APT (Advanced Persistent Threat)
Eine Advanced Persistent Threat (APT) ist ein hochentwickelter, langfristiger Cyberangriff - meist von staatlichen oder staatlich geförderten Akteuren - der auf ein spezifisches Ziel ausgerichtet ist und über Monate oder Jahre unentdeckt bleibt.
APT (Advanced Persistent Threat) bezeichnet eine Kategorie von Cyberangriffen, die sich durch drei Merkmale auszeichnet:
- Advanced: Hochentwickelte Techniken, Zero-Day-Exploits, maßgeschneiderte Malware
- Persistent: Langfristige Präsenz im Zielnetzwerk (Monate bis Jahre), ohne entdeckt zu werden
- Threat: Zielgerichtete Bedrohung - meist Spionage, Sabotage oder Vorbereitung für zukünftige Angriffe
Unterschied zu normaler Cyberkriminalität
| Merkmal | Standard-Angriff (opportunistisch) | APT (gezielt) |
|---|---|---|
| Angreifer | Automatisierte Malware-Kampagne | Qualifiziertes Team, oft staatlich gesponsert |
| Ziel | Schnelles Geld (Ransomware) | Spionage, Sabotage, langfristige Kontrolle |
| Dauer | Minuten bis Stunden | Monate bis Jahre im Netzwerk |
| Methodik | Commodity-Malware, bekannte CVEs | Zero-Days, Living-off-the-Land, individuelle Backdoors |
| Erkennung | Verhältnismäßig einfach | Sehr schwierig - bewusst auf Tarnung ausgelegt |
APT-Gruppen
Sicherheitsfirmen benennen APT-Gruppen mit Nummern oder Tiernamen:
| Gruppe | Zuschreibung | Bekannte Angriffe |
|---|---|---|
| APT28 / Fancy Bear | Russland (GRU) | Bundestag 2015, DNC 2016 |
| APT29 / Cozy Bear | Russland (SVR) | SolarWinds 2020 |
| APT41 | China (dual-use) | Pharmasektor, Telekommunikation |
| Lazarus Group | Nordkorea | WannaCry, Sony, Banken |
| Charming Kitten | Iran | Universitäten, Aktivisten |
| Volt Typhoon | China | US-Kritische Infrastruktur |
APT Kill Chain
APT-Angriffe folgen der Cyber Kill Chain - charakteristisch ist die lange Verweildauer in Phase 5-6 vor dem eigentlichen Angriff:
Phase 1: Reconnaissance - Wochen bis Monate OSINT: LinkedIn, Shodan, Job-Postings enthüllen Technologien
Phase 2: Weaponization - Zero-Day-Exploit oder Custom Backdoor entwickeln (0-Day-Preise: 100k-2 Mio. USD)
Phase 3: Delivery - Spear-Phishing mit zielgerichtetem Kontext, Watering Hole (kompromittierte Branchenwebsite), Supply Chain (SolarWinds)
Phase 4: Exploitation - Zero-Day ausführen oder Social Engineering (Macro-Aktivierung)
Phase 5: Persistenz (Living off the Land) - Scheduled Tasks, WMI Event Subscriptions, Registry Autoruns - keine eigene Malware, daher kein EDR-Alert
Phase 6: Command & Control - C2 über legitime Cloud-Dienste (OneDrive, Google Drive), DNS Tunneling, Slow Beaconing alle 8-24h
Phase 7: Actions on Objectives - Lateral Movement, Datenexfiltration (langsam, in kleinen Paketen), Sabotage
Erkennung
APTs sind schwer zu erkennen, weil sie legitime Windows-Tools (PowerShell, WMI, PsExec) nutzen - Living-off-the-Land hinterlässt keine Malware-Signaturen.
Effektive Erkennungsmethoden:
- SIEM + UEBA: Verhaltensanomalien über längere Zeiträume korrelieren (z. B. PowerShell mit encoded Command von normalem User-Account)
- Threat Hunting: Proaktive Suche nach Indikatoren of Compromise (IoCs) - z. B. LSASS-Zugriffe, ungewöhnliche TGS-Anfragen (Kerberoasting), DCSync von Nicht-DCs
- Deception Technology: Honeypots und Honey Credentials, die APT-Lateral-Movement aufdecken
- NDR: Netzwerk-Anomalien wie Beaconing, DNS Tunneling, Exfiltration über Cloud-Dienste
Wer ist betroffen?
- Klassisch: Rüstung, Energie, kritische Infrastruktur, Regierung
- Zunehmend: Pharmaunternehmen (Impfstoff-Diebstahl), Anwaltskanzleien
- KMU als Einstiegspunkt: “Island Hopping” - KMU wird angegriffen um ein größeres Ziel zu erreichen; 43% aller APT-Angriffe starten über einen Lieferanten (Mandiant 2024)
Ausführlicher Guide: APTs erkennen, abwehren, reagieren
