Was ist ein APT und muss ich davor Angst haben?

Was genau ist ein APT?

Ausgangspunkt eines echten APT sind in der Regel staatliche oder halbstaatliche, oder auch geheimdienstliche Einheiten. Die Ziele sind in der Regel daher auch im Umfeld der Wirtschaftsspionage zu suchen. Aber auch in der Kompromittierung des politischen Gegners, bis hin zur Unterstützung staatlicher kriegerischer Handlungen.

Im Umfeld krimineller Aktivitäten im Internet werden mittlerweile auch Mechanismen der APTs übernommen. Nur die Auswahl des Ziels wird nicht definiert, sondern ergibt sich in der Regel durch einen breit gestreuten initialen Angriff.

Im Jahr 2013 wurde der sogenannte „Mandiant Report APT1“ veröffentlicht. Dieser setzt sich sehr gezielt mit den Arbeiten einer Einheit der chinesischen Volksbefreiungsarmee auseinander. Der Bericht definiert erstmals im größeren Umfeld den Begriff des APT und analysiert die Arbeiten einer Gruppe, die als APT1 bezeichnet wird. Diese wird unter allen möglichen Gesichtspunkten beleuchtet. Von der Einordnung in die Hierarchie der Chinesischen Armee, über die räumliche Lokalisation bis hin zu Rekrutierungsstrategien. Und vor allem der Versuch, die einzelnen Angriffe auf einem Zeitstrahl einzuordnen.

Durch das eingesetzte Waffenarsenal, also die verwendeten Angriffstools und auch in den Unternehmen hinterlassene Hintertüren, lassen sich bestimmte Aktionen sehr gut einer Gruppe zuordnen.

Läuft ein APT immer gleich ab?

Ein APT, mit dem Fokus auf Langlebigkeit und hinterlegt mit Missionszielen, folgt üblicherweise einem bestimmtem Muster. Nach der Definition des Angriffszieles und der Mission im Detail erfolgt im Rahmen einer initialen Infektion eine initiale Kompromittierung der Organisation.

Hierzu werden vielfach Spear Phishing Angriffe verwendet, um ein Opfer der Ziel-Organisation entsprechend zu überlisten. Für Spear Phishing Angriffe tarnt sich der Angreifer als vertrauenswürdiger Absender einer E-Mail, wenn möglich, sogar als interner Absender der Organisation. Damit es einfach wird, auch gerne als ranghöheres Mitglied der Hierarchie.

Um diese Informationen auszukundschaften und den Angriff entsprechend vorzubereiten, ist eine initiale Recherche über das Unternehmen und seine Führungsstrukturen notwendig. Dies führt in der Regel auch rasch zum Erfolg, denn es gibt ausreichend Informationen über Geschäftsführer in öffentlichen Datenbanken. Auch über Abteilungsleiter und weitere Mitarbeiter finden sich in sozialen Netzwerken ausreichend Informationen, um einen Spear Phishing Angriff zu starten.

Alternativ gibt es immer noch Abteilungen, die es gewohnt sind, von unbekannten Personen Dokumente zugeschickt zu bekommen und diese Anhänge zu öffnen: die Bewerbungen an die Personal-Abteilung. In seltenen Fällen werden aber auch Websites Dritter mit Malware hinterlegt. Dafür muss sichergestellt sein, dass die ausgewählte Organisation diese Webserver häufig benutzt.

Kann ein APT erkannt werden?

Dieser initiale Teil des Angriffs ist entsprechend dafür gedacht, einen Fuß in die Infrastruktur der Organisation zu bekommen. Danach kann als interner Angreifer weiter vorgedrungen werden. Im Rahmen der intialen Infektion werden üblicherweise Hintertüren, sogenannte „Backdoors“, auf den Systemen installiert, die eine Steuerung der Systeme aus der Ferne zulassen.

Je nach Ziel-System arbeiten diese Werkzeuge teilweise grafisch, teilweise nur mit einer Kommandozeile. Gemeinsam haben sie nur, dass sie in der Regel versuchen, ihre Anwesenheit vor dem Anwender und auch dem Administrator zu verschleiern. Diese Software-Agenten verbinden sich in der Regel auf Command-and-Control-Server der Angreifer. Hier setzen viele Erkennungsmethoden an, denn die Außenkommunikation eines Unternehmens ist im Normalfall gut kontrolliert und dokumentiert, beispielsweise in den Proxy-oder Firewall-Logs. Das wissen natürlich auch die Angreifer und versuchen, diese Kommunikation entsprechend im regulären Traffic zu verschleiern.

Ein von der als APT29 bezeichneten Gruppe verwendetes Tool namens Hammertoss sucht nach einem definierten Algorithmus täglich andere Twitter-Accounts ab. Von diesen sind viele sogar noch unregistriert. Muss der Angreifer zu seinem Tool Kontakt aufnehmen, um es zu einer bestimmten Aktion zu bewegen, muss er dort nun zum richtigen Zeitpunkt einen Twitter-Account mit entsprechendem Namen registrieren und die Steuerinformation ablegen. Beispielsweise als Datenpaket, dass am Ende einer Bilddatei einfach unsichtbar angefügt wurde. Diese Verschleierung ist sehr effektiv. Twitter fällt das normalerweise nicht auf, da heute beispielsweise in vielen Nachrichtenseiten Tweets einfach eingebettet werden.

Wie funktioniert der APT Zyklus?

Wenn ein System durch Kommunikation oder interne Aktionen doch einmal auffällt und ausgeschaltet wird, beispielsweise weil die interne IT das System, das sich seltsam verhält, einfach neu installiert, ist es wichtig, weitere Standbeine im internen Netzwerk der Organisation zu haben. Ansonsten würde der Angriffszyklus wieder bei der Recherche und der Spear Phishing Attacke beginnen.

Das bedeutet, nach der Übernahme eines Rechner-Systems in der Ziel-Organisation ist der nächste Schritt, sich auf Systemen in der Nachbarschaft zu vervielfachen. Dort werden auf dem gleichen Sicherheitsniveau weitere Hintertüren platziert. Diese können dann beispielsweise im nicht voll aktivierten Zustand warten und, wie oben beschrieben, aktiviert werden.

Wenn die Operations-Basis gesichert ist, geht es darum, sich den Missionszielen weiter zu nähern. Hier beginnt jetzt eine Art Life-Cycle, der APT Zyklus. Ziel ist die Erschleichung neuer, höherer Privilegien und Zugriffsberechtigungen im Netzwerk und auf den Systemen. Dazu wird zuerst die aktuelle Umgebung ausgekundschaftet. Bei dieser Informationsbeschaffung geht es darum, die Abbildung der internen Netzwerk- und Organisations-Strukturen zu ermitteln und zu verstehen.

Hier kommt das komplette Arsenal an Werkzeugen des Angreifers zum Einsatz, in der Regel von dem zur internen Operationsbasis umfunktionierten Arbeitsplatz-Rechner aus. Das neue Zwischenziel kann jetzt der Zugriff auf Rechner in anderen Netzwerk-Segmenten, Zugriff auf Server-Systeme oder auch die Verlagerung der Operations-Basis aus einer Außenstelle in die Zentrale sein. Der Angreifer versucht sich seinem Ziel zu nähern.

Wenn er in diesem Rahmen in der Lage ist, Administrationsrechte zu erschleichen, beispielsweise durch Protokollieren von Tastatureingaben oder Netzwerk-Verkehr, ist er seinem Missionsziel sehr viel näher gekommen. Manchmal sind hierzu mehrere Iterationen notwendig:

Was ist das Ziel eines APT?

Das Ziel einer solchen Operation kann beispielsweise sein, Dokumente zu stehlen. Also eine Kopie anzufertigen und diese auf eigene Server zu transportieren. Je nach Datenmenge und Kontrollmechanismen, kann es an den Border-Systemen einer Organisation auffallen, dass hier ein großer Datenabfluss stattfindet.

Im Falle des Datenleaks bei den sogenannten Panama-Papers handelte es sich um 2,6 Terabyte Daten, die einem Konsortium von investigativen Journalisten zugespielt wurden. Ob diese 2,6 TB an Dokumenten über Netzwerk oder Datenträger gestohlen wurden, ist nicht bekannt. Der Abtransport  über Netzwerk-Verbindungen hätte in einer entsprechend kontrollierten Umgebung aber nicht unentdeckt bleiben dürfen.

Wenn die Missionsziele erreicht wurden, können sich die Angreifer still und leise zurückziehen und sogar Hintertüren weitestgehend wieder zurückbauen. Oder sie können  sich  mit einem großen Knall und Ablenkungsmanöver verabschieden. Dann Verschlüsseln und Löschen sie etwa große Datenbestände, um die IT-Abteilung und das Unternehmen mit anderen Aufgaben zu beschäftigen.

Im kriminellen Umfeld erfolgt die Auswahl des Opfers nicht durch eine gezielte Spear Phishing Attacke, sondern durch eine breit angelegte Kampagne, um Malware zu verteilen. Wenn ein Empfänger sich dann durch Ausführen der Malware als Opfer angeboten hat, werden mittlerweile vergleichbare Techniken auch von einfachen Kriminellen angewandt, um Admin-Berechtigungen zu bekommen und um nicht nur einfache Fileshares, sondern komplette virtuelle Maschinen im Hypervisor zu verschlüsseln. Der Key kann bei  diesen Enterprise-Varianten der Verschlüsselungstrojaner für mehrere hunderte oder tausende Bitcoins erworben werden.

Fazit

Zusammenfassend lässt sich sagen, dass es praktisch nicht mehr möglich ist, sein Netzwerk frei von Eindringlingen zu halten. Mit einer entsprechenden Kontrolle der eigenen IT-Infrastruktur auf unübliche Aktivitäten ist es aber möglich, zu verhindern, dass sich Angreifer lange unentdeckt im Netz bewegen können. Diese Kontrolle ist aber keine Überwachung der Mitarbeiter, sondern die einzige Chance, festzustellen, dass ein Arbeitsplatz-PC Dinge macht, die nicht zu den üblichen Tätigkeiten einer Personalabteilung gehören: Wie beispielsweise Portscans oder Login-Versuche auf Switches und Datenbanken. Hier kann ein SIEM System helfen, alle Logfiles zu normalisieren und zu korrelieren und entsprechende Warnungen oder Alarme generieren.