Abschluss: Der Auftraggeber wertet die Daten aus und gehen gegen das Unternehmen vor.
5 Tipps – IT-Sicherheitssicherung
Gute IT-Sicherheitsexperten können den Kriminellen das Leben so schwer wie möglich machen:
- Alle Updates / Patches für die Software und das Betriebssystem regelmäßig installieren
- Alle unnötigen offenen Ports schließen
- Exploits in der eigenen Software schließen
- White-Hat-Hacker anstellen und spielen lassen
- Einen Antivirus nutzen und über die Bestandsdaten fahren lasen.
5 Tipps – APT zu erkennen
Einen APT sicher zu erkennen, ist eine Kunst für sich. Die Administratoren können nach folgenden Anzeichen Ausschau halten:
- ein permanent erhöhter ausgehender Traffic
- Ungewöhnliches Login-Verhalten für alte oder unbekannten Accounts
- Unbekannte SSH Verbindungen / Zugriffe
- Ungewöhnliche Traffic-Spitzen, Grundlast zu verschiedenen Uhrzeiten oder Rhythmen
- Bleibe up to date mit den neusten News über IT-Sicherheit, APTs und Gruppen, welche solche APT in der Vergangenheit durchgeführt haben.
Credits
Icons made by Gregor Cresnar from www.flaticon.com is licensed by CC 3.0 BY – Icons made by dDara from www.flaticon.com is licensed by CC 3.0 BY – Icons made by Icomoon from www.flaticon.com is licensed by CC 3.0 BY -Icons made by Those Icons from www.flaticon.com is licensed by CC 3.0 BY ,Icons made by pongsakornRed from www.flaticon.com is licensed by CC 3.0 BY, Icons made by Freepik from www.flaticon.com is licensed by CC 3.0 BY