Inhaltsverzeichnis:
- Was ist ein APT?
- Wie unterscheiden sich APTs?
- Einige Beispiele für APTs
- Wohin APTs?
- Sicherheitsbedrohungen des 21. Jahrhunderts
Ein Angriff auf ein Computernetzwerk ist keine Schlagzeile mehr, aber es gibt eine andere Art von Angriff, der die Cybersicherheitsbedenken auf die nächste Stufe hebt. Diese Angriffe werden als Advanced Persistent Threats (APT) bezeichnet. Finden Sie heraus, wie sie sich von alltäglichen Bedrohungen unterscheiden und warum sie so viel Schaden anrichten können. (Hintergrundinformationen finden Sie unter Die 5 gruseligsten Bedrohungen in der Technik.)
Was ist ein APT?
Der Begriff Advanced Persistent Threat (APT) kann sich auf einen Angreifer beziehen, der über erhebliche Mittel, Organisation und Motivation verfügt, um einen dauerhaften Cyberangriff auf ein Ziel durchzuführen.
Ein APT ist nicht überraschend fortgeschritten, hartnäckig und bedrohlich. Es ist fortschrittlich, da es Stealth- und Mehrfachangriffsmethoden einsetzt, um ein Ziel zu gefährden, häufig eine hochwertige Unternehmens- oder Regierungsressource. Diese Art von Angriff ist auch schwierig zu erkennen, zu entfernen und einem bestimmten Angreifer zuzuordnen. Schlimmer noch, sobald ein Ziel verletzt wird, werden häufig Hintertüren erstellt, um dem Angreifer fortlaufenden Zugriff auf das gefährdete System zu ermöglichen.
APTs gelten in dem Sinne als beständig, dass der Angreifer Monate damit verbringen kann, Informationen über das Ziel zu sammeln und diese Informationen zu verwenden, um über einen längeren Zeitraum mehrere Angriffe auszulösen. Es ist bedrohlich, weil die Täter häufig nach hochsensiblen Informationen wie der Auslegung von Kernkraftwerken oder Codes suchen, um in US-amerikanische Rüstungsunternehmen einzudringen.
Ein APT-Angriff hat im Allgemeinen drei Hauptziele:
- Diebstahl sensibler Informationen vom Ziel
- Überwachung des Ziels
- Sabotage des Ziels
Täter von APTs verwenden häufig vertrauenswürdige Verbindungen, um Zugang zu Netzwerken und Systemen zu erhalten. Diese Verbindungen können beispielsweise durch einen sympathischen Insider oder einen unwissenden Mitarbeiter hergestellt werden, der einem Spear-Phishing-Angriff zum Opfer fällt.
Wie unterscheiden sich APTs?
APTs unterscheiden sich in vielerlei Hinsicht von anderen Cyberangriffen. Erstens verwenden APTs häufig angepasste Tools und Angriffstechniken - wie Schwachstellen-Exploits, Viren, Würmer und Rootkits -, die speziell dafür entwickelt wurden, in die Zielorganisation einzudringen. Darüber hinaus starten APTs häufig mehrere Angriffe gleichzeitig, um ihre Ziele zu verletzen und den fortlaufenden Zugriff auf die Zielsysteme zu gewährleisten. Manchmal wird auch ein Täuschungsmanöver eingesetzt, um das Ziel zu täuschen, dass der Angriff erfolgreich abgewehrt wurde.
Zweitens treten APT-Angriffe über einen langen Zeitraum auf, in dem sich die Angreifer langsam und leise bewegen, um eine Erkennung zu vermeiden. Im Gegensatz zur schnellen Taktik vieler Angriffe typischer Cyberkrimineller besteht das Ziel der APT darin, unentdeckt zu bleiben, indem sie sich mit kontinuierlicher Überwachung und Interaktion "langsam und langsam" bewegt, bis die Angreifer ihre definierten Ziele erreicht haben.
Drittens sollen APTs die Anforderungen von Spionage und / oder Sabotage erfüllen, an denen in der Regel verdeckte staatliche Akteure beteiligt sind. Das Ziel eines APT umfasst das Sammeln militärischer, politischer oder wirtschaftlicher Informationen, vertrauliche Daten oder die Bedrohung durch Geschäftsgeheimnisse, Betriebsstörungen oder sogar die Zerstörung von Ausrüstung.
Viertens zielen APTs auf eine begrenzte Anzahl hochwirksamer Ziele ab. Es wurden APT-Angriffe gegen Regierungsbehörden und -einrichtungen, Verteidigungsunternehmen und Hersteller von Hightech-Produkten gestartet. Organisationen und Unternehmen, die die nationale Infrastruktur unterhalten und betreiben, sind ebenfalls mögliche Ziele.
Einige Beispiele für APTs
Operation Aurora war eine der ersten weit verbreiteten APTs; Die Serie von Angriffen gegen US-Unternehmen war raffiniert, zielgerichtet, heimlich und darauf ausgelegt, Ziele zu manipulieren.Bei den Mitte 2009 durchgeführten Angriffen wurde eine Sicherheitsanfälligkeit im Internet Explorer ausgenutzt, die es den Angreifern ermöglichte, auf Computersysteme zuzugreifen und Malware auf diese Systeme herunterzuladen. Die Computersysteme waren mit einem Remote-Server verbunden und geistiges Eigentum wurde von Unternehmen gestohlen, zu denen Google, Northrop Grumman und Dow Chemical gehörten. (Lesen Sie mehr über andere schädliche Angriffe in bösartiger Software: Würmer, Trojaner und Bots, oh mein Gott!)
Stuxnet war das erste APT, das einen Cyberangriff einsetzte, um die physische Infrastruktur zu stören. Der Stuxnet-Wurm soll von den USA und Israel entwickelt worden sein und zielt auf die industriellen Kontrollsysteme eines iranischen Atomkraftwerks ab.
Obwohl Stuxnet offenbar für den Angriff auf iranische Nuklearanlagen entwickelt wurde, hat es sich weit über das beabsichtigte Ziel hinaus verbreitet und könnte auch gegen Industrieanlagen in westlichen Ländern, einschließlich den USA, eingesetzt werden.
Eines der bekanntesten Beispiele für eine APT war der Verstoß gegen RSA, ein Computer- und Netzwerksicherheitsunternehmen. Im März 2011 gab RSA ein Leck preis, als es von einem Speer-Phishing-Angriff heimgesucht wurde, der einen seiner Mitarbeiter in seinen Bann zog und zu einem riesigen Fang für Cyberangreifer führte.
In einem offenen Brief an RSA, den Kunden im März 2011 auf der Website des Unternehmens veröffentlichten, erklärte Art Coviello, dass ein ausgefeilter APT-Angriff wertvolle Informationen in Bezug auf das SecurID-Zwei-Faktor-Authentifizierungsprodukt extrahiert habe, das von Remote-Mitarbeitern für den sicheren Zugriff auf das Netzwerk ihres Unternehmens verwendet wurde .
"Zum gegenwärtigen Zeitpunkt sind wir zuversichtlich, dass die extrahierten Informationen keinen erfolgreichen direkten Angriff auf einen unserer RSA SecurID-Kunden ermöglichen. Diese Informationen könnten jedoch möglicherweise verwendet werden, um die Effektivität einer aktuellen Zwei-Faktor-Authentifizierungsimplementierung im Rahmen einer umfassenderen Strategie zu verringern." Angriff ", sagte Coviello.
Aber Coviello hat sich geirrt, als zahlreiche RSA SecurID-Token-Kunden, darunter auch der US-Verteidigungsgigant Lockheed Martin, über Angriffe aufgrund des RSA-Verstoßes berichteten. Um den Schaden zu begrenzen, erklärte sich RSA bereit, die Token für seine Hauptkunden zu ersetzen.
Wohin APTs?
Eines ist sicher: APTs werden fortgesetzt. Solange es vertrauliche Informationen zum Stehlen gibt, werden organisierte Gruppen danach streben. Und solange es Nationen gibt, wird es Spionage und Sabotage geben - physisch oder im Internet.
Es gibt bereits eine Fortsetzung des Stuxnet-Wurms Duqu, der im Herbst 2011 entdeckt wurde. Wie ein Sleeper Agent hat sich Duqu schnell in wichtige industrielle Systeme eingebettet und sammelt Informationen und Zeit. Seien Sie versichert, dass es Design-Dokumente studiert, um Schwachstellen für zukünftige Angriffe zu finden.
Sicherheitsbedrohungen des 21. Jahrhunderts
Stuxnet, Duqu und ihre Erben werden mit Sicherheit zunehmend Regierungen, kritische Infrastrukturbetreiber und Fachleute für Informationssicherheit plagen. Es ist an der Zeit, diese Bedrohungen so ernst zu nehmen wie die alltäglichen Probleme der Informationssicherheit im 21. Jahrhundert.