APT ist die Abkürzung für Advanced Persistent Threat, was mit „fortschrittlicher, andauernder Angriff“ übersetzt werden kann.
APT-Angriffe zielen in der Regel darauf ab, Informationen zu stehlen und weniger darauf, im Netzwerk des angegriffenen Unternehmens oder der Organisation Schaden anzurichten. Das Ziel vieler APT-Angriffe ist es, sich langfristig Zugang zum Zielnetzwerk zu verschaffen und diesen Zugang aufrechtzuerhalten, ohne entdeckt zu werden.
Da die Durchführung von APT-Angriffen oft viel Aufwand und Ressourcen erfordert, handelt es sich bei den Zielen in den meisten Fällen um Regierungseinrichtungen, größere Unternehmen und Organisationen. Die Absicht der Angreifer besteht häufig darin, über einen langen Zeitraum hinweg Informationen zu stehlen.
Um sich Zugang zu Systemen und Netzwerken zu verschaffen, verwenden APT-Gruppen oft sehr fortschrittliche Angriffsmethoden. Dazu gehören die Ausnutzung von Zero-Day-Schwachstellen, Spear-Phishing und andere Social-Engineering-Techniken, um die Opfer dazu zu verleiten, die gewünschten Aktionen auf ihren Systemen durchzuführen. Damit die Angreifer sich langfristig Zugang verschaffen können, ohne erwischt zu werden, ändern sie ihren Malware-Code im Laufe der Zeit regelmäßig. Die Angreifer interessieren sich dabei meist für sensible Informationen wie Dokumente und E-Mails.
Ein APT verläuft meistens nach einem bestimmten Schema und ist in verschiedene Phasen eingeteilt. Im Gegensatz zu herkömmlichen Cyber-Attacken, bei denen versucht wird, durch die Verteilung von Malware über das Internet und E-Mails eine möglichst große Anzahl an potenziellen Zielen zu finden, beginnt ein APT mit der detaillierten Recherche über ein bestimmtes Opfer oder eine kleinere Gruppe von Zielen innerhalb einer Organisation oder eines Unternehmens. Auf Basis dieser Recherche werden auf das Opfer zugeschnittene Phishing-Mails, also sogenannte Spear-Phishing-Mails erstellt oder es werden Schwachstellen der genutzten Softwares ausgenutzt.
Nachdem die Angreifer Zugang erlangt haben, suchen Sie nach weiteren hilfreichen Informationen. Dabei errichten Sie ein Netzwerk aus Hintertüren, installieren weitere Schadprogramme und knacken Passwörter, um sich administrative Rechte zu verschaffen und sich unbemerkt im Netzwerk bewegen zu können. Dabei ändern Sie kontinuierlich Ihren Code, um möglichst lange unentdeckt zu bleiben.
In der nächsten Phase kommt es zum eigentlichen Angriff, bei dem sensible Daten gesammelt, verschlüsselt und komprimiert werden, um sie anschließend leichter auf die eigenen Systeme übertragen zu können. Diese Phase kann über Jahre hinweg andauern, wenn der Angriff unbemerkt bleibt. Oder die Cyberkriminellen installieren entsprechende Hintertüren und verwischen Ihre Spuren, um später jeder Zeit die Attacke fortsetzen zu können.
APT-Angriffe zu erkennen, ist in der Regel nur durch genaue Untersuchung der Vorgänge im Netzwerk und das Finden von Abweichungen zum normalen Betrieb möglich. Merkwürdige Aktivitäten von Benutzerkonten, ungewöhnliche Datenbankoperationen, die Bewegung von großen Datenmengen oder Dateien, die auf die Komprimierung unterschiedlicher Informationen hinweisen, können Hinweise auf eine laufende APT-Attacke sein.
Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich gerne an unsere Spezialisten aus dem Bereich IT-Sicherheit.
