Zielgerichtete Angriffe

Was ist so „Advanced“ an APTs?

| Autor / Redakteur: Tobias Schubert* / Stephan Augsten

Gezielte Angriffe dienen meist der Wirtschaftsspionage und bewegen sich deshalb meist „unterhalb des Radars“.
Gezielte Angriffe dienen meist der Wirtschaftsspionage und bewegen sich deshalb meist „unterhalb des Radars“. (Bild: Trend Micro)

Cyber-Attacken werden immer ausgeklügelter. Oft fällt in diesem Zusammenhang der Begriff „Advanced Persistent Threats“, kurz APT. Im Vorfeld der „IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015“ beleuchtet Trend Micro, ob und wie sich APTs von zielgerichteten Angriffen unterscheiden.

So raffiniert manche Cyber-Attacken auch sind, so banal beginnen sie meist: In neun von zehn Fällen liegt der Ursprung in einer einfachen E-Mail. Diese besonders zielgenauen Phishing-Angriffe („Spear Phishing“) sind so angepasst, dass neugierige Anwender „gar nicht anders können“, als den verseuchten Dateianhang oder Link anzuklicken.

Unter Verwendung allgemein verfügbarer Informationen über eine Person oder Gruppe wird der Angriff speziell auf das oder die Opfer zugeschnitten. So werden die Betroffenen beispielsweise mit ihrem Namen und Titel angesprochen, auch die genaue Berufsbezeichnung oder Position des Opfers ist enthalten.

Im Rahmen einer Studie hat Trend Micro entsprechende Fälle untersucht. Drei Viertel der E-Mail-Adressen der Betroffenen ließen sich dabei durch eine einfache Websuche herausfinden oder waren besonders leicht zu erraten, weil sie gebräuchliche E-Mail-Formate verwendeten (bspw. vorname.nachname@firmenname.de).

APTs: Namensklärung

Im Zusammenhang mit zielgerichteten Angriffen fällt oft der Begriff „Advanced Persistent Threats, APTs“. Der Ursprung des Begriffs „APT“ wird mit dem US-Militär, im speziellen der US Air Force, assoziiert. Aber wo liegen die Unterschiede zwischen APTs und zielgerichteten Angriffen? Oder sind sie letztlich sogar identisch?

Um die Frage zu beantworten, hilft es, die Begriffe hinter dem Akronym „APT“ gleichsam von hinten nach vorne zu betrachten:

Threat: Die Bedrohung durch Schadsoftware und Cyberkriminelle oder staatliche Akteure bedarf wohl keiner näheren Definition. Interessanterweise beschränkt sich der ursprüngliche Gebrauch des Begriffs „APT“ beim US Militär dabei nicht auf Gefahren aus dem IT-Bereich. Vielmehr waren hier auch „konventionellere“ Gefahren durchaus eingeschlossen.

Persistent: Während normale Schadsoftware nach dem Gießkannenprinzip versucht, eine große Anzahl von Opfern zu infizieren, konzentrieren sich die Angreifer hier auf ein spezielles Ziel. Und ist dieses erstmal kompromittiert, so versuchen sie natürlich auch so lange wie möglich, Informationen zu exfiltrieren. Dies impliziert also eine gewisse Konzentration und Durchhaltevermögen, also kurz: Persistenz.

Ergänzendes zum Thema
 
Über die IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015

Advanced: Hier scheiden sich die Geister, denn viele sehen an dieser Stelle den entscheidenden Unterschied zwischen APTs und zielgerichteten Angriffen. Während man bei APTs die Nutzung von Zero Day Exploits und ähnlichen impliziert, wird bei zielgerichteten Angriffen auch gerne die Nutzung von „alten“ Exploits unterstellt.

Diese Unterscheidung basiert allerdings auf der Unterstellung, dass sich „Advanced“ auf die eingesetzten Werkzeuge (Exploits) bezieht. Vor diesem Hintergrund ist es hilfreich, sich den ursprünglichen Kontext des Begriffs vor Augen zu halten. Dieser war nicht auf IT oder Cyberangriffe beschränkt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43436720 / Malware)