Advanced-Persistent-Threats
Warum Software nicht ausreichend vor zielgerichteten Attacken schützt
APTs und Rootkits sind Schreckgespenster für Staat und Industrie gleichermaßen. Ist der erste Rechner einmal infiziert, dann kann sich ein APT wie eine ansteckende Krankheit im ganzen Netzwerk verbreiten. Die Inkubationszeit variiert – das latente Virus kann über Tage oder Wochen bis hin zu mehreren Jahren im System schlummern und weitere Bereiche befallen. An einem vorbestimmten Tag X bricht das Virus schließlich aus und vermag es, in einer koordinierten Attacke kritische Industrien vollständig lahm zu legen. Schafft man es, frühzeitig den "Patienten 0" ausfindig zu machen, können kritische Sicherheitsvorfälle verhindert werden. Die Herausforderung besteht darin, dass diese hochkomplexen, zielgerichteten Attacken darauf ausgelegt sind, möglichst lange unentdeckt zu bleiben.
Der staatliche Ölkonzern Saudi-Arabiens wurde 2012 Opfer eines APT-Angriffs. Der Computer-Schädling „Shamoon“ wurde mittels einem befallenen USB-Stick in ein Gerät injiziert und modifizierte den Master-Boot-Record (MBR). Der MBR ist der erste Block an grundlegender Software, der während des Hochfahrens des Computers gelesen wird – sozusagen das Herz des Computers, das die Maschine zum Laufen bringt. Dort blieb „Shamoon“ tagelang unentdeckt und breitete sich innerhalb von nur zwei Wochen auf über 30.000 PCs aus. Nach einem vorbestimmten Zeitraum legte es schwarmartig kritische Systeme – wie etwa Steuerungssysteme – lahm und löste so eine Störung des kompletten Betriebs aus. Ähnliches passierte 2010 mit „Stuxnet“ – der Wurm sabotierte eine iranische Uran-Aufbereitungsanlage. Neueste Untersuchungen zeigen, dass, obwohl es längst Patches für den Exploit gibt, zwischen November 2013 und Juni 2014 noch rund 19 Millionen Rechner allein in diesem Zeitraum mit „Stuxnet“ ins Visier genommen wurden.
Aktuellstes Beispiel eines APT ist der Schädling „Careto/The Mask“, der im Februar 2014 entdeckt wurde. „Careto“ schlummerte fünf Jahre unentdeckt in den Systemen von mehr als 380 öffentlichen und staatlichen Institutionen, Auslandsvertretungen, Energie-, Öl- und Gaskonzernen sowie in den Computern von Aktivisten in 31 Ländern, darunter auch Deutschland und die Schweiz. Der Wurm ist noch komplexer als „Stuxnet/Duqu“, „Gauss“, „RedOctober“ oder „Icefog“ und hat verheerende Auswirkungen. „Careto“ fängt alle Kommunikationskanäle ab und greift hochkritische Informationen von den Geräten der Opfer ab. Der Nachweis eines Befalls ist komplex – „Careto“ hat Rootkits zur Tarnung und spezielle Cyberspionage-Module im Gepäck, die es selbstständig ausführt.
Der Begriff „Advanced Persistent Threat“ ist seit seiner ersten Verwendung – bedingt durch zahlreiche Marketingkampagnen – zum Modewort geworden und bezeichnet verschiedene Arten von Angriffen mit diversen Angriffsvektoren: Social-Engineering (Phishing-Mails), gezielte Malware-Kampagnen wie der Eurograbber-Angriff (ein Trojaner mit dessen Hilfe etwa 36 Millionen Euro erbeutet wurden), Botnetze, Zero-Day-Attacken und -Exploits sowie DDos-Angriffe. Diese Begriffe beziehen sich meist nur auf die einzelnen Vektoren oder Sabotagetechniken; mit APT ist aber das gesamte, koordinierte Vorgehen gemeint.
- Warum Software nicht ausreichend vor zielgerichteten Attacken schützt
- Sprungbrett ins lokale Netzwerk
- Trusted-Computing
Lesen Sie mehr zum Thema
