Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats


Masterarbeit, 2017
108 Seiten, Note: 1,0
Anonym

Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise

2 Begriffsklärung
2.1 Advanced Persistent Threat
2.2 Abgrenzung zu weiteren Cyberbedrohungen
2.3 Ablauf eines APT-Angriffs
2.4 Beispiele für bekannte Advanced Persistent Threats
2.5 Schutz- und Gegenmaßnahmen

3 Attribution von Advanced Persistent Threats
3.1 Vorgehen bei der Attribution
3.2 Akteure
3.3 Attributionsmodelle

4 Identifikation von APT-Kriterien
4.1 Kriterien innerhalb der Dimension „Fähigkeiten“
4.2 Kriterien innerhalb der Dimension „Infrastruktur“
4.3 Kriterien innerhalb der Dimension „Opfer“
4.4 Kriterien innerhalb der Dimension „Angreifer“
4.5 Zusammenfassender Katalog für APT-Beschreibungskriterien

5 Einordnung bekannter APTs
5.1 APT 10/ Stone Panda/ Menupass/ CVNX
5.2 APT 28/ Sofacy/ Fancy Bear/ Operation Pawnstorm

6 Bewertung der identifizierten Beschreibungskriterien

7 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 1: Phasen eines APT-Angriffs laut Symantec (Symantec 2017, o.S.)

Abb. 2: Namen mutmaßlich chinesischer APT-Gruppen (Roth 2017, o.S.)

Abb. 3: Namen mutmaßlich russischer APT-Gruppen (Roth 2017, o.S.)

Abb. 4: Das Diamant-Modell (Betz, Caltagirone und Pendergast 2013, S.9)

Abb. 5: Das "Kill Chain"-Modell von Lockheed Martin (Kulig 2017, o.S.)

Abb. 6: Das Mandiant "Attack Lifecycle Model" (Mandiant 2013, S.27)

Abb. 7: Beispiel einer Spear Phishing E-Mail (BfV 2015, S.2)

Abb. 8: In einen APT-Angriff involvierte Systeme (Transtec 2017, o.S.)

Abb. 9: Whois-Abfrage für 8.8.8.8 bei Domaintools.com am 08.05.2017

Abb. 10: Whois-Abfrage für uni-due.de bei Domaintools.com am 08.05.2017

Abb. 11: Reverse Lookup für uni-due.de bei Domaintools.com am 08.05.2017

Abb. 12: Russisches Dokument mit koreanischen Schriftarten (FireEye 2013, S.5)

Abb. 13: APT 10 - Genutzte Schadprogramme (PwC und BAE 2017, S.19)

Abb. 14: APT 10 - Genutzte Dateinamen (PwC und BAE 2017, S.11)

Abb. 15: APT 10 - Genutzte Domains (PwC und BAE 2017, S.12)

Abb. 16: APT 10 - Genutzte Registrierungsangaben (PwC und BAE 2017, S.12)

Abb. 17: APT 10 - Genutzte Infrastruktur (PwC und BAE 2017, S.13)

Abb. 18: APT 10 - Historie der Angriffe (PwC und BAE 2017, S.17)

Abb. 19: APT 10 - Opferfläche (PwC und BAE 2017, S.10)

Abb. 20: APT 10 - Registrierungszeiten der Domains (PwC und BAE 2017, S.6)

Abb. 21: APT 10 - Kompilierungszeiten der Schadsoftware (PwC und BAE 2017, S.6)

Abb. 22: APT 10 - Schlüsselindustrien (PwC und BAE 2017, S.10)

Abb. 23: APT 28 - Attribution (FireEye 2017 b, S.9)

Abb. 24: APT 28 - Genutzte Schadsoftware (FireEye 2017 b, S.10)

Abb. 25: APT 28 - Taktiken (1+2) (FireEye 2017 b, S.11)

Abb. 26: APT 28 - Taktiken (3+4) (FireEye 2017 b, S.12)

Abb. 27: APT 28 - Angriff auf die WADA (FireEye 2017 b, S.6)

Abb. 28: APT 28 - Opfer (1) (FireEye 2017 b, S.4)

Abb. 29: APT 28 - Opfer (2) (FireEye 2017 b, S.5)

1 Einleitung

1.1 Problemstellung

Im ersten Halbjahr 2016 gab es laut Medienberichten täglich etwa 400 Cyberangriffe auf deutsche Regierungsnetze. Etwa 20 dieser Angriffe werden laut Auskunft des Bundesministeriums des Innern als „hochspezialisiert“ eingestuft. Eine Cyberattacke pro Woche habe einen nachrichtendienstlichen Hintergrund. Genaue Angriffszahlen für die Wirtschaft sind schwer zu ermitteln, da die meisten Unternehmen nicht verpflichtet sind, Cyberangriffe (sofern diese überhaupt entdeckt werden) an staatliche Stellen zu melden. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) spricht von 60 Prozent der mittelständischen Unternehmen, die von IT-Spionage- und Sabotageakten betroffen sind. Journalisten berichten zudem immer wieder von anspruchsvollen Cyberangriffskampagnen gegen deutsche Ziele – auch gegen große Konzerne. Ein Beispiel in der jüngeren Vergangenheit ist der Angriff auf ThyssenKrupp durch die Angreifergruppe „Winnti“.

In Abgrenzung zu einfachem Hacking werden hochspezialisierte und hochgradig anspruchsvolle, oft auf einen längeren Zeitraum angelegte Cyberangriffe als Advanced Persistent Threats – kurz APTs – bezeichnet. Auch Winnti gehört zu dieser Angriffskategorie, von der nicht nur deutsche Organisationen betroffen sind. Advanced Persistent Threats erfahren seit einigen Jahren zunehmend Aufmerksamkeit in der internationalen IT-Sicherheitsbranche.

Seit der Begriff durch den IT-Sicherheitsdienstleister Mandiant in dem Report zu „APT 1“ geprägt wurde, erscheinen immer mehr Berichte zu dieser speziellen Bedrohungsart. Andere spezialisierte Dienstleister wie Kaspersky oder Crowdstrike erstellen inzwischen regelmäßig Jahresberichte, um die Entwicklungen diverser Advanced Persistent Threats darzustellen. Daneben gibt es eine Reihe von Internetseiten, die Zusammenhänge und Unterschiede zwischen APTs aufzuzeigen versuchen.

Mandiant sieht in einem APT eine „Threat Group“ – also eine Gruppe von Personen, die zusammenarbeitet, um für sie interessante Netzwerke anzugreifen. Dabei geht es meist nicht um einen einzelnen, sondern um eine ganze Reihe von Angriffen, die auf ein übergeordnetes Ziel ausgerichtet sind. Verschiedene APT-Gruppen können bestimmte Merkmale wie beispielsweise dieselben Ziele oder die Verwendung derselben Schadsoftware teilen.

Auch wenn sich dieser personenbezogene Ansatz einer APT-Definition durchgesetzt hat, führt er zu diversen Fragestellungen in der Zuordnung eines Angriffs zu einem APT. So ist es schwierig zu sagen, ob zwei unterschiedliche Angriffe auf ein Netzwerk durch zwei verschiedene Personengruppen durchgeführt wurden, dieselbe Gruppe zu unterschiedlichen Zeitpunkten unterschiedliche Ziele oder Vorgehen verfolgte oder gar zwei unterschiedliche Gruppen zusammenarbeiteten und sich in ihrem Vorgehen ergänzten.

Eine beweissichere Zuordnung eines Cyberangriffs zu einem konkreten Täter (beispielsweise einem staatlichen Akteur) ist nicht unmöglich, aber so komplex, dass sie in den wenigsten Fällen erfolgreich ist. Dennoch versucht man im Zuge dieser Zuordnung, der sogenannten Attribution, möglichst viele Merkmale eines konkreten Angriffs mit den bekannten Merkmalen eines Advanced Persistent Threats abzugleichen. Kann man immer mehr Angriffe zu einem APT zuordnen, wird das Bild dieser Gruppe Schritt für Schritt genauer. In einigen Fällen war es dadurch bereits möglich, Rückschlüsse auf konkrete Täter ziehen zu können.

1.2 Zielsetzung

Bei der Zuordnung eines konkreten Angriffs zu einem APT werden unterschiedliche Kriterien, wie beispielsweise eine geografische Zuordnung des Angriffsursprungs, die genutzte Schadsoftware oder das Ziel der Kompromittierung herangezogen. Jeder Akteuer, der eine Attribution durchführt, verwendet dabei eigene Beschreibungskriterien. Einige der Kriterien erscheinen zielführender als andere, wobei jeweils der aktuelle Kontext der Betrachtung beachtet werden muss.

Das Ziel dieser Masterarbeit ist es, aus Fachberichten und weiteren Quellen ein umfassendes Bild dieser Beschreibungskriterien für Advanced Persistent Threats zu erarbeiten und zu analysieren. Diese werden in einem Fragenkatalog für APT-Angriffe zusammengestellt. Es erfolgt eine Bewertung der Aussagekraft einzelner Kriterien. Dafür werden zwei konkrete Beispiele besonders bekannter Cyberangriffsgruppen angeführt.

1.3 Vorgehensweise

Zunächst erfolgt eine Begriffsklärung, in der Advanced Persistent Threats definiert und von anderen Cyberbedrohungen abgegrenzt werden. An dieser Stelle findet auch eine erste Darstellung besonders spektakulärer APT-Angriffe der letzten Jahre statt. Zudem werden die grundsätzlichen Schritte eines APT-Angriffs sowie mögliche Gegenmaßnahmen für potenzielle und tatsächliche Opfer dargestellt.

Im Anschluss beleuchtet Kapitel drei das Vorgehen bei der Attribution von Cyberangriffen. Hierfür existieren einige Analysemodelle, wie das „Diamond Model of Intrusion Analysis“ oder das „Kill Chain“-Modell, die genauer betrachtet werden. In diesem Kontext werden auch die verschiedenen Akteure, die sich mit dem Thema Advanced Persistent Threats beschäftigen – wie beispielsweise staatliche Institutionen, IT-Sicherheitsdienstleister und Sicherheitsexperten in betroffenen Unternehmen – angesprochen.

Ausgangspunkt für die Identifikation der Beschreibungskriterien bilden in Kapitel vier die zuvor dargestellten Attributionsmodelle. Die aus der APT-Definition, den vorhandenen Modellen und Analyseberichten identifizierten Kriterien werden den vier Dimensionen „Angreifer“, „Opfer“, „Fähigkeiten“ und „Infrastruktur“ des Diamant-Modells zugeordnet. Es folgt eine ausführliche Analyse der Kriterien und deren möglicher Ausprägungen.

Im Anschluss stellt Kapitel fünf zwei besonders bekannte Angriffe der letzten Jahre durch APT-Gruppen (APT 10 und APT 28) dar und ordnet diese mit Hilfe der identifizierten Beschreibungskriterien ein. Darauf folgt eine Bewertung, welche ermittelten Kriterien sich besonders gut und welche eher weniger für die Beschreibung eines APT eignen, um zu einer möglichst präzisen Attribution zu gelangen.

Die Ergebnisse der vorliegenden Arbeit werden abschließend in einem Fazit zusammengefasst. Außerdem erfolgt ein Ausblick, welche Rolle Advanced Persistent Threats in den nächsten Jahren spielen könnten.

2 Begriffsklärung

Kapitel zwei stellt die im Rahmen dieser Arbeit zentralen Begriffe vor. Zunächst wird eine Arbeitsdefinition für Advanced Persistent Threats geschaffen. Im Anschluss werden diese von anderen Cyberangriffen abgegerenzt und unter verschiedenen Aspekten genauer betrachtet.

2.1 Advanced Persistent Threat

Der Begriff Advanced Persistent Threat (kurz APT) wurde 2010 durch den IT-Sicherheitsdienstleister Mandiant geprägt. (Mandiant 2013, S. 2) Seitdem ist eine Vielzahl von Publikationen zu dieser speziellen Bedrohungsart erschienen. Eine umfassende, abschließende Definition von Advanced Persistent Threats existiert bisher nicht. Im Rahmen dieser Arbeit soll dennoch ein Begriffsverständnis hergestellt werden. Daher werden verschiedene Ansätze besonders populärer Unternehmen der IT-Sicherheitsbranche aufgegriffen und zusammengeführt.

Unter Advanced Persistent Threats werden im Allgemeinen komplexe und zielgerichtete Bedrohungen, die sich gegen ein oder wenige Opfer richten, verstanden. Die konkreten Angriffe im Rahmen dieser Bedrohungen („threats“) werden vom Angreifer aufwändig vorbereitet, sind hochentwickelt („advanced“) und dauern lange an („persistent“). Ein APT-Angriff soll nach Möglichkeit unentdeckt bleiben, um vertrauliche Daten von öffentlichen Organisationen und Unternehmen über einen längeren Zeitpunkt auszuspähen (Cyberspionage) oder anderen Schaden – zum Beispiel im Bereich der kritischen Infrastrukturen – zu verursachen (Cybersabotage). (BMI 2016, o.S; Kaspersky 2013, o.S.)

Mandiant spricht im Rahmen eines APTs auch von einer „Threat Group“ – also einer Gruppe von Personen, die zusammenarbeitet, um für sie interessante Netzwerke anzugreifen. Die verschiedenen APT-Gruppen können bestimmte Merkmale wie beispielsweise dieselben Ziele oder die Verwendung derselben Schadsoftware teilen. Damit definiert sich ein APT für Mandiant durch Personen, an denen weitere Merkmale wie in den eben genannten Beispielen festzumachen sind. (Mandiant 2013, S. 61)

Dieser personenbezogene Ansatz hat sich durchgesetzt. So geht man davon aus, dass APTs sowohl (in seltenen Fällen) von professionellen kriminellen Organisationen als auch (vor allem) von staatlichen Akteuren ausgehen. Diesen Akteuren ist direkt oder indirekt ein spezifischer Satz an Cyber-Tools-, Techniken und Verfahrensweisen (TTPs) zugeordnet. Zudem spielt die Motivation der Gruppe eine Rolle. (FireEye 2014, S.5ff.; FireEye 2017, o.S.)

Die personenbezogene Betrachtung führt jedoch zu diversen Fragestellungen in der Zuordnung eines Angriffs zu einem APT. So ist es schwierig zu sagen, ob zwei unterschiedliche Angriffe auf ein Netzwerk durch zwei verschiedene Personengruppen durchgeführt wurden, dieselbe Gruppe zu unterschiedlichen Zeitpunkten unterschiedliche Ziele oder Vorgehen verfolgte oder gar zwei unterschiedliche Gruppen zusammenarbeiteten und sich in ihrem Vorgehen ergänzten. (Mandiant 2013, S. 61)

Um einen Advanced Persistent Threat zu beschreiben, werden daher die bereits erwähnten Merkmale mit der jeweiligen Personengruppe verknüpft. Soll nun ein konkreter Angriff zugeordnet werden, gleicht man die Ausprägungen der Merkmale dieses Angriffs mit jenen typischen Merkmalen verschiedener APTs ab, um eine Zuordnung treffen zu können. Dies wird als Attribution bezeichnet.

Bei der Beschreibung von Advanced Persistent Threats nutzen Experten verschiedene Beschreibungskriterien. Die Identifikation und Bewertung möglichst vieler dieser Merkmale bzw. Beschreibungskriterien von Advanced Persistent Threats ist Kern der vorliegenden Arbeit und wird in den folgenden Kapiteln ausführlich betrachtet.

2.2 Abgrenzung zu weiteren Cyberbedrohungen

Cyber-Sicherheit gewinnt in Deutschland sowohl im Bereich des Staates als auch in der Gesellschaft an Bedeutung, was vor allem mit dem zunehmenden Grad der Vernetzung zusammenhängt. (BSI 2014, S.7) Immer mehr Organisationen und auch kritische Infrastrukturen sind an das weltweite Internet angeschlossen und in der Folge potenzielle Opfer für Cyberbedrohungen.

Der Begriff Cyberbedrohung umfasst eine Vielzahl von verschiedenen Termini, die weder rechtlich noch wissenschaftlich abschließend definiert sind. (Barkham, S.1) Im Folgenden werden zunächst die wichtigsten Begriffe dieses Spektrums kurz skizziert. Im Anschluss erfolgt eine Abgrenzung zu den in Kapitel 2.1 dargestellten Advanced Persistent Threats.

Eine mögliche Einteilung von Bedrohungen kann in sechs Cyber-Konflikttypen erfolgen: (BAKS, S.4ff.)

- Hacktivismus/ Cybervandalismus,
- Cyberkriminalität,
- Cyberspionage,
- Cybersabotage,
- Cyberterrorismus und
- Cyberkrieg.

Die Konflikttypen sind nicht immer klar abgrenzbar. Darüber hinaus kann die jeweils „intensivere“ Stufe (der höhere Eskalationsgrad) auch Aspekte niedrigerer Stufen umfassen. Beispielsweise werden einer Cyber-Sabotageoperation in der Regel auch Spionageaktivitäten zur Identifikation des Ziels vorausgehen.

Unter Hacktivismus bzw. Cybervandalismus werden Individuen und nicht-staatliche Gruppen verstanden, deren Motivlage im Bereich Protest, Selbstbestätigung oder Reputation liegt. Ihre Ziele sind Protest- oder Prestigeobjekte, die durch klassische Hackingmethoden angegriffen werden.

Cyberkriminalität beschreibt Einzeltäter oder Gruppen im Bereich der organisierten Kriminalität, die Individuen oder Unternehmen angreifen, um einen finanziellen Gewinn zu erlangen. Dies erreichen sie durch Betrug, Diebstahl oder Erpressung.

Cyberspionage kann wirtschaftlicher Natur oder politisch/militärischer Intention sein. Im ersten Fall werden Unternehmen angegriffen, um an Geschäftsgeheimnisse bzw. geistiges Eigentum zu gelangen. Die Täter sind auch meist Unternehmen, die sich Hacking-Methoden und spezieller Spähsoftware bedienen. Im politisch-militärischen Bereich werden dieselben Werkzeuge eingesetzt. Jedoch geht der Angriff von Staaten bzw. deren Beauftragten aus. Ziel sind Regierungs- bzw. Militärgeheimnisse diverser staatlicher Institutionen.

Auch Cybersabotage lässt sich in die Bereiche Wirtschaft und Politik/Militär einteilen. Die Akteure sind dieselben wie im Falle der Cyberspionage. Im wirtschaftlichen Bereich sollen Wettbewerber ausgeschaltet werden. Dies geschieht meist über die Störung der Integrität bzw. Verfügbarkeit von Systemen oder Prozessen durch Zerstörung oder zumindest Schädigung. Das gilt auch für politisch/militärische Intentionen, wenngleich hier keine wirtschaftlichen, sondern politische Ziele verfolgt werden.

Der Bereich Cyberterrorismus beschreibt Individuen oder terroristische Gruppierungen, die politische oder ideologische Ziele verfolgen und einen möglichst großen Schaden anrichten wollen. Ihre Ziele sind insbesondere kritische Infrastrukturen (KRITIS), die sie durch systematische (Gewalt-) aktionen angreifen.

Im Cyberkrieg schließlich werden Streitkräfte bzw. sogenannte „Cyber-Milizen“ betrachtet, die durch Zerstörung, Lähmung und/oder Sabotage kriegerische Auseinandersetzungen gewinnen wollen. Ihre Ziele entsprechen denen im Bereich der Cybersabotage, haben aber einen militärischen Fokus. (BAKS, S.4ff.)

Der häufig verwendete Begriff der Cyberattacke bzw. des Cyberangriffs wird im Rahmen dieser Arbeit als praktische Ausführung von einzelnen Aktionen verstanden und findet somit über das gesamte Konflikttypenspektrum Verwendung. Konkrete Cyberangriffe finden beispielsweise mit Hilfe bestimmter Schadsoftware in Form von Viren, Würmern und Trojanern statt.

Ein Virus wird als Befehlsfolge verstanden, die ein Wirtsprogramm zur Ausführung benötigt. Findet die Ausführung statt, wird eine Kopie bzw. Reproduktion oder eine modifizierte Version des Virus in einen bisher nicht befallenen Speicherbereich geschrieben. Zusätzlich ist in einem Virus meist ein Schadteil enthalten, der bedingt oder unbedingt durch einen Auslöser aktiviert wird. Ein Wurm ist in Abgrenzung zu einem Virus hingegen ein eigenständiges Programm, das sich allerdings ebenfalls vervielfältigt. Es besteht in der Regel aus mehreren Programmteilen, den sogenannten Wurm-Segmenten. Eine Vervielfältigung erfolgt selbstständig. Bei einem Trojaner handelt es sich schließlich um ein Programm, dessen implementierte Ist-Funktionalität nicht mit der angegebenen bzw. erwarteten Soll-Funktionalität übereinstimmt. Die Soll-Funktionalität wird zwar erfüllt, darüber hinaus existieren aber weitere beabsichtige Funktionalitäten.

Die angegebenen Arten von Einzelangriffen werden oft als klassische Cyberangriffe beschrieben. Zentrales Merkmal eines klassischen Cyberangriffs ist, dass er sich weit über das Internet verbreitet und in seinem Wesen und Verhalten meist konstant bleibt. Viren, Würmer und Trojaner greifen dabei jedes Opfer an, das sie finden können.

In Abgrenzung dazu sind Angriffe durch Advanced Persistent Threats – der Gegenstand der Betrachtung dieser Arbeit – aufwändig geplante und auf ein oder mehrere konkrete Opfer zugeschnittene Angriffe, bei denen der Angreifer im Vorfeld meist umfangreiche Recherchen über das Opfer und sein Netzwerk anstellt. Die Schadsoftware wird nur an die ausgewählten Opfer ausgeliefert und nicht breit verteilt. Während des Angriffs werden komplexe Techniken verwendet, um Verteidigungstechnologien zu überwinden. Nach erfolgreichem Eindringen in ein Netzwerk werden Abtarntechniken genutzt, um lange unerkannt zu bleiben und möglichst hochwertige Daten zu stehlen. Die Detektion von Advanced Persistent Threat Angriffen ist ungleich schwieriger als bei klassischen Cyberangriffen.

APTs werden als hochentwickelt bezeichnet, da ihre Werkzeuge fortschrittlicher sind als bei einfachen, auf eine große Anzahl von Opfern ausgelegten Cyberangriffen. (Kaspersky 2013, o.S.) Im Gegensatz zu klassischen Cyberangriffen – auch als Hit-and-Run-Angriffe bezeichnet, werden bei Advanced Persistent Threats gezielt Sicherheitslücken ausgenutzt. Sobald sich der Angreifer Zugriff auf das Opfersystem verschafft hat, überwacht er den Datenverkehr, um Daten auszuspähen bzw. zu stehlen. Das Vorgehen ist insgesamt aufwändiger und zielgerichteter. (Avira 2017, o.S.) Es bedarf einer kontinuierlichen Anpassung von Schadcode und anspruchsvoller Ausweichtechniken. Die Administration von APT-Angriffen erfordert meist den Einsatz von Vollzeit-Administratoren. (Rouse 2017, o.S.)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt unter anderem folgende Punkte an, die APTs von klassischen Cyberangriffen abgrenzen: (BSI 2013, S.5)

- Ziel der Angreifer ist es, einen möglichst umfassenden und langfristigen Zugang zum Netzwerk des Opfers zu erhalten, um sensible Daten zu stehlen.
- Oftmals wird dabei eine Kombination aus Social Engineering und technischen Angriffswerkzeugen genutzt.
- Es kommen in der Regel eigens auf das jeweilige Opfer zugeschnittene Schadcode-E-Mails zum Einsatz.
- APTs nutzen wenn nötig noch unbekannte Sicherheitslücken aus, für die kein Sicherheitspatch existiert.
- Oft werden Funktionen zur Tarnung und zum Verwischen der Spuren entwickelt, damit Schadprogramme möglichst lange unentdeckt bleiben. Die Schadprogramme spionieren bzw. sabotieren anhaltend.

2.3 Ablauf eines APT-Angriffs

Auch wenn sich Advanced Persistent Threats gerade durch ihr sehr individuell auf das jeweilige Opfer angepasste Vorgehen auszeichnen, gibt es Ansätze, das Vorgehen im Rahmen dieser Angriffe idealtypisch zu beschreiben.

Der Sicherheitsdienstleister FireEye sieht in seinem Artikel “Anatomy of Advanced Persistent Threats” sechs Schritte, in denen ein APT-Angriff typischerweise abläuft: (FireEye 2017, o.S.)

1. Der Angreifer erhält Zugang zum Opfersystem durch eine E-Mail-, Netzwerk-, Datei- oder Anwendungsverwundbarkeit und installiert eine Schadsoftware in das Netzwerk der angegriffenen Organisation. Das Netzwerk wird in diesem Moment als kompromittiert (“compromised”), aber noch nicht als verletzt (“breached”) betrachtet.
2. Die (besonders anspruchsvolle) Schadsoftware sucht nach Wegen für zusätzliche Netzzugänge und weiteren Schwachstellen und/oder kommuniziert mit einem CnC-Server (Command-and-Control-Server), um weitere Anweisungen und/oder weiteren Schadcode zu erhalten.
3. Die Malware schafft zusätzliche Kompromittierungspunkte, um sicherzustellen, dass der Cyberangriff fortgesetzt werdern kann, sofern eine Kompromittierung aufgedeckt und geschlossen wird.
4. Sobald der Angreifer festgestellt hat, dass er einen verlässlichen Netzwerkzugriff hergestellt hat, werden die Zieldaten wie beispielsweise Namen von Accounts und Passwörter gesammelt. Wenn die Passwörter verschlüsselt sind, wird diese Verschlüsselung nach Möglichkeit gebrochen. Sobald dies geschehen ist, kann sich der Angreifer authentifizieren und auf weitere Daten zugreifen.
5. Die Schadsoftware sammelt Daten auf einem Staging Server, exfiltiriert diese dann aus dem Netzwerk und bringt sie damit vollkommen unter seine Kontrolle. An diesem Punkt gilt das Netzwerk als verletzt.
6. Spuren und Beweise für den APT-Angriff werden entfernt, aber das Netzwerk bleibt kompromittiert. Der Angreifer kann jederzeit zurückkehren und weitere Daten stehlen.

Symantec fasst ein ähnliches Phasenmodell in Abbildung 1 zusammen:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Phasen eines APT-Angriffs laut Symantec (Symantec 2017, o.S.)

Hier werden insgesamt fünf Phasen beschrieben, wobei im Unterschied zum Ablaufmodell von FireEye in einer ersten Phase (“Reconnaissance”) zunächst Informationen über das Opfer und sein System gesammelt werden, um diese optimal zu verstehen. Erst im Anschluss erfolgt unter Nutzung von Social Engineering der eigentliche Einbruch in das System (“Incursion”) gefolgt von einer Phase, in der der Angreifer langsam und vorsichtig das System von innen erkundet und weitere Kommunikationskanäle etabliert, um einen persistenten Systemzugriff zu erhalten (“Discovery”). In den weiteren zwei Phasen (“Capture”, “Exfiltration”) kommt die eigentliche Malware zum Einsatz, Daten werden gesammelt und an das Angreifersystem geschickt.

Der Aspekt des Verwischens von Spuren wird bei Symantec (im Vergleich zum FireEye-Modell) nicht beschrieben, spielt aber trotzdem sicherlich eine zentrale Rolle – gerade wenn es sich um einen Angriff im Rahmen von Cyberspionage handelt. Der Angreifer wird darauf achten, das Eindringen in das Netzwerk geheim zu halten, da im Falle einer Aufdeckung der Aktivitäten die gestohlenen Informationen schnell an Wert verlieren können. Zudem muss die Identität des Angreifers geheim bleiben, um mögliche Realwelt-Konflikte in Folge des Angriffs zu vermeiden. Dies gilt nicht nur für Cyberspionage sondern auch im Rahmen von Cybersabotage-Operationen. (Arntz 2016, o.S.)

Idealtypische Abläuf von APT-Angriffen werden auch von Attributionsmodellen (Attribution in diesem Zusammenhang = Zuodnung von konkreten Angriffen zu einem APT) aufgegriffen. Eine Beschreibung der bekanntesten Modelle findet in Kapitel drei statt.

2.4 Beispiele für bekannte Advanced Persistent Threats

Im Folgenden werden nun einige besonders bekannte Cyberangriffe, die der Kategorie der Advanced Persistent Threats zugeordnet werden können, und in der Vergangenheit große mediale Aufmerksamkeit erhielten, kurz dargestellt. Eine ausführliche Beschreibung zweier ausgewählter APTs anhand der im Rahmen dieser Arbeit identifizierten Beschreibungskriterien erfolgt in Kapitel fünf.

APT 1:

Eine der bekanntesten mutmaßlich chinesischen APT-Gruppen stellt APT 1 dar. Durch den ausführlichen Bericht zu APT 1 des IT-Sicherheitsdienstleisters Mandiant (heute FireEye) wurde auch der APT-Begriff geprägt. Presseberichten zufolge wurden sechs Unternehmen aus den Bereichen Atomkraft, Solartechnik und Metallproduktion durch die Gruppe APT 1 angegriffen. (Wagenseit 2014, o.S.)

Operation Aurora:

Im Jahr 2009 wurden Sicherheitslücken des Microsoft Internet Explorers ausgenutzt, um an Quellcode und weiteres geistiges Eigentum von Google zu gelangen. Es waren etwa 30 weitere Weltkonzerne betroffen. Die Angriffe werden ebenfalls der Volksrepublik China zugeordnet. (Kaspersky 2012, S.3)

Stuxnet:

Die Stuxnet-Malware wurde speziell entwickelt, um SCADA (Supervisory Control and Data Acquisition)-Systeme der Zentrifugen zur Urananreicherung im Iran zu identifizieren und zu zerstören. Die Schadsoftware war erfolgreich und verursachte ein unkontrolliertes Arbeiten der Maschinen bis hin zur Selbstzerstörung. Allerdings wanderte Stuxnet über die Ziele im Iran hinaus und infizierte weitere SCADA-Systeme in anderen Teilen der Welt. Zusammen mit der medialen Aufmerksamkeit um Stuxnet wurde im Jahr 2010 der APT-Begriff populär. Ursprünglich wurde Stuxnet als Wurm bezeichnet. Bei der Aufarbeitung des Vorfalls stellte sich allerdings heraus, dass der Angriff hochkomplexe Elemente enthielt und der Begriff Computerwurm die verwendete Malware nicht auseichend beschreibt. Als Urheber gelten die USA mit Unterstützung Israels. (Netzwoche 2015, S.28)

Angriff auf Energieversorger in der Ukraine:

In der Ukraine fiel im Dezember 2015 für mehr als 80.000 Menschen mehrere Tage lang der Strom aus. Ursache waren laut Aussage zweier großer Energieversorger Hackerangriffe. Die ukrainischen Behörden und internationale Sicherheitsexperten vermuten hinter diesem ersten öffentlich gewordenen erfolgreichen Angriff auf das Energienetz einen gezielten Angriff Russlands. (ChannelObserver 2016, o.S.)

Angriff auf Sony Pictures:

Im November 2014 hatte ein Cyberangriff so gravierende Folgen, dass das komplette Computernetzwerk des Filmstudios Sony Pictures für Wochen nicht nutzbar war. Zudem wurde eine große Menge an vertraulichen E-Mails aus dem System ausgeleitet. Die Veröffentlichung dieser Mails stellte einflussreiche Größen des Filmgeschäfts bloß. Hinter den Angriffen wird Nordkorea vermutet. (ChannelObserver 2016, o.S.)

Angriff auf Yahoo:

Der Angriff auf Yahoo stellt den bisher größten bekannt gewordenen Datendiebstahl durch Hackerangriffe dar. Angreifer verschafften sich Zugang zu Informationen von mindestens einer Milliarde Kunden des Internet-Konzerns. Darunter waren Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Obwohl der Angriff bereits 2014 stattfand, wurde er erst im September 2016 bekannt. Die Hintergründe sind unklar. (ChannelObserver 2016, o.S.)

APT 28 (“Sofacy”):

Im Mai 2015 wurden erfolgreiche Angriffe auf das Computernetz des Deutschen Bundestages festgestellt. Der Zugang war so weitreichend, dass die gesamte IT-Infrastruktur ausgetauscht werden musste. Hinter den Angriffen wird die mutmaßlich russische Gruppe APT 28 vermutet. Ihr werden Verbindungen zu russischen Nachrichtendiensten nachgesagt. Dieselbe Gruppe soll auch hinter den Hackerangriffen auf den Stabschef von Hillary Clinton, John Podesta, im US-Wahlkampf 2016 stecken. Nach dem Cyberangriff wurden vertrauliche E-Mails von Clinton in der Schlussphase des Wahlkampfes veröffentlicht. (ChannelObserver 2016, o.S.) Anfang 2017 beschuldigten die USA noch unter der Führung von Barack Obama offiziell Russland in den Präsidentschaftswahlkampf durch Cyberangriffe eingegriffen zu haben.

2.5 Schutz- und Gegenmaßnahmen

Eine “einfache” Schutzstrategie (ohne vollkommene Abschottung vom öffentlichen Internet) gegen Advanced Persistent Threats gibt es auf Grund von deren Komplexität nicht. Es können aber Sicherheitsvorkehrungen getroffen werden, um die Gefahr, Opfer eines solchen Angriffs zu werden, zu minimieren. Traditionelle IT-Sicherheitsmaßnahmen wie Firewalls und Antiviren-Produkte reichen nicht aus, um sich wirksam gegen Advanced Persistent Threats zu verteidigen. Wichtig ist eine Kombination von Prozessen, Technologien und vorsichtigem, aufgeklärtem menschlichen Handeln. (Kaspersky 2013, o.S.)

Laut Schmitt (2014, o.S.) zählen zu den möglichen Schutzmaßnahmen unter anderem

- das Kennen der eigenen Infrastruktur,
- eine regelmäßige Evaluation des Sicherheitskonzeptes und Updates,
- die Durchführung von Penetrationstests durch unabhängige, objektive Dritte und
- die Durchführung von Schulungen zum Thema IT-Sicherheit und Datenschutz.

Wichtig ist die Sicherstellung der Aktualität von Patches und Updates aller Systemkomponenten einschließlich aktueller Browsersoftware, um diese auf dem neuesten Sicherheitsstand zu halten. (Kaspersky 2013, o.S.)

Haupteinfallstor für Advanced Persistent Threats sind Spear Phishing E-Mails. Ein essenzieller Teil der Schutzstrategie sollte es also sein, den E-Mail-Verkehr technisch zu überwachen, um Auffälligkeiten festzustellen. (Proofpoint 2017, o.S.) Ein ebenso wichtiger Teil der Strategie sollte aber auch die Sensibilisierung der eigenen Mitarbeiter für die Bedrohung durch maliziöse Inhalte in E-Mails sein. Hierzu können eine ganze Reihe von Präventionsmaßnahmen wie zum Beispiel spezielle Schulungen eingesetzt werden.

Ist ein Angreifer erst im System, versucht er Persistenz sicherzustellen und mehrere Kommunikationswege einzurichten. Zudem verwischt er seine Spuren. (Proofpoint 2017, o.S.) Auch wenn die Identifikation von APT-Angriffen schwierig ist, so ist die restlose Beseitigung jeglicher Spuren diffizil. Das Beobachten von ausgehenden Daten aus dem eigenen Netzwerk ist die vermutlich zielführendste Strategie, um herauszufinden, ob das Netzwerk Ziel eines APT-Angriffs geworden ist. (Rouse 2017, o.S.) Zudem müssen Logdateien überwacht und Systemverhalten, das von der Norm abweicht, erkannt werden. (Proofpoint 2017, o.S.)

Immer mehr IT-Sicherheitsunternehmen bieten als Reaktion auf die immer weiter steigende Zahl an Advanced Persistent Threats sogenannte “Threat Intelligence” in ihrem Portfolio an. Dabei handelt es sich um Informationen zu anspruchsvollen Cyberbedrohungen wie Schadprogrammen oder den Tätergruppen. In der Regel werden dabei keine Programme, sondern Daten zu diesen Bedrohungen verkauft. (Steffens 2016, o.S.)

Auf operativer Ebene zählen dazu regelmäßig aktualisierte Feeds von Signaturen wie beispielsweise Adressen von Command-and-Control-Servern oder die MD5-Hashwertsummen von Schadprogrammen. Diese übergebenen Daten werden auch als Indicators of Compromise (IOCs) bezeichnet. Mit ihnen können Netzwerk-Kompromittierungen erkannt werden. Die hersteller- und produktunabhängigen Signaturen werden vom Kunden selbst in seine bereits existierenden IT-Sicherheitskomponenten eingepflegt. Die Firewalls, SIEMs oder andere Sicherheitsprodukte können die Daten dann zusätzlich zu ihren eigenen Funktionen verwenden und so IT-Sicherheitsvorfälle detektieren. (Steffens 2016, o.S.)

Sobald ein Alarm auf Grund der eingekauften IOCs ausgelöst wird, muss allerdings das eigene Sicherheitspersonal des Kunden aktiv werden und Gegenmaßnahmen einleiten. Problematisch ist auch die Menge an IOCs, mit denen Nutzer konfrontiert werden. Die jeweilige Relevanz für das eigene Netzwerk abzuschätzen ist dabei nicht trivial. Weiterhin bleibt zu diskutieren, welchen Wert breit verteilte Daten noch haben, da auch Tätergruppen mutmaßlich regelmäßig prüfen, ob ihre Schadprogramme von gängigen Programmen erkannt werden und ihr Verhalten entsprechend anpassen.

Eine Alternative stellen Zusammenschlüsse tatsächlicher und potenzieller Betroffener beispielsweise innerhalb bestimmter Branchen dar, die einen nicht-kommerziellen Austausch von IOCs im kleinen Kreis durchführen. Dafür existieren einige Open-Source-Austauschplattformen wie beispielsweise MIST (Malware Sharing Information Platform), auf denen in verschiedenen Austauschgruppen Sicherheitsteams von gegenseitigen Erfahrungen profitieren. Dies ist sinnvoll, da mitunter mehrere Unternehmen einer Branche zu Opfern einer bestimmten APT-Angriffskampagne werden. Entdeckt ein Unternehmen solch einen Angriff, können anderen Unternehmen aus derselben Branche entsprechende Signaturen zur Verfügung gestellt werden. Durch den gegenseitigen Austausch profitieren damit alle Mitglieder einer solchen Gruppe. (Steffens 2016, o.S.)

Die Angebote von IT-Sicherheitsdienstleistern gehen aber auch teilweise über das operative Level hinaus. Auf taktischer Ebene handelt es sich bei ihnen um Beschreibungen der Vorgehensweise von Tätergruppen (TTPs: Tactics, Tools and Procedures). Hier erfolgt auch eine Relevanzbewertung. Schießlich werden auch strategische Informationen wie geopolitische Dossiers angeboten, die erklären sollen, welche Täter in welchen Branchen und Regionen aktiv sind. Diese Informationen können sinnvoll sein, um hier besonders zu sensibilisieren. (Steffens 2016, o.S.)

Die deutsche Politik reagierte in der Vergangenheit auf die komplexe Bedrohungsart der Advanced Persistent Threats. Schon im Jahr 2012 wurde das “Nationale Cyberabwehrzentrum” (NCAZ) unter der Aufsicht des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) eingerichtet. Es dient dem Schutz von Wirtschaft und Politik vor Hackerangriffen. Zudem wurde mit dem IT-Sicherheitsgesetz eine Meldepflicht für bestimmte sicherheitskritische Einrichtungen eingeführt, die von Cyberangriffen betroffen sind.

3 Attribution von Advanced Persistent Threats

Neben Prävention und Detektion ist die Attribution eine Kernherausforderung bei der Beschäftigung mit Advanced Persistent Threats. Es handelt sich dabei um eine Urheberschaftsermittlung, also eine Zuordnung, von wem ein Cyberangriff durchgeführt wurde. (Eissing 2016, S.491)

Problematisch ist diese Zuordnung schon auf Grund der Möglichkeit, anonym im Netz agieren und Cyberangriffe durchführen zu können. Der Angreifer ist grundsätzlich bestrebt, seine Urheberschaft zu verbergen. Dies kann er durch besonders unauffälliges Verhalten, das Verwischen von Spuren oder das Legen falscher Spuren (sogenannter “False Flag Attacken”) erreichen. Bei Letzteren wird ganz bewusst eine falsche Fährte gelegt, um den Tatverdacht auf eine andere Gruppe oder ein anderes Land zu lenken. (Krieger 2012, S.4)

Besonders staatliche Stellen haben nach der Detektion von Cyberangriffen – was meist bereits selbst schon eine Herausforderung ist – die Aufgabe, den Angriff richtig zuzuordnen, also zu attributieren, um in der Folge angemessen reagieren zu können. (Eissing 2016, S.491)

Bevor die verschiedenen Akteure betrachtet werden, welche sich mit der Attribution beschäftigen, soll das grundsätzliche Vorgehen bei der Attribution von Cyberangriffen kurz dargestellt werden. Im Anschluss erfolgt die Vorstellung verschiedener Attributionsmodelle aus der Praxis.

3.1 Vorgehen bei der Attribution

Greift ein Staat einen anderen Staat mit Hilfe konventioneller Waffen an, ist der Täter schnell zu bestimmen: Bei einem Raketenangriff kann beispielsweise anhand von Satellitenbildern rekonstruiert werden, wo der Ursprung eines Angriffs liegt. Bei digitalen Angriffen is es ungleich schwieriger. (Brühl und Hakan 2016, S.2)

IT-Forensik im Zusammenhang mit Cyberangriffen beschreibt die Spurensuche in oft tausenden von Zeilen Programmiercode einer vom Angreifer verwendeten Schadsoftware. Auf diese Art und Weise kann festgestellt werden, wie ein Angriff durchgeführt wurde – die Frage, wer ihn durchgeführt hat, bleibt aber zunächst offen. (Brühl und Hakan 2016, S.2)

Bei der Attribution von Cyberangriffen geht es aber genau um die Frage nach dem Urheber. Im Falle von staatlichen Angriffen durch Cyberspionage oder Cybersabotage ist das Ziel der Attribution eine geografische Zuordnung. Bei Fällen von organisierter Cyberkriminalität soll nach Möglichkeit eine konkrete Person oder Personengruppe als Täter ausfindig gemacht werden.

Im Rahmen dieser Arbeit werden Advanced Persistent Threats betrachtet, die schon von ihrer Definition her bestrebt sind, eine Entdeckung und vor allem Aufdeckung ihrer Urheberschaft zu verhindern. Der Attributionsprozess des Cyberangriffs einer APT-Gruppe ist damit noch komplexer.

Einen eindeutigen Beweis für eine Urheberschaft gibt es selten. Stattdessen versucht man, möglichst viele Details verschiedener Angriffe des mutmaßlich selben Angreifers zu sammeln und auf Grund von Ähnlichkeiten zu einem gemeinsamen Bild zusammenzufügen, aus dem sich die Beschreibung für einen APT ergibt. Ein Advanced Persitent Threat erhält so über die Zeit ein gewisses Set von Eigenschaften (beispielsweise zur Intention oder Details der Vorgehensweise). So können weitere konkrete Cyberangriffe mit einer immer größeren Wahrscheinlichkeit einem bestimmten Akteur zugeordnet werden, wodurch sich wiederum das Bild dieses APTs verfeinern lässt. (FireEye 2016,S.12)

Je genauer ein APT beschrieben werden kann, desto eher ist es in der Folge möglich, auch zwischen diesen verschiedenen APT-Gruppen Ähnlichkeiten zu erkennen. Beauftragt ein Staat zum Beispiel mehrere unterschiedliche Gruppen mit Angriffen auf dasselbe oder verschiedene Ziele und arbeiten diese Gruppen in gewisser Weise miteinander zusammen (im selben Büro, über die Nutzung derselben Angriffswerkzeuge etc.), können diese Verbindungen durch sehr konkrete Beschreibungen der einzelnen Gruppen erkannt und aufgedeckt werden. Dem konkreten Urheber oder Auftraggeber der Angriffe kommt man auf diese Art und Weise Stück für Stück näher. (FireEye 2016, S.12)

Ein erster Schritt bei der Attribution fortgeschrittener Cyberangriffe ist also die Zuordnung zu einer Tätergruppe – dem APT. Dazu bedarf es zunächst der Festlegung von Merkmalen, anhand derer ein Advanced Persistent Threat beschrieben werden kann.

In Kapitel vier werden häufig verwendete Beschreibungskriterien (Merkmale) für Advanced Persistent Threats identifiziert und analysiert sowie im späteren Verlauf dieser Arbeit bewertet.

3.2 Akteure

Zu den Beobachtern von Advanced Persistent Threats zählen zunächst natürlich potenziell und tatsächlich Betroffene - also Unternehmen, Regierungsorganisationen usw. Daneben gibt es IT-Sicherheitsdienstleister, die den Schutz vor Cyberangriffen als Geschäftsmodell anbieten und schließlich staatliche Stellen, die mit dem Schutz, der Aufklärung und einer eventuellen Reaktion auf elektronische Angriffe beauftragt sind.

Betroffene

Die Gefahr, Opfer eines APT-Angriffs zu werden, besteht grundsätzlich für jedes Unternehmen und jede Organisation, die eine herausgehobene Stellung beispielsweise im Bereich der kritischen Infrastrukturen (KRITIS) einnimmt und/oder besonders wertvolle Informationen besitzt, die schützenswert sind. Dazu zählt geistiges Eigentum, z.B. zu Sicherheitsstrukturen in Kraftwerken, zur Herstellung von Hochtechnologie, geheime Rezepturen oder aber auch Informationen, die im Rahmen politischer Abstimmungsprozesse entstehen.

Die IT-Sicherheitsverantwortlichen haben die Aufgabe, ihre Organisation vor APTs zu schützen. Viele (potenziell) Betroffene sind sich der Gefahren durch Advanced Persistent Threats allerdings gar nicht bewusst. Staatliche Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundeamt für Verfassungsschutz (BfV) bieten im Rahmen des Wirtschaftsschutzes Sensibilisierungs- und Präventionsmaßnahmen an. Ziel ist es, den Orgnisationen Wissen an die Hand zu geben, wie APT-Angriffe vermieden oder zumindest im Nachhinein erkannt werden können.

Die Unternehmen und anderen Organsationen haben beispielsweise die Möglichkeit, ihre Netzwerke nach sogenannten Indicators of Compromise (IOCs) zu durchsuchen, um in der Vergangenheit bei anderen Organisationen erkannte Schadsoftware aufzuspüren. Diese IOCs kann ein Unternehmen von Sicherheitsbehörden, von IT-Sicherheitsunternehmen sowie teilweise öffentlich zugänglich im Internet beziehen.

Für bestimmte Unternehmen im Bereich KRITIS besteht zudem mit dem neuen IT-Sicherheitsgesetz eine Meldepflicht für erkannte Cyberangriffe. Sie sind damit schon von rechtlicher Seite her gezwungen, sich mit dem Thema auseinanderzusetzen.

IT-Sicherheitsdienstleister

Den Schutz vor Advanced Persistent Threats bieten vor allem IT-Sicherheitsdienstleister an. Zahlreiche Unternehmen dieser Branche haben die sogenannte “Threat Intelligence” als Geschäftsfeld erkannt. Bei Threat Intelligence handelt es sich um Informationen über Cyberbedrohungen wie Tätergruppen oder deren eingesetzte Schadprogramme. (Steffens 2016, o.S.)

Einige Unternehmen liefern Software, die Angriffe anhand der eingespeicherten Signaturen erkennen soll. Ein Beispiel ist das Unternehmen FireEye, dessen “Threat Protection Platform” zur Erkennung von APT-Angriffen laut eigenen Angaben in tausenden von sensiblen Netzwerken weltweit installiert ist. Die FireEye-Sensoren werden hinter den klassischen Abwehrwerkzeugen wie Firewalls, Antivirenprogrammen oder Intrusion-Prevention-Systemen (IPS-Systemen) eingesetzt. Die von den Systemen erkannten Angriffe haben also bereits klassische Schutzmaßnahmen durchdrungen und können als besonders anspruchsvoll eingestuft werden. Die notwendigen Daten entstehen bei den Anbietern von IT-Sicherheitsprodukten ohnehin durch eigene Analysen oder die Rückmeldungen der Daten aus den bei Kunden eingesetzten Sensoren. (FireEye 2014 c, S.5)

In der Regel handelt es sich bei der verkauften “Threat Intelligence” aber um Informationen und nicht um Software. (Steffens 2016, o.S.) Die verschiedenen Angebote auf operativer, taktischer und strategischer Ebene wurden bereits in Kapitel 2.5 beschrieben.

Neben kostenpflichtigen Informationen werden auch kostenlose Berichte zu Advanced Persistent Threats zur Verfügung gestellt. Unternehmen wie FireEye, Trendmicro oder Kaspersky veröffentlichen regelmäßige Bedrohungsanalysen in ihren Blogs. Dies dient sicherlich zu einem nicht unerheblichen Teil der Darstellung der eigenen Fachkompetenz.

Zu den besonders renommierten Unternehmen im Bereich der Threat Intelligence gehören zusätzlich zu den bereits genannten unter anderem auch Palo Alto Networks, Symantec, Crowdstrike, Cylance, Dell Secure Networks, Cisco und BAE Systems. Da der Markt sich ständig weiterentwickelt, ist diese Liste nicht abgeschlossen.

Die Unternehmen beobachten einzelne Advanced Persistent Threats und vergeben in der Regel für jede Gruppe einen eigenen Namen. So werden mutmaßlich chinesische APT-Gruppen von Crowdstrike beispielsweise als verschiedene “Pandas” bezeichnet – “Comment Panda”, “Putter Panda” und “Gothic Panda” sind am bekanntesten. Mandiant (ein von FireEye aufgekauftes Unternehmen) verwentete als erstes “APT x” als Bezeichnung, wobei derzeit APT 1 bis APT 32 dort beobachtet werden. Da diverse Gruppen von unterschiedlichen Unternehmen beobachtet werden, gibt es für einen APT jeweils auch viele verschiedene synonym zu verwendende Bezeichnungen.

Durch die Vielzahl der am Markt agierenden Dienstleister ist es nicht trivial, alle verfügbaren öffentlichen Informationen zu einem APT zu sammeln. Teilweise existieren zehn und mehr Namen für ein und dieselbe Gruppe.

Das Open Source Projekt “APT Groups and Operations” ist der Versuch, eine Referenz über die unterschiedlichen Namen von APTs und entsprechender Quellen (Links zu Berichten, Analysen und Blogartikeln der IT-Sicherheitsdienstleister) zu schaffen. Ausgehend von einem bekannten Namen kann dort nach Synonymen und weiteren Informationen gesucht werden. In den Abbildungen 2 und 3 sind Screenshots der Webseite - exemplarisch für mutmaßlich chinesische und mutmaßlich russische Gruppen - dargestellt. In der linken Spalte steht jeweils der bekannteste bzw. am weitesten verbreitete Name einer Gruppe. In den anderen Spalten finden sich die entsprechenden Synonyme und weitere Informationen. Das Projekt ist nach Ländern strukturiert, von denen Angriffe der Gruppen mutmaßlich ausgehen. Hier ist bereits zu sehen, dass die meisten Advanced Persistent Threats einen chinesichen oder russischen Ursprung zu haben scheinen. Aber auch aus dem Iran, Israel und Nordkorea werden zahlreiche Angriffe beobachtet.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Namen mutmaßlich chinesischer APT-Gruppen (Roth 2017, o.S.)

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Namen mutmaßlich russischer APT-Gruppen (Roth 2017, o.S.)

Staatliche Akteure

Zur Beschreibung des Umgangs staatlicher Stellen mit Cyberangriffen muss zunächst festgestellt werden, dass die völkerrechtliche Einordnung dieser Angriffe nicht trivial ist. Zum einen besteht die Frage, ob staatlich gelenkte Cyberangriffe auf kritische Infrastrukturen wie beispielsweise Energieversorger oder äquivalente Ziele völkerrechtlich einen „bewaffneten Angriff“ darstellen. Zum anderen muss geklärt werden, was überhaupt zu kritischen Infrastrukturen zählt. Ein bewaffneter Angriff könnte ein Selbstverteidigungsrecht – auch mit kinetischen Waffen – zur Folge haben. Weiterhin ist unklar, ob Staaten für Cyberangriffe, die von ihrem Territorium, aber durch beauftragte Einzeltäter (bzw. Gruppen) ausgehen, für einen solchen Angriff verantwortlich gemacht werden können. (Eissing 2016, S.491)

Der Umgang mit Advanced Persistent Threats ist auf Grund der unklaren Rechslage von Land zu Land unterschiedlich. In Deutschland sind bisher noch keine Cyberangriffe registriert worden, die in ihrer Qualität als staatlich gelenkte Cyber-Kriegsakte angesehen werden müssen. Niederschwelligere Angriffe gibt es jedoch täglich und mit zunehmender Intensität. Die deutschen Sicherheitsbehörden reagieren auf verschiedenen Ebenen auf diese Angriffe. Die Sicherheitsarchitektur unseres Landes gibt vor, dass militärisches, polizeiliches und nachrichtendienstliches Handeln zu trennen sind. Zudem gibt es unterschiedliche Zuständigkeiten auf Bund- und Länderebene im Rahmen des Föderalismus. Beschränkt man sich auf die „sicherheitspolitischen“ Akteure, so gibt es bereits mehr als 40 Stellen, die sich mit Cyberangriffen beschäftigen. Laut Eissing (2016, S.491ff.) sind die wesentlichen Akteure:

- das Bundesamt für Sicherheit in der Informationssicherheit (BSI)
- das Bundesamt für Verfassungsschutz (BfV) sowie 16 Landesämter für Verfassungsschutz (LfVs)
- der Bundesbeauftragte für den Datenschutz (BfDI)
- das Bundeskriminalamt (BKA) sowie 16 Landeskriminalämter (LKÄ) oder Landespolizeien
- der Bundesnachrichtendienst (BND)
- der Militärische Abschirmdienst (MAD)
- das Kommando Strategische Aufklärung (KSA)
- die Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) - Schwerpunkt ist die Bekämpfung des islamischen Terrorismus
- das Nationale Cyber-Abwehrzentrum (NCAZ)

Die teilweise parallelen Zuständigkeiten erschweren eine effiziente Bearbeitung von Cyberbedrohungen, da jeweils Informationsverluste bei der Zusammenarbeit entstehen können. 2011 wurde das Nationale Cyber-Abwehrzentrum (NCAZ) gegründet, um dieser Herausforderung zu begegnen. Das NCAZ soll als Informationsdrehscheibe die operative Zusammenarbeit verschiedener Behörden unterstützen. (Eissing 2016, S.491)

Ziel der staatlichen Bearbeitung von Cyberangriffen – und speziell von Advanced Persistent Threats – ist neben der Attribution eine Sensibilisierung gefährdeter Stellen im Rahmen von Präventionsmaßnahmen.

3.3 Attributionsmodelle

Im Folgenden werden die praxisrelevanten Attributionsmodelle “Diamond Model of Intrusion Analysis”, das “Kill Chain”-Modell und weitere Modelle zur Attribution von Cyberangriffen vorgestellt.

3.3.1 Das „Diamond Model of Intrusion Analysis“

Verschiedene wissenschaftliche Modelle werden als Diamant-Modelle bezeichnet. Ihnen gemeinsam ist, dass mehrere Dimensionen eines zu betrachtenden Zusammenhangs in Abhängigkeit gebracht werden. Im Zusammenhang mit der Analyse von Cyberangriffen wird eine spezielle Vaiante eines solchen Diamant-Modells genutzt: das “Diamond Model of Intrusion Analysis”.

Das “Diamond Model of Intrusion Analysis” (im Folgenden verkürzt Diamant-Modell genannt) geht auf Sergio Caltagirone, Andrew Pendergast und Christopher Betz, Mitarbeiter des “Center for Cyber Threat Intelligence and Threat Research” in den USA zurück und stammt aus dem Jahr 2013. Die Autoren entwickelten das Modell als Ergebnis ihrer langjährigen Analyse von komplexen Cyberangriffen, um einen strukturierten Weg zur Analyse dieser Angriffe aufzuzeigen.

Das Modell stellt den konkreten Angriff (“Event”) in den Mittelpunkt und gibt vier Dimensionen vor, mit denen ein Angriff beschrieben werden kann:

- Angreifer (“adversary”)
- Infrastruktur (“infrastructure”)
- Fähigkeiten (“capability”)
- Opfer (“victim”)

Kerngedanke dabei ist, dass der Angreifer seine Fähigkeiten nutzt, um über bestimmte Infrastruktur ein Opfer anzugreifen. Dieser Zusammenhang wird insgesamt als das Event angesehen. (Betz, Caltagirone und Pendergast 2013, S.3)

In der grafischen Darstellung sind die vier Dimensionen in die Form eines Diamanten gebracht, um die jeweiligen Verbindungen zwischen ihnen abzubilden, wodurch sich auch der Name des Modells ergibt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Das Diamant-Modell (Betz, Caltagirone und Pendergast 2013, S.9)

Tritt ein Event ein, kann ein Analyst (oder eine Maschine) die vier Dimensionen mit entsprechenden Erkenntnissen füllen. Das Event selbst stellt meist nur einen Schritt in einer Serie von Operationen dar, die der Angreifer gegen sein Opfer ausführen muss, um seine Ziele zu erreichen. (Betz, Caltagirone und Pendergast 2013, S.3)

Das Modell definiert zusätzlich sogenannte „Meta Features“, um über ein einzelnes Event hinausgehend diese größeren Zusammenhänge wie Angriffskampagnen (zusammenhängende Einzelangriffe) oder (Angreifer-) Gruppierungen darzustellen. (Betz, Caltagirone und Pendergast 2013, S.1ff.)

Es soll einen allgemeinen Rahmen der Angriffs-, Kampagnen- und Angreiferanalyse vorgeben und dabei genug Raum und Flexibilität für neue Konzepte und Ideen in deren Analyse zulassen.

Das Diamant-Modell ist ein erster Ansatz einer formalen Methode, die auf wissenschaftlichen Prinzipien aufsetzt. Dazu zählen in erster Linie Messbarkeit, Überprüfbarkeit und Reproduzierbarkeit. Dieser wissenschaftliche Anspruch in der Herangehensweise soll die Effektivität, Effizienz und Genauigkeit der Analyse verbessern.

Da die vier zentralen Dimensionen Angreifer, Opfer, Fähigkeiten und Infrastruktur im Diamant-Modell nachweislich gut genutzt werden können, um Cyberangriffe und Angriffsserien zu beschreiben, sollen sie auch im Rahmen dieser Arbeit als Ausgangspunkt der Beschreibung von Advanced Persistent Threats dienen. Das Ziel, Kriterien zur Beschreibung von Advanced Persistent Threats zu identifizieren und zu analysieren, wird im Folgenden in Kapitel vier Schritt für Schritt anhand dieser vier Dimensionen erfolgen. Einzelne Kriterien werden dabei den vier Dimensionen zugeordnet.

3.3.2 Das „Kill Chain“-Modell

Das Cyber-“Kill Chain”-Modell geht auf eine wissenschaftliche Arbeit von Lockheed Martin aus dem Jahr 2011 zurück (Hutchins, Cloppert and Amin 2011, S.1ff.) und zählt zu den bekanntesten Modellen im Bereich der IT-Sicherheit und Attribution von Cyberangriffen. Es beschreibt die Schritte eines Angreifers bei der Kompromittierung eines Netzwerkes und des Diebstahls von Informationen. (MacGregor 2015, o.S.)

Das originäre Modell unterteilt einen unberechtigten externen Netzwerkzugriff in folgende sieben Phasen: (Haas und Augsten 2015, o.S.; MacGregor 2015, o.S.)

1. Auskundschaftung (“Reconnaissance”): Informationen zum Zielobjekt werden mit Hilfe verschiedener Techniken gesammelt (E-Mail-Adressen, Organisationsstrukturen, Arbeitsroutinen etc.).
2. Bewaffnung (“Weaponise”): Die geeigneten Angriffswerkzeuge und die passende Angriffsroute werden ausgewählt.
3. Zustellung (“Deliver”): Die schädlichen Inhalte werden über den bereitstehenden Übertragungsweg (z.B. E-Mail, Web, USB-Stick) verteilt.
4. Zugriff (“Exploit”): Vorhandene Schwachstellen werden ausgenutzt, um Schadsoftware zu aktivieren.
5. Installation (“Install”): Die Schadsoftware setzt sich auf dem jeweiligen Zielsystem fest.
6. Rückkopplung (“Command&Control”): Die Schadsoftware nimmt Kontakt zum Command-and-Control-Server auf, um dem Angreifer die Kontrolle über das Zielsystem zu ermöglichen.
7. Zielerreichung (“Act on Objectives”): Der ursprüngliche Plan des Angreifers wird ausgeführt.

Abbildung 5 fasst die sieben Phasen der Kill-Chain zusammen:

[...]

Ende der Leseprobe aus 108 Seiten

Details

Titel
Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats
Hochschule
Universität Duisburg-Essen
Note
1,0
Jahr
2017
Seiten
108
Katalognummer
V369926
ISBN (eBook)
9783668497269
ISBN (Buch)
9783960951063
Dateigröße
10839 KB
Sprache
Deutsch
Schlagworte
cyberbedrohungen, eine, analyse, kriterien, beschreibung, advanced, persistent, threats
Arbeit zitieren
Anonym, 2017, Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats, München, GRIN Verlag, https://www.grin.com/document/369926

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden