Advanced Persistent Threat (APT)

Ein „Advanced Persistent Threat“ (APT)  ist ein Begriff aus dem Bereich der IT-Sicherheit und bedeutet übersetzt eine „fortgeschrittene, andauernde Bedrohung“. APT sind gekennzeichnet durch zielgerichtete, komplexe und effektive Angriffe auf vertrauliche Daten und ggf. kritische IT-Infrastrukturen. Betroffen sind vor allem Unternehmen und Behörden, die sich mit fortgeschrittenen Technologien beschäftigen.

APT Angriffe sind stets gekennzeichnet durch ein bestimmtes Ziel (z.B. Ausspähen von Informationen oder Anrichten von Schaden) sowie eine hohe Motivation, ein bestimmtes Ziel (Erlangung von vertraulichen Informationen, Einschränkung des Betriebs) zu erreichen. Ein prominentes Beispiel für APT ist die Operation „Stuxnet“.

Ein Advanced Persistent Threat (APT) ist ein heimlicher Akteur einer Computernetzwerk-Bedrohung, typischerweise eine Organisation, ein Nationalstaat oder eine staatlich geförderte Gruppe, der sich unautorisierten Zugang zu einem Computernetzwerk verschafft und für einen längeren Zeitraum unentdeckt bleibt. In jüngster Zeit kann der Begriff auch auf nicht-staatlich geförderte Gruppen verweisen, die groß angelegte gezielte Einbrüche in Computernetzwerken und für bestimmte Ziele durchführen.

Die Motive solcher Bedrohungsakteure sind typischerweise politischer oder wirtschaftlicher Natur. Bis heute hat jeder größere Wirtschaftssektor Fälle von Angriffen durch fortgeschrittene Akteure mit bestimmten Zielen, die Daten stehlen, ausspionieren oder stören wollen, verzeichnet. Dazu gehören Regierung, Verteidigung, Finanzdienstleistungen, Rechtsdienste, Industrie, Telekommunikation, Konsumgüter und viele andere Industriezweige.

Einige Gruppen nutzen traditionelle Spionagevektoren, einschließlich Social Engineering, menschliche Intelligenz und Infiltration, um Zugang zu einem physischen Standort zu erhalten und Netzwerkangriffe zu ermöglichen. Der Zweck dieser Angriffe besteht darin, für bestimmte Aufgaben individuellen Schadcode auf einem oder mehreren Computern zu platzieren.

Die mittlere "Verweildauer", also die Zeit, in der ein APT-Angriff unentdeckt bleibt, ist von Region zu Region sehr unterschiedlich. FireEye berichtet, dass die mittlere Verweildauer in Amerika im Jahr 2018 bei 71 Tagen, in EMEA bei 177 Tagen und in APAC bei 204 Tagen liegt. Dies ermöglicht den Angreifern eine erhebliche Zeit, um den Angriffszyklus zu durchlaufen, sich auszubreiten und ihr Ziel zu erreichen.

Die Definitionen, was genau ein APT ist, können variieren, lassen sich aber anhand der nachfolgend genannten Anforderungen (A-P-T) zusammenfassen:

Advanced (Fortgeschritten) - Die Operatoren hinter der Bedrohung verfügen über ein volles Spektrum an Techniken zur Sammlung von Informationen. Diese können kommerzielle und quelloffene Computereinbruchstechnologien und -techniken umfassen, aber auch den Geheimdienst eines Staates umfassen. Auch wenn einzelne Komponenten des Angriffs nicht als besonders "fortgeschritten" angesehen werden können (z. B. Malware-Komponenten, die aus allgemein verfügbaren Do-it-yourself-Malware-Bausätzen generiert werden, oder die Verwendung von leicht zu beschaffenden Exploit-Materialien), können ihre Betreiber in der Regel je nach Bedarf auf fortgeschrittenere Tools zugreifen und diese entwickeln. Sie kombinieren oft mehrere Targeting-Methoden, Tools und Techniken, um ihr Ziel zu erreichen und zu gefährden und den Zugang zu diesem zu erhalten. Die Betreiber können auch einen bewussten Fokus auf die operative Sicherheit nachweisen, der sie von "weniger fortgeschrittenen" Bedrohungen unterscheidet.

Persistent (Dauerhaft) - Betreiber geben einer bestimmten Aufgabe Vorrang vor der opportunistischen Suche nach Informationen zum finanziellen oder sonstigen Nutzen. Diese Unterscheidung impliziert, dass sich die Angreifer von externen Stellen leiten lassen. Das Targeting erfolgt durch kontinuierliche Überwachung und Interaktion, um die definierten Ziele zu erreichen. Es bedeutet keine Flut von ständigen Angriffen und Malware-Updates. Vielmehr ist ein "low-and-slow"-Ansatz in der Regel erfolgreicher. Verliert der Betreiber den Zugang zu seinem Ziel, wird er es in der Regel erneut versuchen, und zwar meistens erfolgreich. Eines der Ziele des Betreibers ist es, den Zugriff auf das Ziel langfristig aufrechtzuerhalten, im Gegensatz zu Bedrohungen, die nur Zugang benötigen, um eine bestimmte Aufgabe auszuführen.

Threat (Bedrohung) - APT's sind eine Bedrohung, weil sie sowohl die Fähigkeit als auch die Absicht haben. APT-Angriffe werden durch koordinierte menschliche Aktionen ausgeführt und nicht durch geistlose und automatisierte Code-Stücke. Die Operatoren haben ein bestimmtes Ziel und sind qualifiziert, motiviert, organisiert und gut finanziert.

Weitere Informationen

  • Kategorie: Glossar
  • Thema: Cyber Security