Advanced Persistant Threats (APT) sind der Feind eines jeden Unternehmens. Anders als andere Angriffsarten, wo es meist um Erpressung von Geld oder Sabotage geht, versuchen Angreifer bei einem APT möglichst lange unbemerkt in einem Netzwerk zu agieren. Hier steht die Industriespionage im Vordergrund. Es sollen möglichst viele Informationen gesammelt werden. Generell kann zwischen hauptsächlich drei Schritten bei einem solchen Angriff auf ein Unternehmen unterschieden werden.
Schritt 1: Unbemerkt etablieren
Der wohl schwierigste Schritt aus Sicht des Angreifers ist das Eindringen und Etablieren in einem Unternehmensnetzwerk. Häufig wird hier die Methode des Spear-Phishings oder Social Engineerings verwendet. Beim ersten Schritt verwendet die APT Hackergruppe somit kluges Soziales interagieren mit den Mitarbeitern des Unternehmens, um Sie ggf. per Telefon, Mail oder sogar persönlich vor Ort dazu zu bewegen, eine Datei für Sie zu öffnen oder einen USB-Stick einzustecken.
Der USB-Stick könnte zum Beispiel die „Verträge“ beinhalten, welche für das nächste persönliche Meeting ggf. zur Unterzeichnung kommen sollen. Die Datei oder der USB-Stick enthält Malware, welche zunächst nur den eigenen Computer infiziert. Dieser wird dann ein Ausgangsstützpunkt für die Angreifer, von dem aus eine Hintertür zu den Angreifern etabliert wird.
Schritt 2: APT erweitern
Nachdem sich ein Stützpunkt im Unternehmensnetzwerk geschaffen wurde, wird versucht, diesen möglichst weit zu erweitern. Dies Dient dem Zweck nicht nur die Informationen eines einzelnen Computers zu sammeln, sondern auch das gesamte Unternehmenssystem kontrollieren zu können. Dazu zählt auch das Erlangen von Administratorrechten und knacken von wichtigen Passwörtern. Der Vorgang den APT zu erweitern, kann mehrere Wochen dauern.
Schritt 3: Sammeln
Nachdem das Administratorpasswort geknackt ist, kann sich die Angreifergruppe frei im Netzwerk bewegen. Nun werden spezielle Ziele gesucht, welche sich zusätzlich für eine Infektion lohnen. Dies kann zum Beispiel der Programmierserver mit unveröffentlichtem Code sein.
Dort lassen sich jegliche Informationen über das von dem Unternehmen verwaltete Programm sammeln. Weiter kann gegebenenfalls die Firewall des Unternehmens bearbeitet werden, sodass es einfacher ist, spezielle Daten aus dem Unternehmensnetzwerk zu kopieren. Es ist auch üblich, sich mit den Administratorrechten so viele Zugänge in das Netzwerk zu schaffen wie möglich. Falls einer der Zugänge ausfällt oder entdeckt wird, kann auf ein anderer möglicherweise Unbemerkt zurückgegriffen werden.
Eine APT Bedrohung erkennen
Einen Advanced Persistent Threats zu erkennen ist eine der schwierigsten Entdeckungen, die man in einem IT-Sicherheitskontext finden kann. Meist ist es zum Beispiel schwierig, von normalem Internet-Traffic eines Unternehmens und dem Traffic, welcher einer Angreifergruppe erzeugt wird zu unterscheiden. Ein mögliches Indiz wäre, wenn nach jedem Bauvorgang der vom Unternehmen vermarkteten Software, ein hoher Upload im Netzwerk entsteht. Hier wäre erkennbar, dass jemand die neuste Version der Software bereits vor offiziellem Release auf seinen anderen Ort herunterlädt.
Der höchste Sicherheitsfaktor gegen einen APT vorzugehen liegt darin, die Mitarbeiter zu sensibilisieren und zu schulen. Es sollten keine E-Mails fremder Personen mit Anhängen geöffnet oder fremde USB-Sticks in vernetzte Computer gesteckt werden. Auch sollte ein unangekündigter Mitarbeiter eines fremden Unternehmens keinen Zutritt zu kritischer Infrastruktur gestattet werden.
