Trends und Vorhersagen

Blick in die Glaskugel der APTs

| Autor / Redakteur: Vicente Diaz / Peter Schmitz

Olympic Destroyer war einer der berüchtigtsten Fälle zerstörerischer Malware des Jahres 2018. Viele Angreifer implementieren auch 2019 solche Funktionen in ihre Kampagnen.
Olympic Destroyer war einer der berüchtigtsten Fälle zerstörerischer Malware des Jahres 2018. Viele Angreifer implementieren auch 2019 solche Funktionen in ihre Kampagnen. (Bild: Pixabay / CC0)

Gezielte Angriffe, wie die Triton-Malware oder Olympic Destroyer haben 2018 für viel Aufsehen gesorgt. Die Angriffe bewegten sich immer mehr weg vom Diebstahl von Daten, hin zur Zerstörung von Daten oder der Kontrolle von IT-Infrastruktur. Security-Experten von Kaspersky Lab haben sich Gedanken darüber gemacht, was auf uns im Jahr 2019 an fortschrittlichen Cyberangriffen zu kommt.

Vicente Diaz, IT-Sicherheitsforscher bei Kaspersky Lab, hat sich mit den Trends im APT-Bereich (Advanced Persistent Threat) beschäftigt und erläutert, was im Jahr 2019 in Sachen fortschrittlicher und andauernder Cybergefahren für Unternehmen und Organisationen alles anstehen könnte.

Prognose 1: Keine großen APTs mehr

Wie bitte? Wie kann es sein, dass – obwohl wir scheinbar täglich von neuen Bedrohungen erfahren – die erste Vorhersage das genaue Gegenteil aussagt?

Der Grund: Die Entdeckung hochkomplexer, von Regierungen finanzierte Angriffe erfordern oft eine jahrelange Vorbereitung. Die logische Konsequenz für Angreifer ist es, neue und immer komplexere Techniken zu entwickeln, die noch schwieriger zu entdecken und ihren Urhebern noch schwerer zuzuordnen sind.

Die einzige Anforderung ist ein Verständnis der von der Branche genutzten Attribuierungsmethoden und für die Erkennung von Gemeinsamkeiten der Attacken und der dafür verwendeten Artefakte, was scheinbar kein großes Geheimnis mehr zu sein scheint. Mit genügend Ressourcen kann eine einfache Lösung für einen Angreifer darin bestehen, verschiedene Aktivitäten gleichzeitig am Laufen zu haben, die nur schwer demselben Ursprung oder derselben Bedrohung zuzuordnen sind. Gut ausgestattete Angreifer können neue innovative Methoden implementieren, während sie die alten weiter aufrechterhalten. Natürlich steigt die Chance, dass alte Bedrohungen entdeckt werden. Die neuen zu finden, ist jedoch eine weitaus größere Herausforderung.

Anstatt immer raffiniertere Kampagnen zu entwickeln, ist es für manche Akteure mit den richtigen Mitteln zudem wohl effizienter, direkt die Infrastrukturen und Unternehmen anzugreifen, in denen ihre eigentlichen Opfer zu finden sind. Hierzu zählen beispielsweise Internetanbieter (Internet Service Provider).

Manche Vorgänge werden einfach an verschiedene Gruppen und Unternehmen „outgesourct“, die unterschiedliche Tools und Techniken einsetzen. Hierdurch gestaltet sich die Attribuierung äußerst schwierig. Das könnte gerade bei Angriffen, die von Regierungen finanziert werden, Auswirkungen auf die Entwicklung von APT-Kampagnen haben. Denn Technologien und Tools stammen in diesem Szenario meist aus dem privaten Sektor und stehen für alle Interessenten zum Kauf bereit, ohne dass der Angreifer die technischen Details oder Konsequenzen kennen muss. All das zeigt, dass wir wahrscheinlich kaum noch große und komplexe Angriffe entdecken, sondern dass Angreifer auf neue Methoden setzen werden.

Die APT-Vorhersagen für 2019 im Video.

Prognose 2: Netzwerkhardware und das Internet der Dinge im Fokus

Fast jeder Angreifer hat schon einmal Methoden und Tools eingesetzt, die darauf abzielen, Netzwerkhardware anzugreifen. Ein Beispiel hierfür ist die Kampagne VPNFilter, bei der Angreifer Malware zum Aufbau vielseitiger Botnets einsetzten.

Doch die Idee geht bei gut ausgestatteten Cyberkriminellen noch weiter: Warum sich auf das Zielunternehmen konzentrieren, wenn man auch direkt die zugrundeliegende Infrastruktur angreifen kann? Soweit wir wissen, waren entsprechende Versuche bisher noch nicht erfolgreich, doch die bisherigen Beispiele wie Regin zeigen, wie verlockend ein solches Maß an Kontrolle für Angreifer ist.

Schwachstellen in Netzwerkhardware ermöglichen Cyberkriminellen unterschiedliche Angriffsvektoren. Sie können mit umfangreichen Infektionen Botnets aufbauen, die sie später für unterschiedliche Ziele einsetzen, oder sie zielen mit unauffälligeren Angriffen auf ausgewählte Ziele ab. In dieser zweiten Gruppe müssen wir auch „malwarelose“ Angriffe berücksichtigen, bei denen schon das bloße Öffnen eines VPN-Tunnels zum Spiegeln oder Umleiten des Datenverkehrs Angreifern die erforderlichen Informationen bieten kann.

Alle diese Netzwerkelemente können zudem Teil des riesigen Internet of Things (IoT) sein, in dem Botnets scheinbar unaufhaltsam wachsen. Diese Botnets können in den falschen Händen unglaublich leistungsfähig sein, wenn es beispielsweise darum geht, kritische Infrastrukturen zu stören.

Prognose 3: Öffentliche Vergeltungsmaßnahmen

Eine der größten Fragen in Sachen Diplomatie und Geopolitik dreht sich um aktive Cyberangriffe. Die Antwort ist nicht einfach und hängt neben anderen Aspekten davon ab, wie schwer und offensichtlich der Angriff ist. Nach Angriffen wie dem auf das Democratic National Committee (DNC) – die nationale Organisation der Demokratischen Partei der Vereinigten Staaten – hat sich die Lage jedoch verschärft.

Aufgrund der hohen medialen Aufmerksamkeit spektakulärer Cyberangriffe, wie zum Beispiel des Hacks von Sony Entertainment Network oder auch der DNC-Attacke, wurde eine ganze Reihe Verdächtiger benannt. Die Folge: Gerichtsverfahren und die öffentliche Zurschaustellung der vermeintlichen Urheber des Angriffs. Diese lässt sich wiederum nutzen, um im Rahmen einer Diskussion um schwerwiegendere diplomatische Folgen Meinungen zu beeinflussen.

Die Angst vor Manipulation und Intransparenz spielt den Angreifern in die Karten. Sie können diese Angst, Unsicherheit und Zweifel subtil ausnutzen – wie es bei einigen Angriffen, beispielsweise der Shadowbrokers, bereits der Fall war.

Was werden wir in Zukunft also erleben? Diese neue Art der Propaganda wurde wahrscheinlich in den vergangenen Angriffen nur ausgetestet. Wir glauben, dass dies erst der Anfang ist, uns hier künftig noch einiges erwartet und dass diese Methode auf verschiedenste Weise eingesetzt werden wird: beispielsweise in False-Flag-Angriffen, also Attacken unter „falscher Flagge“, wie Olympic Destroyer, für die der mögliche Ablauf und das eigentliche Ziel bis heute ungeklärt sind.

David Emm, ebenfalls IT-Sicherheitsforscher bei Kaspersky Lab, erklärt im folgenden Video, was im Jahr 2018 im APT-Bereich herausstach.

Prognose 4: Viele neue Player

Einfach ausgedrückt, lässt sich die Welt der APTs in zwei Gruppen aufteilen, klassische, gut ausgestattete und weit fortgeschrittene Akteure und eine Gruppe motivierter Newcomer, die sich ebenfalls ein Stück vom Kuchen sichern wollen.

Die Einstiegshürde war noch nie niedriger: interessierten Kriminellen stehen Hunderte effektive Tools, neu entwickelte geleakte Exploits und alle erdenklichen Frameworks zur Verfügung. Ein weiterer Vorteil für Kriminelle ist, dass diese Tools die Zuordnung von Bedrohungen nahezu unmöglich machen und sich bei Bedarf leicht anpassen lassen. Diese Ausgangssituation weist darauf hin, dass wir vermutlich viele neue Gruppen sehen werden, die im APT-Spiel mitmischen wollen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45680327 / Malware)