[et_pb_section fb_built=“1″ _builder_version=“3.22″][et_pb_row _builder_version=“3.25″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“][et_pb_column type=“4_4″ _builder_version=“3.25″ custom_padding=“|||“ custom_padding__hover=“|||“][et_pb_text _builder_version=“3.27.4″ z_index_tablet=“500″]<\/p>\n
Sechs Jahre \u2013 so lange konnte eine hochentwickelte Cyberspionage-Kampagne namens „Slingshot“ ihr Unwesen treiben \u2013 und zwar unbemerkt! Slingshot ist das Paradebeispiel einer Malware, die f\u00fcr sogenannte\u00a0\u201cAdvanced Persistent Threat\u201d (APT)-Angriffe entwickelt wurde.\u00a0<\/p>\n
Die Schadsoftware\u00a0Slingshot wurde schlie\u00dflich im M\u00e4rz 2018 entdeckt. Doch auch ein\u00a0gutes Jahr sp\u00e4ter sind solche APT-Angriffe\u00a0noch immer eine enorme Bedrohung f\u00fcr Unternehmen und Organisationen.<\/p>\n
Das Risiko, einer solchen Attacke\u00a0zum Opfer zu fallen, ist statistisch gesehen, sogar gestiegen.\u00a0Professionelle und gezielte Angriffe auf Unternehmensnetzwerke sind in den letzten Jahren n\u00e4mlich h\u00e4ufiger geworden und haben ein komplett neues Niveau erreicht. Cyberkriminelle attackieren immer zielgerichteter kritische Infrastrukturen einzelner Unternehmen und sind\u00a0finanziell sowie politisch motiviert.<\/p>\n
[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“3.25″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“][et_pb_column type=“4_4″ _builder_version=“3.25″ custom_padding=“|||“ custom_padding__hover=“|||“][et_pb_text _builder_version=“3.27.4″ z_index_tablet=“500″]<\/p>\n
Wie der Name „Advanced Persistent Threats“ schon sagt, werden darunter fortgeschrittene, langanhaltende Bedrohungen verstanden. Sie sind sehr gezielt auf Organisationen oder Personen zugeschnitten und erfordern eine ausgereifte Planung.<\/p>\n
Ein Advanced Persistent Threat basiert auf hochentwickelten („Advanced“)\u00a0Angriffstechniken, wobei die Opfer h\u00e4ufig \u00fcber einen langen Zeitraum („Presistent“) nicht bemerken, dass sie einer Bedrohung („Threat“) ausgesetzt sind.<\/p>\n
Die Ziele solcher APT-Angriffe sind sehr unterschiedlich motiviert und reichen von Spionage, \u00fcber Datendiebstahl bis hin zu finanzieller Bereicherung. Dabei handelt es sich meist um Personengruppen, die h\u00e4ufig auch im Rahmen gr\u00f6\u00dferer Organisation, wie z. B. einem Unternehmen oder einer Beh\u00f6rde, existieren.<\/p>\n
Solche Angriffe erfordern eine ausgereifte Planung, ausreichend Informationen \u00fcber die Opfer sowie eine genauen Analyse dieser Informationen. Auch wenn sich alle APTs\u00a0voneinander unterscheiden, folgen sie in der Regel mehreren Angriffsschritten, die in Phasen unterteilt werden k\u00f6nnen.<\/p>\n
Zun\u00e4chst wird in der Vorbereitungs-Phase eine Zielorganisation ausgekundschaftet. In der Infektions-Phase wird\u00a0dann sichergestellt, dass der Angriff unentdeckt bleibt. Hier kommen oft Methoden zum Einsatz, durch die\u00a0Malware so verschleiert wird, dass g\u00e4ngige Antivirusprogramme sie nicht erkennen.\u00a0<\/p>\n
Sobald das erste System erfolgreich infiziert und \u00fcbernommen werden konnte, beginnt die Verteilungs-Phase. Hier werden die Zielsysteme\u00a0h\u00e4ufig Teil eines gro\u00dfen\u00a0Botnetzwerks und k\u00f6nnen so m\u00fchelos von den T\u00e4tern ferngesteuert werden.\u00a0<\/p>\n
Letztendlich\u00a0k\u00f6nnen in der\u00a0Persistenz-Phase alternative Zug\u00e4nge mittels Tunneling- und Backdoor-Techniken geschaffen werden, um einen Zugriff auf die kompromittierten Systeme jederzeit zu erm\u00f6glichen. Nun k\u00f6nnen die T\u00e4ter \u00fcber einen l\u00e4ngeren Zeitraum hinweg Daten sammeln und die Systeme manipulieren.\u00a0<\/p>\n
Da APTs\u00a0keinem einheitlichen Angriffsmuster\u00a0folgen, ist es f\u00fcr Unternehmen besonders schwer, sich vor ihnen zu sch\u00fctzen. Aus diesem Grund ist eine mehrstufige Sicherheitsstrategie (Defense-in-Depth) \u00fcber logische, physische und soziale Grenzen hinweg von gr\u00f6\u00dfter Bedeutung.<\/p>\n
[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“3.25″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“][et_pb_column type=“4_4″ _builder_version=“3.25″ custom_padding=“|||“ custom_padding__hover=“|||“][et_pb_text _builder_version=“3.27.4″ z_index_tablet=“500″]<\/p>\n
Das\u00a0Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) warnt im aktuellen Lagebericht zur IT-Sicherheit in Deutschland erneut vor APT-Angriffen.\u00a0<\/p>\n
Hier hat w\u00e4hrend der Infektions-Phase\u00a0die Verwendung von Installer- und Update-Hijacking\u00a0in letzter Zeit enorm zugenommen. Dabei werden Installations-Archive auf den Update-Servern von Software-Herstellern mit Schadcode\u00a0versehen.<\/p>\n
Sobald Nutzer dann die Programme herunterladen, wird das eingeschleuste Schadprogramm ausgef\u00fchrt, das wiederum weitere Module nachladen kann. Diese Methode ist sehr effizient, da die Schadprogramme\u00a0unwissentlich durch die Nutzer selbst installiert werden und je nachdem eine gr\u00f6\u00dfere Zahl von Zielen kompromittiert werden k\u00f6nnen.<\/p>\n
Beispiele f\u00fcr solche\u00a0Installer- und Update-Hijacking-Attacken\u00a0im Rahmen eines Advanced Persistent Threads sind der Angriff „Shadowpad“ auf eine\u00a0NetSarang-Software, die Windows-Malware \u201eNotpetya“ sowie Angriffe auf die PC-Software „CCleaner“.<\/p>\n
Abgesehen davon sind aktuell Spear-Phishing-E-Mails mit infizierten Links oder Anh\u00e4ngen eine verbreitete Angriffsform. Spear-Phishing ist zwar keine neue Technik, erweist sich jedoch weiterhin als sehr effektiv f\u00fcr die Angreifer. Empf\u00e4nger werden \u00fcber geschickte Social Engineering-Taktiken dazu verleitet, den sch\u00e4dlichen Dateianhang herunterzuladen, oder die „Infektion per Klick auf den Link anzusto\u00dfen.<\/p>\n
W\u00e4hrend der Verteilungs-Phase\u00a0versuchen T\u00e4ter aktuell,\u00a0m\u00f6glichst mit den Ressourcen zu arbeiten, die bereits auf den kompromittierten Rechnern vorhanden sind. Dazu werden legitime Administrations-Werkzeuge, wie z. B.\u00a0PowerShell und Windows Management Instrumentation (WMI), genutzt. So sind die kriminellen Aktivit\u00e4ten weniger auff\u00e4llig und den T\u00e4tern gelingt es, l\u00e4nger unentdeckt zu bleiben.<\/p>\n
Professionelle und zielgerichtete APT-Attacken auf Unternehmen haben eine lange Vorlaufzeit und sind mit einem erheblichen Aufwand f\u00fcr die T\u00e4ter verbunden.\u00a0Da solche Angriffe leider oft sehr sp\u00e4t auffallen, ist es enorm wichtig, umfassende Sicherheitsvorkehrungen im Vorfeld zu treffen.<\/p>\n
[\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“3.25″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“][et_pb_column type=“4_4″ _builder_version=“3.25″ custom_padding=“|||“ custom_padding__hover=“|||“][et_pb_text _builder_version=“3.27.4″ z_index_tablet=“500″]<\/p>\n
Leider gibt es keine Wunderwaffe, mit der sich Unternehmen zuverl\u00e4ssig vor\u00a0APT-Angriffen sch\u00fctzen k\u00f6nnen.\u00a0Dementsprechend braucht es mehrschichtige Abwehr- und Schutzmechanismen gegen Advanced Persistent Threats. Um als Unternehmen auf ein\u00a0solides Grundger\u00fcst zum Schutz vor APT-Angriffen setzen zu k\u00f6nnen, empfiehlt sich ein umfangreiches IT-Sicherheits-Management vom Fachmann. Au\u00dferdem sollten Sie die folgenden Punkte beachten:\u00a0<\/p>\n