Vergleich und Analyse verschiedener APT-Gruppen. Erstellung eines Vergleichsframeworks

Inhaltsverzeichnis

Abstract

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Motivation und Ziel

3 Definition von Begriffen und Grundlagen

4 Struktur

5 Advanced Persistent Threats

6 APT Attack Life Cycle

7 Verwandte Arbeiten
7.1 MITRE ATT & CK Framework
7.1.1 Taktik
7.1.2 Techniken
7.1.3 Verfahren
7.2 SWOT-Analyse

8 Beschreibung einzelner APT-Gruppen
8.1 APT-3
8.1.1 Operation Clandestine Wolf
8.1.2 Operation Double Tap
8.1.3 SHOTPUT Backdoor
8.2 APT-41
8.2.1 Finanziell motivierte Ziele
8.2.2 Cyber-Spionage-Aktivitäten
8.2.3 Operation CuckooBees
8.2.4 ShadowPad Backdoor
8.3 APT-34
8.3.1 RDAT-Backdoor
8.4 APT-35
8.4.1 CharmPower Backdoor

9 Framework

10 MVZ-Analyse

11 Vergleich
11.1 APT-3 und APT-41
11.2 APT-34 und APT-35

12 Risikobewertung

13 Zukünftige Arbeiten

14 Fazit

15 Literaturverzeichnis

Anhang A: Branchen Definierung
Anhang B: Monatsbericht September
Anhang C: Monatsbericht Oktober
Anhang D: Monatsbericht November
Anhang E: Monatsbericht Dezember
Anhang F: Monatsbericht Januar
Anhang G: Monatsbericht Februar

Abstract

Advanced Persistent Threads (APTs) are a major threat to organizations due to their persistent and sophisticated approach. Therefore, analyses of these groups are usually made in the context of a security incident. In this thesis the following four groups, APT-3, APT-34, APT-35 and APT-41 are subjected to a general analysis in order to compare them with each other. For this purpose, various reports and qualitative analyses from well-known threat research companies were examined. For the comparison of possible similarities and differences, a framework was created to compare different APT groups according to criteria. Not every group has already been analyzed extensively, and therefore not all required information is always available. In future work, the framework can be made even more robust against missing information and possible further criteria can be included.

Advanced Persistent Threats (APTs) stellen durch ihre hartnäckige und raffinierte Vorgehensweise eine große Bedrohung für deren Ziele dar. Analysen dieser Gruppen werden meist im Kontext eines Sicherheitsvorfalles gemacht. In dieser Arbeit werden die folgenden vier Gruppen APT-3, APT-34, APT-35 und APT-41 einer allgemeinen Analyse unterzogen, um diese miteinander zu vergleichen. Dafür wurden verschiedene Berichte und qualitative Analysen von bekannten Bedrohungsforschungsunternehmen untersucht. Für den Vergleich hinsichtlich möglicher Gemeinsamkeiten und Unterschiede wurde ein eigenes Framework erstellt, das es ermöglicht verschiedene APT-Gruppen anhand von Kriterien zu vergleichen. Nicht jede Gruppe wurde bereits umfangreich analysiert und somit stehen nicht immer alle benötigten Informationen zur Verfügung. In zukünftigen Arbeiten kann das Framework noch robuster gegen fehlende Informationen gemacht und mögliche weitere Kriterien mitaufgenommen werden.

Abbildungsverzeichnis

Abbildung 1:Statistik zu Lösegeldzahlungen [4]

Abbildung 2:Anstieg der Hackerangriffe [5]

Abbildung 3:Attack Life Cycle

Abbildung 4:APT-3 Geografische Lage der Ziele

Abbildung 5:APT-41 Geografische Lage der Ziele

Abbildung 6:APT-34 Geografische Lage der Ziele

Abbildung 7:Postfach Regel erstellen [47]

Abbildung 8:Beispiel Steganografie [51]

Abbildung 9:APT-35 Geografische Lage der Ziele

Abbildung 10:Beispiel einer Phishing-Mail [49]

Abbildung 11:Log4J Attacke [50]

Abbildung 12:Übersicht der MVZ-Analyse .

Abbildung 13:Geografischer Vergleich von APT-3 und APT-41

Abbildung 14:Geografischer Vergleich von APT-34 und APT-35

Abkürzungsverzeichnis

Abb. in Leseprobe nicht enthalten

1 Einleitung

Fast täglich geht es in den Nachrichten um einen erneuten Hackerangriff, der einen großen finanziellen Schaden für ein Unternehmen verursacht hat. Wenn ein solcher Zwischenfall in die Medien gerät, hat es schlechte Auswirkungen auf den Ruf und das Ansehen der Firma. Deshalb ist es von großer Bedeutung, die IT-Infrastruktur bestmöglich zu sichern. Seit dem in Kraft treten der neuen Datenschutz-Grundverordnung (DSGVO) aus dem Jahr 2018 drohen Unternehmen hohe Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag am Ende höher ist) bei einem Datenschutzverstoß. [1]

Meta, der Mutterkonzern von Facebook, wurde von der Data Protection Commission (DPC) im November 2022 zu einer Geldstrafe von umgerechnet 265 Millionen Euro (276 Million Dollar) verurteilt, nachdem im April 2021 persönliche Daten von rund 533 Millionen Nutzern in einem Hacker Forum veröffentlicht wurden. Die veröffentlichten Daten enthalten die vollständigen Namen, Telefonnummern, Standorte und Geburtsdaten von Nutzer, die die Plattform von 2018 bis 2019 genutzt haben. [2, 3] Viele Unternehmen sind deshalb bereit eine Lösegeldsumme an die Hacker zu zahlen, um noch höhere Bußgelder zu vermeiden. Auch bei Ransomware zahlen Firmen viel Geld, um den Entschlüsselungsschlüssel zu bekommen. Das Versicherungsunternehmen CNA Financial Corporation aus den Vereinigten Staaten zahlte im Mai 2021 eine Lösegeldsumme von umgerechnet 37,6 Millionen Euro (40 Millionen Dollar). Das ist die bisher größte gezahlte Summe. [4]

Abb. in Leseprobe nicht enthalten

Abbildung 1:Statistik zu Lösegeldzahlungen [4]

Die hohen Zahlungen machen das Hacking zu einem sehr lukrativen Geschäft. Deshalb haben über die Jahre die Zahl der Hackerangriffe deutlich zugenommen. Es bilden sich immer mehr Hackergruppen, was die Gefahr eines Sicherheitsvorfalls drastisch erhöht. Laut Angaben von Check Point, einem Hersteller von Hardware and Software Produkten für IT-Sicherheit, stieg im Jahr 2021 die Zahl der wöchentlichen Angriffe auf Unternehmensnetzwerke im Vergleich zu 2020 um 50% an (siehe Abbildung 2). In Europa stieg die Anzahl der wöchentlichen Angriffe sogar um 68%.

Abb. in Leseprobe nicht enthalten

Abbildung 2:Anstieg der Hackerangriffe [5]

Um zu wissen, wie man sich bestmöglich schützen kann, muss man erst einmal verstehen, wie die Hackergruppen vorgehen, welche Schwachstellen sie ausnutzen und welche Tools sie verwenden. Meist fokussieren sich Hackergruppen auf Ziele in bestimmten Branchen und Regionen. Im Jahr 2021 waren die beliebtesten Branchen Bildung, Forschung, Regierungen, Militär und Telekommunikation. [5]

2 Motivation und Ziel

Das Thema Hacking ist in den vergangenen Jahren immer bedeutender geworden und wird in Zukunft auch immer wichtiger. Hackergruppen zu identifizieren, die einen potenziell angreifen wollen, hilft einem dabei, deren Vorgehen zu untersuchen und passende Gegenmaßnahmen zu implementieren, um sich proaktiv dagegen zu schützen. Diese Thesis konzentriert sich auf vier Hackergruppen, die anhand von verschiedenen Kriterien analysiert und verglichen werden.

Ziel der Arbeit ist es, anhand dieser Kriterien ein allgemeines Framework zum Vergleich von Hackergruppen zu erstellen und Korrelation zwischen verschiedenen Parametern festzustellen. Dieses Framework soll nicht nur auf die in dieser Thesis behandelten Gruppen anwendbar sein, sondern es ermöglichen jede Hackergruppe zu vergleichen. Eine weitere Anwendungszweck ist es, eine Risikobewertung der Gruppen zu erstellen. Da es noch keinen allgemeinen Standard gibt, um verschiedene Hackergruppen bestmöglich zu vergleichen und zu analysieren, soll dieses Framework dabei helfen. Weitere Ziele die das Framework verfolgt sind:

- Leicht anwendbar
- Allgemein verständlich
- Gute vergleichbar der Gruppen
- Umfangreiche Informationen liefern
- Einen allgemeinen Standard etablieren

3 Definition von Begriffen und Grundlagen

Alle verwendeten Bilder, die nicht explizit mit Quelle angegeben sind, wurden selbst erstellt. Alle Grafiken der Weltkarte wurde mithilfe von mapchart.net erstellt.

Der Hauptfokus der Arbeit liegt auf der Erstellung eines allgemeinen Frameworks. Alle gegebenen Informationen der genannten Quellen werden als wahr betrachtet, da das Ziel dieser Arbeit nicht die Überprüfung der Daten ist. Es haben bereits viele Sicherheitsforscher Analyse betrieben, um Hackerangriffe oder Tools einer bestimmten Gruppe zuzuordnen. Diese Informationen werden als Grundlage dieser Arbeit dienen. Es wird folgendes Fachwissen vorausgesetzt:

- Grundlagen von IT-Sicherheitsbegriffen wie Asset, Schwachstelle, Verwundbarkeit, Bedrohung, Exploit usw.
- Grundlegende Begriffe, die im Zusammenhang mit Hackerangriffen stehen wie Dropper, Backdoors, Ransomware, Indicators of Compromise (IoC) usw.
- Typische Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit

4 Struktur

Nach einer kurzen Einleitung in das Thema wird das Ziel der Arbeit genauer beschrieben. Gefolgt von der Definition der wichtigsten Begriffe und Grundlagen. In Kapitel 5 geht es um die Frage, was APTs überhaupt sind. Danach wird der Attack Life Cycle vorgestellt, der im Verlauf der Arbeit noch wichtig wird. Kapitel 7 befasst sich mit verwandten Arbeiten, die für das Thema APTs relevant sind, und grenzt sie von dieser Arbeit ab. Danach werden die für diese Arbeit relevanten APT-Gruppen genauer beschrieben. Im Anschluss wird das Framework vorgestellt und die zugehörige MVZ-Analyse erklärt. Danach folgt der Vergleich der jeweiligen APT-Gruppen. Anschließend folgt ein Kapitel zur Risikobewertung. In Kapitel 13 wird ein Ausblick auf zukünftige Arbeiten gegeben, das bedeutet, wie das Framework in Zukunft verbessert werden könnte. Die Arbeit endet mit dem Fazit, das die erarbeiteten Ergebnisse und Schlussfolgerungen zusammenfasst.

5 Advanced Persistent Threats

CrowdStrike, ein amerikanisches Cybersicherheitsunternehmen beschreibt Advanced Persistent Threats wie folgt:

„Eine fortgeschrittene, anhaltende Bedrohung (Advanced Persistent Threat, APT) ist ein ausgeklügelter, nachhaltiger Cyberangriff, bei dem ein Eindringling über einen längeren Zeitraum unbemerkt in ein Netzwerk eindringt, um sensible Daten zu stehlen. Ein APT-Angriff ist sorgfältig geplant und darauf ausgelegt, eine bestimmte Organisation zu infiltrieren, bestehende Sicherheitsmaßnahmen zu umgehen und unter dem Radar zu fliegen.“ (übersetzt aus [6])

Im Vergleich zu anderen Hackergruppen haben APTs sehr umfangreiche Kenntnisse im Bereich IT und Netzwerke. Sie benutzen fortgeschrittenere Techniken und entwickeln ihr eigenen Malware. Nach dem Kompromittieren eines einzelnen Rechners im Netzwerk, setzten APTs alles daran sich unauffällig im Netzwerk auszubreiten. Das Ziel ist es, zu wichtigen Servern vorzudringen und dies zu übernehmen. Hierbei ist es wichtig, unerkannt vorzugehen und einen persistenten (dauerhaften) Zugang zum Netzwerk zu bekommen.

Mithilfe der Persistenz wird versucht die Verbindung zum Zielrechner auch nach Neustarts, Änderung der Anmeldedaten oder anderweitige Unterbrechungen aufrecht zu erhalten.

Diese Gruppen stellen eine sehr hohe Bedrohung dar, da sie gut organisiert, fortschrittlich und gezielt vorgehen. Bei einer gezielten Attacke geben die Hackergruppen nicht schnell auf, sondern gehen konsistent vor. Diese langanhaltenden Bedrohungen haben eine sehr hohe Erfolgsrate, was sie außerordentlich gefährlich macht. [7] Ein sehr bekanntes und beliebtes Einfallstor ist die Spear-Phishing-Mail. Der Unterschied zur Phishing-Mail ist, dass beim Spear-Phishing eine Person gezielt ausgewählt und angegriffen wird. Es erfordert meist längere Vorbereitung und Recherche, um die E-Mail perfekt an das Opfer anzupassen. Je mehr Informationen bereitstehen, umso besser und realistischer lässt sich die E-Mail verfassen. Hierbei wird auf Führungspersonen und Mitarbeiter mit erhöhten Rechten abgezielt. Auch Personen, die Zugänge zu sensiblen Daten haben, wie Mitarbeiter der Personalabteilung, die Personaldaten verwalten oder Mitarbeiter, die im Bereich Finanzen arbeiten, die Zahlungsinformationen verwalten, gehören zu potenziellen Zielen. Allgemein kann gesagt werden, dass beim normalen Phishing eine Vielzahl an Mails an eine große Masse an Personen verschickt wird, während das SpearPhishing auf einzelne Personen abzielt. [8]

6 APT Attack Life Cycle

Durch die immer komplexer werdenden Cyberattacken ist es hilfreich eine Matrix zu haben, mit dessen Hilfe die Attacken beschrieben werden können. Der Attack Life Cycle beschreibt das allgemeine Vorgehen von Hackergruppen. Das Ziel ist es, die einzelnen Schritte eines Angriffes zu verstehen, um diese Hackerattacken zu identifizieren und zu stoppen. Es gibt jedoch mehrere Ansätze für die Beschreibung dieser Matrix von unterschiedlichen Anbietern. In dieser Arbeit wird die von MITRE ATT&CK definierte Matrix verwendet, da diese am umfangreichsten ist und es somit möglich ist, das Vorgehen so detailliert wie möglich zu beschreiben. Die Matrix besteht aus zehn Schritten, die es ermöglichen die genaue Abfolge eines Angriffes zu beschreiben.

Im Folgenden werden die jeweiligen Schritte kurz erklärt. Einzelne relevante Schritte werden im späteren Verlauf der Arbeit auch noch genauer beleuchtet.

- Initial Access (Erster Zugang) beschreibt das Vorgehen, um einen ersten Fuß in das Netzwerk des Opfers zu bekommen, zum Beispiel durch Phishing.
- Execution (Ausführung) von Malware auf dem Zielsystem.
- Persistence (Beharrlichkeit) ist eine Taktik, um dauerhaft Zugang zum Netzwerk zu bekommen, auch nach einem Systemausfall oder einer Netzwerktrennung.
- Discovery/Collection (Entdecken/Sammeln) beschreibt das Sammeln von Informationen im Netzwerk, um weitere Ziele zu identifizieren. Hierzu kann ein beliebiger Scanner, wie beispielsweise nmap, eingesetzt werden.
- Defense Evasion (Verteidigung Umgehung) beschreibt sämtliche Maßnahmen zur Verschleierung der Aktivität. Um möglichst lange im Netzwerk zu bleiben, ist es wichtig unerkannt vorzugehen. Eine beliebte Taktik, um seine Spuren zu verwischen, ist das Löschen von Log-Dateien.
- Privilege Escalation (Rechteerweiterung) ist eine Taktik, bei der versucht wird mehr Berechtigungen zu erhalten, um so weiter im Netzwerk vorzudringen.
- Credential Access (Zugang zu Anmeldedaten) ist das Erraten von Passwörtern oder das Auslesen von gespeicherten Kennwörtern, um so Zugang zu einem meist höher privilegierten Account zu bekommen.
- Lateral Movement (Seitliches Bewegen) beschreibt das Ausbreiten im Netzwerk zum Beispiel durch File sharing.
- Command and Control (C2) ist die Verbindung vom kompromittieren Host zu einem externen vom Angreifer kontrollieren Server. Der Hacker kann von dort Befehle und Dateien mit dem Host austauschen, um so die Kontrolle über das Endgerät zu behalten.
- Exfiltration beschreibt das Stehlen von sensiblen Daten aus dem Netzwerk.[9]

Abb. in Leseprobe nicht enthalten

Abbildung 3: Attack Life Cycle

Die Reihenfolge der einzelnen Schritte kann je nach Angreifer variieren und besteht nicht immer aus allen zehn Schritten. Jedoch hilft es zu wissen, wie die Gruppen vorgehen, um leichter entsprechende Gegenmaßnahmen zu definieren. Der Attack Life Cycle bietet die Möglichkeit, die relevanten Schritte eines Angriffes zu beschreiben. Diese Bezeichnungen werden im weiteren Verlauf der Arbeit verwendet.

7 Verwandte Arbeiten

Es gibt bereits verschiedene Frameworks, mit deren Hilfe es möglich ist APT- Gruppen zu vergleichen. Zum einen gibt es das MITRE ATT&CK Framework, welches sich auf das Vorgehen und die verwendeten Tools konzentriert. Zum anderen gibt es die SWOT-Analyse welches eine 2x2 Matrix beschreibt, mit deren Hilfe es möglich ist unterschiedliche Gruppen zu vergleichen.

7.1 MITRE ATT&CK Framework

CrowdStrike beschreibt das MITRE ATT&CK Framework wie folgt:

„Das MITRE ATT&CK Framework ist eine Wissensdatenbank, die die von Bedrohungsakteuren verwendeten Taktiken und Techniken von Cyberangreifern über den gesamten Angriffslebenszyklus hinweg verfolgt. Das Framework ist mehr als eine Datensammlung: Es soll als Werkzeug zur Stärkung der Sicherheitslage einer Organisation dienen.“ (übersetzt aus [10])

Es wurde 2013 von MITRE Corporation, einer Non-Profit-Organisation, vorgestellt. ATT&CK steht hierbei für Adversarial Tactics, Techniques and Common Knowledge, was übersetzt bedeutet Taktiken, Techniken und allgemeines Wissen des Gegners. [11] Das Framework besteht aus drei Teilen Tactics, Techniques and Procedures auch bekannt als TTPs, was übersetzt so viel bedeutet wie Taktiken, Techniken und Verfahren. Es beschreibt das Vorgehen und die verwendeten Tools der Hackergruppen.

7.1.1 Taktik

Als Angriffstaktiken sind spezifische technische Ziele oder Aktion definiert, die der Hacker versucht zu erreichen. Es gibt derzeit 14 Taktiken, die nach Zielen kategorisiert werden, unter anderem Initial Access oder Privilege Escalation. [10, 12]

Beim Initial Access, übersetzt erster Zugang, geht es um das Eindringen in das Netzwerk. Durch einen Zugangsvektor wie Phishing oder Ausnutzen von Schwachstellen versuchen die Angreifer einen Fuß in das Netzwerk zu bekommen. [13]

Privilege Escalation bedeutet sein Rechte zu erweitern, um dadurch mehr Berechtigungen zu erhalten.

Oftmals hat man beim erst Zugang nicht genügend Rechte, um sein Ziel zu erreichen und muss mithilfe von verschiedenen Methoden, wie das Ausnutzen von Schwachstellen oder Fehlkonfigurationen seine Rechte erhöhen. [14]

7.1.2 Techniken

Hacker verwenden verschiedene Techniken und Untertechniken, um ihre Ziele zu erreichen. Abhängig von der Erfahrung des Hackers, der Systemanforderungen und verwendete Plattform werden unterschiedliche Techniken verwendet. Jede bekannte Methode ist dokumentiert und bietet Möglichkeiten zur Verhinderung. [10, 12] Eine Technik, um einen ersten Zugang (Initial Access) zu bekommen, wäre das Ausnutzen von Standard-Accounts (Default Accounts). Die meisten Softwareprogramme, Geräte und Systeme haben werkseitig Standardkonten für die Erstanmeldung. [15] Auch das Windows Betriebssystem verwendet lokale Standard-Accounts, wie „Guest“ oder „Administrator“, die von Hackern ausgenutzt werden können. Deshalb ist es zwingend notwendig, solche Accounts zu deaktivieren oder deren Passwort zu ändern. [16] Die Open-Source Webserver Software Apache benutzt etwa die Standard Login- daten admin,admin. [17]

7.1.3 Verfahren

Die Verfahren sind eine Beschreibung, wie die jeweilige Angriffsmethode durchgeführt wird. [12] Während die Taktiken und Techniken allgemeine Beschreibungen vom Vorgehen der Hackergruppen sind, ist das Verfahren spezifisch je nach Angriffsszenario. Ein Verfahren zur Ausnutzung von StandardAccounts wäre das Verwenden einer Passwortliste. Diese Passwortlisten befinden sich frei zugänglich zu fast jedem Service und Software im Internet. Wie bereits oben erwähnt benutzt die Webserver Software Apache standardmäßig als Benutzernamen und Passwort das Wort admin. Weitere Standard Accounts befinden sich in der verwendeten Quelle [17].

Mithilfe des MITRE ATT&CK Frameworks lassen sich Angriffe klassifizieren, Ziele identifizieren und Bedrohungen erkennen. [12] Durch die TTPs lässt sich hervorragend das Vorgehen über den gesamten Angriffszyklus beschreiben. Das in dieser Arbeit erarbeitet Framework nutzt TTPs für die Beschreibung der Vorgehensweise.

7.2 SWOT-Analyse

Eine weitere Methode, um verschieden APT-Gruppen zu vergleichen, ist die sogenannte SWOT-Analyse. Das Akronym SWOT steht hierbei für S trengths (Stärken), W eaknesses (Schwächen), O pportunities (Chancen) und T hreats (Bedrohung). Diese Methode wird in einer 2x2 Matrix organisiert und hauptsächlich im Unternehmensumfeld benutzt, kann jedoch auch im Kontext APT- Gruppen verwendet werden.

Strengths (Stärken)

Zu den Stärken zählen alle positiven Eigenschaften und Fähigkeiten, die verwendet werden können, um das Ziel zu erreichen. Ein gutes Beispiel hierfür wären umfangreiche Kenntnisse im Bereich IT-Sicherheit und Programmierfähigkeiten.

Weaknesses (Schwächen)

Zu den Schwächen zählen alle negativen Eigenschaften und Fähigkeiten, die das Erreichen das Ziel erschweren, wie fehlende Kapazitäten bei Personen oder Rechenleistung.

Opportunities (Chancen)

Chancen sind äußere Bedingungen, die sich positiv auf das Ziel auswirken. Das könnten nicht geschlossene Sicherheitslücken oder Fehlkonfigurationen sein, die eine Chance bieten, um das Netzwerk zu kompromittieren.

Threats (Bedrohung)

Zu den Bedrohungen zählen alle äußeren Umstände, die sich negativ auf das Ziel auswirken. Aus der Sicht der APT-Gruppen wären das zum Beispiel eine gute Firewall oder ein Spamfilter.

Diese Methode konzentriert sich hauptsächlich auf die Stärken und Schwächen der APT-Gruppen, sowie die Stärken und Schwächen der Ziel-IT-Infrastruktur, jedoch nicht auf das konkrete Vorgehen. [18]

8 Beschreibung einzelner APT-Gruppen

Für die Namensgebung von Hackergruppen gibt es bisher noch keinen allgemeinen Standard, deshalb geben verschiedene Sicherheitsforscher derselben Gruppe unterschiedliche Namen. Jede Organisation hat ihre eigenen Daten, Verfahren und Standards, um Hackergruppen zuzuordnen und zu benennen. Das sorgt dafür, dass die gleiche Gruppe unter mehreren Namen bekannt ist. Es gibt mehrere bekannte Namensschemen, die von Firmen etabliert wurden, unter anderem das von CrowdStrike bei dem Gruppen je nach Herkunftsland einen Tiernamen bekommen. Beispielsweise haben chinesische Gruppen Panda und iranische Gruppen Kitten in ihrem Namen.

Die wohl bekannteste und weitverbreitete Namensgebung kommt jedoch von Mandiant. Das IT-Sicherheitsunternehmen unterscheide zwischen Advanced Persistent Threats (APT), finanziell motivierte Gruppe (FIN) und unkategorisierte Gruppen (UNC).

- Advanced Persistent Threats (APT) sind Spionagegruppen, die viele Ressourcen aufweisen und aufgrund ihrer langfristigen und vorsichtigen Vorgehensweise häufig im staatlichen Rahmen handeln.
- Finanziell motivierte Gruppen werden mit FIN gekennzeichnet. Das primäre Ziel ist es durch Cyberangriffe Geld zu verdienen. Ein gutes Beispiel hierfür wäre die Verbreitung von Ransomware.
- Die restlichen Gruppen, die keinen der beiden Kategorien zugeordnet werden können, werden als UNC bezeichnet.

Danach folgt eine Nummer, die nach Belieben definiert wird, meist durchnummeriert nach Entdeckung. Die von Mandiant benannte chinesische Hackergruppe APT-3, ist ebenfalls unter dem von CrowdStrike etablierten Namensschema als Gothic Panda bekannt. Eine Gruppe kann neben diesen beiden Namen jedoch noch weitere Namen von anderen IT-Sicherheitsforschungslabors bekommen. In dieser Arbeit werden die von Mandiant verwendetet APT- Nummern als Bezeichnung der Gruppen genutzt. [19]

Die Ziele der APT-Gruppen befinden sich meist in mehreren Branchen. Abhängig von der Quelle, werden die Ziele unterschiedlich benannt, gehören aber zur gleichen Branche. Um in dieser Arbeit eine einheitliche Beschreibung der Ziele zu haben, die sich besser vergleichen lassen, sind die verwendeten Branchen und Sektoren in Anhang A definiert. Bei dieser Definition wurde sich an der bereits existierenden Definition von kritischen Infrastrukturen des BSI orientiert. Da nicht alle Ziele der APT-Gruppen in den Bereichen der kritischen Infrastrukturen tätig sind, ist es nicht möglich, mit dieser Definition alle Ziele abzubilden.

Aus diesem Grund werden die Weiteren, meist sehr speziellen Sektoren, in ihrer übergeordneten Branche angegeben. Die genauen Bereiche spielen für diese Arbeit keine Rolle und sind deshalb allgemein mit deren Branchenbezeichnungen angegeben. Welche Bereiche das sind und in welche Branche diese Fallen lässt sich im Anhang A nachlesen.

Die allermeisten APT-Gruppen entwickeln ihre eigene Malware, die speziell auf deren Einsatzzweck angepasst sind. Da die Verwendung solcher Software meist auffälliger ist, greifen die Gruppen zusätzlich auf bereits installierte Windows Betriebssystem Tools zurück. Beispielweise das integrierte Windows Tool netstat, das verwendet wird, um aktive TCP-Verbindungen, offene Ports und Netzwerkstatistiken anzuzeigen. Auch Reg, das zur Interaktion mit der Windows Registry benutzt wird, um Informationen zu ändern, hinzuzufügen, zu entfernen oder abzufragen, wird häufig eingesetzt. Systeminfo, das ein Tool zur Abfrage von detaillierten Computerinformationen ist, wird ebenfalls von verschiedenen Gruppen verwendet. Tasklist ist ein integriertes Windows Betriebssystem Tool, das zur Auflistung aller aktuell laufenden Anwendungen und Dienste mit ihrer Prozess-ID (PID) genutzt wird. Neben diesen bereits auf Windows installieren Tools verwenden die Gruppen zusätzliche öffentlich verfügbare Software wie Mimikatz. Diese Software wird hauptsächliche dafür verwendet, um Kontoanmeldedaten und Kennwörter, die auf dem Computer gespeichert sind, auszulesen. Damit ist es möglich Zugang zu Accounts zu erhalten, die möglicherweise über mehr Rechte verfügen oder die Möglichkeit bieten weiter im Netzwerk vorzudringen.

In den folgenden Abschnitten werden die vier Gruppen APT-3, APT-34, APT- 35 und APT-41 genauer beleuchtet. Dabei geht es um eine allgemeine Beschreibung der Gruppen, sowie tiefergehende technische Analysen der Vorgehensweise.

8.1 APT-3

Die Hackergruppe APT-3 ist unter anderem als Gothic Panda, UPS-Team oder

Buckeye bekannt. Die Gruppe konnte von Sicherheitsforschern dem chinesischen Ministerium für Staatssicherheit zugeordnet werden. Erste Aktivitäten reichen in das Jahr 2010 zurück. [20] In den Anfangsjahren befanden sich die Ziele hauptsächlich in den Vereinigten Staaten und dem Vereinigten Königreich. Ab dem Jahr 2016 jedoch fokussierte sich die Gruppe auf politische Organisationen in Hongkong. [21]

Abb. in Leseprobe nicht enthalten

Abbildung 4: APT-3 Geografische Lage der Ziele

Mehrere ausgeklügelte Cyberspionage-Kampagnen gegen Unternehmen in den folgenden Branchen konnten APT-3 zugewiesen werden: Transport und Verkehr, Informationstechnik und Telekommunikation, Staats- und Verwal- tungs- sowie Bauwesen. [22, 23]

Die Ziele befinden sich in wissenschaftlichen Bereichen oder kritischen Infrastrukturen wie Telekommunikation und Verkehrswesen. Solche Unternehmen haben sehr sensible und geheime Informationen, die gut geschützt werden müssen, was sie zu einem sehr lukrativen Ziel für Spionagegruppen macht.

Das primäre Ziel von APT-3 ist es sensible Informationen von privaten Unternehmen oder Regierungen zu stehlen, um der chinesischen Regierung einen wirtschaftlichen, strategischen oder militärischen Vorteil zu verschaffen. [23] Um ihr Ziel zu erreichen nutzt die Gruppe eigene entwickelte Tools und noch nicht bekannte Schwachstellen (Zero-Day-Schwachstellen).

Zero-Day-Schwachstellen sind Schwachstellen in Softwareprogrammen, von denen der Hersteller noch nichts weiß oder für die es noch kein Sicherheitsupdate gibt. Solche Sicherheitslücken können sich im Betriebssystem, WebBrowser, Office Programmen und weiteren Softwareprogrammen befinden. Das wohl bekannteste Beispiel einer Zero-Day-Schwachstelle ist Stuxnet aus dem Jahr 2010. Der Stuxnet Virus, dessen Hauptziel es war das iranische nuklear Waffenprogramm zu sabotieren, nutze eine Schwachstelle in der Siemens Step7-Software (CVE-2010-2772). [24]

„Diese Gruppe gehört zu den raffinierteren Bedrohungsgruppen, die FireEye Threat Intelligence beobachtet, und hat in der Vergangenheit immer wieder neue browserbasierte Zero-Day-Exploits verwendet (z. B. für Internet Explorer, Firefox und Adobe Flash Player) (übersetzt aus [25])”, schrieb die Seite mandiant.com in ihrem Blog-Post vom 23. Januar 2015.

Nicht nur dass die Gruppe eine der raffiniertesten ist, die FireEye beobachtet, sie haben bereits in der Vergangenheit Zero-Day Exploits ausgenutzt, was die Gruppe sehr gefährlich macht. Das Finden eine solche noch nicht bekannten Schwachstelle erfordert viel Zeit und Ressourcen, was darauf schließen lässt, dass die Gruppe sehr erfahren und organisiert ist.

8.1.1 Operation Clandestine Wolf

Die Operation Clandestine Wolf aus dem Jahr 2015 nutzte eine Zero-Day- Schwachstelle in Adobe Flash aus (CVE-2015-3113), um den Zielrechner zu kompromittieren. Bei der Schwachstelle konnte ein entfernter Angreifer mit Hilfe eines sogenannten Heap-Based Buffer Overflow einen beliebigen Code ausführen. [26] Buffer, auf Deutsch Puffer, sind Speicherbereiche die Daten von Programmen speichern. Jedes Programm hat einen bestimmten Adressraum im Speicher. Bei einem Overflow, zu Deutsch Überlauf, wird versucht über seinen eigenen verfügbaren Speicher hinaus zu schreiben, um so die benachbarten Speicherräume zu manipulieren. Dadurch kann ein Angreife Schadcode einschleusen, um den Zielrechner zu kompromittieren. [27]

Die Gruppe benutzt groß angelegte Phishing-Kampagnen, um einen ersten Schritt in das Netzwerk zu bekommen. Anders als beim Spear-Phishing, wird hier nicht darauf geachtet die Mail an das Ziel anzupassen. Die E-Mail, die fast schon nach Spam aussieht, wird sehr allgemein gehalten, damit sie an eine breite Masse von Zielen geschickt werden kann. Nach dem Klick auf den Link lädt sich eine FLV-Datei von einer bösartigen Webseite herunter. Eine FLV- Datei ist ein Flash Video, das vom Adobe Flash Player verwendet wird. Durch Manipulieren des Audiotags, lässt sich die Heap-based Buffer Overflow Attacke ausführen, die dafür sorgt, dass das System durch Nachladen der SHOT- PUT Backdoor infiziert wird. Die Backdoor wird in Kapitel 8.1.3 genauer beschrieben. [25, 26]

8.1.2 Operation Double Tap

Die Gruppe hat in früheren Operationen wie der oben genannten Clandestine Wolf Operation gezeigt, dass sie Zero-Day-Schwachstellen ausnutzen. Jedoch bei der Operation Double Tap vom November 2014 nutzten sie einen Exploit der via Phishing verteilt wurde. Beim Klick auf den Link öffnete sich eine schädliche Webseite, die den Download des Payloads ausführte. Das zeigt das die Ressourcen der Gruppe nicht unbegrenzt sind, um bei jedem Angriff eine Zero-Day-Schwachstellen auszunutzen. APT-3 setzt deshalb auch auf andere Methoden für die initiale Kompromittierung. Andere Gründe können zeitliche Faktoren sein, da das Finden einer Schwachstelle mehr Zeit kostet, als der Versuch via Phishing ein Einfallstor zu finden. Auch stieg die Aktivität der Gruppe dadurch an, da es leichter ist Phishing-Kampagnen durchzuführen. [28]

8.1.3 SHOTPUT Backdoor

SHOTPUT ist eine DLL-Backdoor, die auch unter den Namen Pirpi und Back- door.APT.CookieCutter bekannt ist. Es ist eine eigens von APT-3 entwickelte Backdoor, die in verschieden Operationen verwendet wurde. Nach der Infizierung des Computers wird eine Verbindung zu einem der Hardcodierten Command and Control (C2) Server aufgebaut.

Die Backdoor besitzt grundlegenden Funktionen, wie beispielsweise Dateien hoch- oder herunterladen, Prozesse verwalten, Systembefehle auszuführen und Systeminformationen sammeln. [29] Für die Kommunikation mit dem C2 Server werden HTTP GET Anfragen verwendet. Der Client verwendet das HTTP-Cookie-Feld um verschlüsselte Daten an den Server zu übertragen. Die verschlüsselten Befehle des Servers befinden sich innerhalb des HTML-Tags. [30]

8.2 APT-41

Genau wie die APT-3 agiert APT-41 aus China und wird als staatlich geförderte Spionagegruppe kategorisiert. Die Gruppe ist auch unter dem Namen Wicked Panda bekannt und wurde erstmals 2012 gesehen. APT-41 hat Organisationen in den folgenden Ländern angegriffen: Vereinigte Staaten, Singapur, Frankreich, Vereinigtes Königreich, Japan, Hongkong, Indien, Italien, die Niederlande, Südkorea, Südafrika, Schweiz, Thailand und Türkei. Die Ziele waren in den folgenden Branchen tätig: Gesundheit, Medien und Kultur, Softwareunternehmen, Hightech Unternehmen, Informationstechnik und Telekommunikation. Außerdem deuten Kampagne darauf hin, dass die Gruppe gezielt Informationen zu bevorstehenden Ereignissen sammelt, wie zum Beispiel Fusionen, Übernahmen oder politische Ereignisse. [31, 32]

Abb. in Leseprobe nicht enthalten

Abbildung 5: APT-41 Geografische Lage der Ziele

Anderes als anderen staatlich geförderten Hackergruppen aus China ist APT- 41 auch finanziell motiviert. Die Gruppe führte gleichzeitig Spionageoperationen und finanziell motivierten Kampagnen durch. Der Bericht „Double Dragon APT41, a dual espionage and cyber crime operation” von FireEye aus dem Jahr 2019 zeigt deutlich, dass die Gruppe zwei Ziele verfolgt. [32]

Die finanziell motivierten Operationen, finden meist abends oder nachts statt, also außerhalb der normalen Arbeitszeiten, während die Spionageoperationen hauptsächlich zwischen den chinesischen Arbeitszeiten liegen. Das lässt darauf schließen, dass die Gruppe für die chinesische Regierung tätig ist und danach eignen geplante Operationen durchführt. Die Gruppe hat umfangreiche Kenntnisse im Bereich Netzwerke und Betriebssysteme. FireEye berichtet in ihrem Report, dass die Gruppe sowohl in Linux- als auch in Windows-Umgebungen erfahren ist. Sie können leicht zwischen beiden Umgebungen innerhalb einer einzigen Operation wechseln, einschließlich der Kompromittierung zwischengeschalteter Server. [32]

8.2.1 Finanziell motivierte Ziele

Zu den finanziell motivierten Zielen von APT-41 gehören Softwareunternehmen. Beginnend mit den ersten Angriffen im Jahr 2012 war das Ziel die Spielebranche. APT-41 Kampagnen, die sich auf den Videospielsektor konzentrieren, betrafen primär Entwicklerstudios und Vertriebspartner in Ost- und Süd- ostasien, aber auch globale Unternehmen mit Sitz in den Vereinigten Staaten wurde ins Visier genommen. Um möglichst schnell und viel Geld zu machen, zielt die Gruppe auf virtuelle In-Game-Währungen ab. APT-41 hat es auf Zahlungsdienste abgesehen, die für die Abwicklung von In-Game-Transaktionen und Echtgeldtransfers (Real Money Trading, RMT) verantwortlich sind. Wenn es der Gruppe nicht gelingt, das Bezahlsystem zu infiltrieren, verwenden sie Ransomware, um Lösegeld zu erpressen. [32]

8.2.2 Cyber-Spionage-Aktivitäten

Neben den finanziell motivierten Kampagnen führt die Gruppe ebenfalls Spionageoperationen durch. Ähnlich wie APT-3 versucht sich die Gruppe Zugang zu strategischen Informationen zu verschaffen, die China einen Vorteil bringen.

Die Gruppe nimmt dabei Hightech Unternehmen ins Visier, die sich mit Forschung und Entwicklung beschäftigen. Diese Operationen wurden gut geplant und über längere Zeit unauffällig durchgeführt. Eine Spionageoperation aus dem Jahr 2019, bei der die ShadowPad Backdoor verwendet wurde, war die Operation CuckooBees, die im folgenden Abschnitt genauer beleuchtet wird. [32]

8.2.3 Operation CuckooBees

Die Operation CuckooBees war eine Spionagekampagne, die der APT-41 zugeschrieben wurde. Erste Aktivitäten reichen zurück in das Jahr 2019 und hatte Technologie- und Produktionsunternehmen in Ostasien, Westeuropa und Nordamerika im Visier. Die Aktivitäten wurden bis zuletzt im Mai 2022 beobachtet und deren Ziel war der Diebstahl von geschützten Informationen, For- schungs- und Entwicklungsdokumenten, Quellcode und Entwürfen für verschiedene Technologien. Sicherheitsforscher von Cybereason, einem Hersteller für IT-Sicherheitslösungen, beschreiben die Operation als: „eine ausgeklügelte und schwer fassbare Cyberspionageoperation“. (übersetzt aus [33])

Um einen ersten Zugang in das Netzwerk zu bekommen und sich dort weiter vorzuarbeiten, verwendet APT-41 hauptsächlich zwei Methoden, die im MITRE ATT&CK Framework beschrieben werden. Zum einen „Exploit Public Facing Server“, das darauf abzielt, Schwachstellen in Servern oder Software auszunutzen, die öffentlich über das Internet erreichbar sind. Zum anderen eine sogenannte „Supply Chain Attack“, bei der Schwachstellen in der verwendeten Third-Party-Software (Drittanbieter Software) gesucht werden.

Exploit Public Facing Server

Beim Public Facing Server Exploit versucht der Angreifer einen Server, der aus dem Internet erreichbar ist, zu kompromittieren. Das kann durch das Ausnutzen einer Schwachstelle geschehen, aber auch durch Konfigurationsfehler oder einem Bug. Ziele, die aus dem Internet erreichbar sind, sind zum Beispiel Webserver, auf dem eine Webseite gehostet wird, eine Datenbank, die Information speichert oder Standarddienste wie FTP oder SSH. Dieses Vorgehen wird im MITRE ATT&CK Framework unter T1190 beschrieben und wurde von APT-41 bei der Operation CuckooBees verwendet. [34]

Supply Chain Attack

Bei einer Supply Chain Attack, zu Deutsch Lieferketten Angriff, versuchen die Angreifer eine Schwachstelle bei einem Softwareanbieter oder Hardwarehersteller zu finden. Diese Produkte werden meist von vielen Kunden verwendet, die anschließend ebenfalls anfällig für die gefundene Schwachstelle sind.

Dadurch ist nicht nur ein Unternehmen, der Softwarehersteller betroffen, sondern auch alle Kunden, die diese Software in ihrer IT-Infrastruktur verwenden. Ein sehr bekanntes und aktuelles Beispiel aus dem Jahr 2021 war die Kaseya VSA Ransomware Attacke. [35] Kaseya Limited ist ein amerikanisches Softwareunternehmen, dessen Software für die Verwaltung von Netzwerken und Systemen von tausenden Kunden verwendet wird. Im Juli 2021 veröffentlicht die Hackergruppe REvil in ihrem Darknet Forum „Happy Blog“ einen Post, dass sie mehr als eine Millionen Systeme von circa 60 Kunden von Kaseya verschlüsselt haben. Für einen allgemeinen Entschlüsselungsschlüssel forderte die Gruppe umgerechnet 65 Millionen Euro (70 Millionen Dollar) in der Kryptowährung Bitcoin. Die Gruppe nutzte mehrere Zero-Day-Schwachstel- len, um Zugang zur Software und somit zum Netzwerk der Kunden zu erlangen, um anschließend Ransomware zu verteilen. [36, 37]

8.2.4 ShadowPad Backdoor

Die ShadowPad Backdoor (Backdoor.Win32.Shadowpad.a) entwickelt von APT-41 wurde erstmals im Juli 2017 bei der Kompromittierung von der NetSarang-Software entdeckt. Das gleichnamige Unternehmen NetSarang Computer Inc. gegründet 1997, entwickelt eine Software für Server Management. Es ermöglicht eine plattformübergreifende Integration von Serversystemen zur zentralen Verwaltung. Das Unternehmen hat seinen Hauptsitz in den Vereinigten Staaten und in Südkorea. Die Backdoor wurde in eine von der Software verwendeten Code-Bibliotheken (nssock2.dll) eingebettet und zusätzlich digital signiert. [38] Das bedeutet, die Gruppe hat den Code auf den Entwicklungsservern von NetSarang Computer, Inc. geändert und mit dem Originalzertifikat signiert. Die Backdoor ermöglicht es den Angreifern Dateien hochzuladen, Prozesse zu erstellen und das Speichern von Informationen in einem Virtual Filesystem (VFS).

Das VFS und der eingeschleuste Code sind mehrfach verschlüsselt, um die Entdeckung und Analyse deutlich zu erschweren. Da die NetSarang-Software von vielen verschiedene Kunden verwendet wird, lässt sich hier von einer Supply Chain Attack sprechen, da nicht nur das Unternehmen NetSarang Computer, Inc. betroffen ist, sondern auch sämtliche Kunden, die die manipulierte Software installiert haben. Zu den Kunden gehören Banken und Finanzdienstleister, Software- und Medienunternehmen, Energie- und Versorgungsunternehmen, Versicherungen, Pharmazie sowie Technologie- und Telekommunikationsunternehmen. Diese Kunden passen optimal in das Zielschema der Gruppe. Diese Art von Angriffen sind sehr gefährlich, da von einer Schwachstelle mehrere Unternehmen betroffen sind. Außerdem sind sie schwer zu erkennen. Entdeckt wurde die Backdoor von dem Kaspersky Threat Research Team nach der Untersuchung einer verdächtigen DNS-Anfrage eines Kunden, der im Finanzwesen tätig ist. Die anfangs exklusiv von APT-41 verwendete Backdoor ShadowPad wurde ab Ende 2019 auch in Kampagnen von anderen Hackergruppen gesehen. Die Gruppen Karma Panda, Emissary Panda (APT-27) und Deep Panda, die alle aus China stammen, haben ShadowPad in ihren Operationen verwendet. [39]

Das deutet darauf hin, dass die Gruppen Informationen und Ressourcen austauschen. Gerade wenn alle Gruppen für eine Regierung tätig sind, ist es sehr wahrscheinlich, dass es eine Zusammenarbeit gibt. Das ausgeklügelte und sehr professionelle Vorgehen in Operation wie zum Beispiel CuckooBees macht APT-41 zu einer sehr erfahrenen und zu gleich gefährlichen Gruppe.

Ebenfalls kurz zu erwähnen ist, dass das FBI in den Jahren 2019 und 2020 fünf der Mitglieder von APT-41 identifizieren konnte. Diese wurden von der Staatsanwaltschaft in Washington D.C. angeklagt und sind seither in China untergetaucht. Das es einer Strafverfolgungsbehörde tatsächlich gelungen ist, die Identitäten einiger Mitglieder festzustellen, kommt selten vor, da diese Hackgruppen sehr professionell und vorsichtig vorgehen. [40]

8.3 APT-34

APT-34 ist ebenfalls unter den Namen OilRig und Helix Kitten bekannt und agiert seit mindestens 2014. Die Gruppe hat Organisationen in den folgenden Ländern angegriffen: Israel, Kuwait, Vereinigte Staaten, Türkei, SaudiArabien, Katar und Libanon. [41]

Abb. in Leseprobe nicht enthalten

Abbildung 6: APT-34 Geografische Lage der Ziele

Die Gruppe zielt auf die folgenden Branchen: Finanz- und Versicherungswesen, Staat und Verwaltung, Informationstechnik und Telekommunikation und Energie. Threat Researchern von FireEye gehen davon aus, dass die Gruppe zur iranischen Regierung gehört. Die Gruppe ist so technisch erfahren und fortschrittlich, dass sie ihre eigene Software entwickelt, wie zum Beispiel die RDAT-Backdoor. Um einen ersten Zugang (Initial Access) zum Netzwerk zu bekommen, verwendet die Gruppe hauptsächlich kompromittierte Accounts durch Spear-Phishing-Attacken. [42-44] Nachdem sie die Kontrolle über ein Konto bekommen haben, verschicken sie von dort weitere Spear-Phishing- Mails an Kollegen, die möglicherweise mehr Rechte haben (Privilege Escalation) und um sich im Netzwerk auszubreiten (Lateral Movement). Da die Mails aus einer vertrauenswürdigen Quelle stammen, nämlich einem vermeintlichen Kollegen, ist die Wahrscheinlichkeit das die Attacke funktioniert deutliche höher. [45]

8.3.1 RDAT-Backdoor

Die RDAT-Backdoor wurde von der iranischen Hackgruppe APT-34 entwickelt und erstmals im Jahr 2017 gesehen. [46] Unit 42 das Threat Intelligence Team von Palo Alto Networks, beobachtet das Tool bereits seit seiner Entdeckung und konnte einige interessante Informationen zur Anwendung herausfinden. Die RDAT-Backdoor benutzt einen neuartigen E-Mail basierten Command and Control (C2) Server. Die Gruppe verwendet eine bereits bekannte Methode, die Steganografie, um Informationen in Bildern zu verstecken. Diese werden anschließend als E-Mail Anhang an den Angreifer geschickt. Für die Kommunikation, mit dem vom Hacker kontrollieren Mailserver, verwendet die Backdoor den kompromittierten E-Mail-Account des Opfers. Die Gruppe verwendet eine bereits bestehende Methode und baut diese weiter aus, sodass es für ihre Einsatzzwecke geeignet ist. [47]

Auf dem Zielrechner wird zuerst eine neue Postfachregel erstellt, die alle eingehenden E-Mails vom Angreifer in den Spam-Ordner verschiebt, damit der Benutzer diese nicht beachtet. Die Backdoor sucht dann kontinuierlich im Spam-Ordern nach noch nicht gelesen Mails von der E-Mail des Hackers mit einem Bild als Anhang. Wie in Abbildung 7 zu sehen, wird mithilfe einer HTTP Post Anfrage eine neue Regel namens „ExchangeRule“ auf dem lokalen Exchange-Server erstellt (markiert in Rot). Alle E-Mails, die vom Angreifer, der die E-Mail h76y@acrlee[.]com verwendet (markiert in Blau), empfangen werden, werden in den Spam-Ordern (Junkmail) verschoben (markiert in Grün).

Abb. in Leseprobe nicht enthalten

Abbildung 7: Postfach Regel erstellen [47]

Steganografie ist das Verstecken von Informationen innerhalb anderen Informationen. Für die Kommunikation mit dem C2 Server wurden die Befehle in Bildern versteckt, die dann per Mail verschickt wurden. [47]

Das Beispiel in Abbildung 8 zeigt deutlich, dass es möglich ist Informationen in einem Bild zu verstecken, die auf den ersten Blick nicht ersichtlich sind. Wenn man das gleiche Ausgangsbild (links) unter blauem, grünem und rotem Licht betrachtet, sieht man unterschiedliche versteckte Zahlen.

Abb. in Leseprobe nicht enthalten

Abbildung 8: Beispiel Steganografie [51]

Die APT-34 Gruppe hat für ihre Steganografie das .bpm-Dateiformat, auch genannt bitmap, bei Bildern verwendet. Eine 24-Bit-Bitmap verwendet für jedes Pixel 8 Bits, um die drei Grund Farbwerte Blau, Grün und Rot darzustellen. Jede Farbe hat unterschiedliche Stufen der Intensität. Minimalen Unterschiede sind dabei für das menschliche Auge nicht zu erkennen. So macht es zum Beispiel keinen bemerkbaren Unterschied, ob der Blauwert als 11111111 oder als 11111110 dargestellt wird. Deshalb kann das letzte Bit für etwas anderes als die Farbinformationen verwendet werden, so ist es etwa möglich, Informationen unauffällig in einem Bild zu verstecken. Dieses Technik wird im MITRE ATT&CK Framework unter T1001.002 beschrieben. [47]

Das Verwenden dieser Technik zeigt, dass die Gruppe sehr intelligent und erfahren ist. Das professionelle Vorgehen, um sensible Informationen aus einem Netzwerk zu exfiltrieren macht die Gruppe sehr gefährlich.

8.4 APT-35

APT-35 ist auch bekannt als Charming Kitten, Magic Hound, Phosphoros und Newscaster. Die Gruppe, die dem Ministerium für Nachrichtendienste des Iran zugeordnet wird, ist aktiv seit mindestens 2014. Die Ziele befinden sich aus-schließlich in den Vereinigten Staaten.

Abb. in Leseprobe nicht enthalten

Abbildung 9: APT-35 Geografische Lage der Ziele

Die Operationen sind meist langfristig und ressourcenintensiv und zielen auf die folgenden Branchen ab: Informationstechnik und Telekommunikation, Staat und Verwaltung, Medien und Kultur, Energie und Bauwesen. [44] Das Ziel der Operationen ist Spionage, um sensible Informationen zu sammeln, die Iran einen strategischen Vorteil verschaffen. [48]

Um einen ersten Zugang (Initial Access) zu bekommen, wird versucht mithilfe von Spear-Phishing Kontodaten zu kompromittieren. Mit ausgeklügelten und sehr echt erscheinenden Kampagnen senden die Angreifer eine große Menge an Mails an ausgewählte Ziele. Die in Abbildung 10 gezeigte Phishing-Mail wurde bei einer Kampagne im Jahr 2019 verwendet.

Abb. in Leseprobe nicht enthalten

Abbildung 10:Beispiel einer Phishing-Mail [49]

Die Mail vom „Customer Service“ zeigt eine Sicherheitswarnung, dass sich ein unautorisierter Benutzer aus Nordkorea in den Account eingeloggt hat. Wenn man eine solche Mail bekommt, ist man erst einmal erschrocken, dass eine unbekannte Person das Passwort weiß und sich erfolgreich einloggen konnte. Die Angreifer spielen hier mit der Angst der Person, die diese Mail bekommt, da diese ohne viel Nachdenken schnell handeln möchte, in dem sie das Passwort ändert. Der Link hinter dem „Secure Account“ Button ist hxxps://bitli[.]pro/DPr_bf7d9648. Dieser verkürzte Link, der mittlerweile deaktiviert wurde, leitet einen auf die eigentliche gefälschte Anmeldeseite weiter. Dort wird der Benutzer aufgefordert, aus Sicherheitsgründen sein Passwort zu ändern, in dem er seine E-Mail, das alte und ein neues Passwort eingibt. Nach Eingabe und Bestätigung werden diese Informationen an den Hacker geleitet, der nun Zugang zum Account erhält. [49]

8.4.1 CharmPower Backdoor

CharmPower ist eine PowerShell-basierte modulare Backdoor, die von APT- 35 seit mindestens 2022 verwendet wird. Die Hauptaufgabe ist die Kommunikation mit dem Command and Control (C2) Server. Die Backdoor kann aber durch weitere nachgeladene Module um zusätzliche Funktionen erweitert werden.

Ein optionales Modul, das nachgeladen werden kann, ist das Screenshot-Modul. Damit kann der Angreifer einen Screenshot erstellen und diesen anschließend auf eine vom ihm kontrollierten FTP-Server hochladen.

Das System-Informations-Modul, sammelt Informationen über den aktuell infizierten Host wie beispielsweise die IP-Adresse, MAC-Adresse, Hostname oder verwendete Benutzer.

Des Weiteren gibt es ein Cleaup Modul, das die Spuren des Angreifers verwischen soll, in dem alle zugehörigen Prozesse gestoppt, Einträge in der Registry und im Autostart sowie sämtliche zuvor erstellten Dateien gelöscht werden.

Durch die Modularität ist es möglich für den Hacker weitere Funktionen ganz einfach in die Backdoor einzubauen, ohne diese großartig anzupassen. So ist es unter anderem möglich, Funktionen der Backdoor an das jeweilige Netzwerk anzupassen, um so gezielt Sicherheitsmechanismen zu umgehen. CharmPower wurde im Jahr 2022 zusammen mit der Zero-Day-Schwachstelle Log4J (CVE-2021-44228) genutzt. Bereits vier Tage nach bekannt werden der Schwachstelle nutzte die Gruppe diese bereits aktiv aus.

Log4J ist eine Schwachstelle für Remote Code Execution in einem beliebten Logging-Framework, das in Java-Anwendungen verwendet wird. Dadurch ist es möglich, beliebigen Code aus der Ferne auf dem Zielrechner auszuführen. Dabei wurde die Java Funktion JNDI genutzt, die es ermöglicht, Java-Objekte während der Laufzeit zu laden. Mithilfe von LDAP, einem Protokoll, das für den Zugriff auf Verzeichnisinformation genutzt wird, ist es möglich einen für Log4J anfälligen Server dazu zu bringen, eine Java Klasse mit schädlichem Code von einem externen Server zu laden und auszuführen. Da das Erstellen von Logs ein essenzieller Bestandteil von Fehlersuche und Überwachung von System ist, wurde das Logging-Framework bei sehr vielen Java Anwendungen verwendet. Durch die große Verbreitung hat diese Schwachstelle den höchsten CVS-Score von 10 (Critical) erhalten. Die nachfolgende Abbildung 11 zeigt die Log4J JNDI Attacke nochmal im Detail. [50]

Abb. in Leseprobe nicht enthalten

Abbildung 11:Log4J Attacke [50]

APT-35 hat gezeigt, dass sie dynamisch agieren und sich kurzfristig an die äußerlichen Gegebenheiten anpassen können, den bereits kurz nach der Ver- öffentlichung der Schwachstelle wurde diese von der Gruppe aktiv ausgenutzt.

9 Framework

Das Ziel der Arbeit ist es, ein allgemeines Framework zum Vergleich von verschiedenen Hackergruppen zu erstellen. Um einen guten Vergleich zu machen, benötigt es verschiedene Vergleichswerte. Diese Vergleichswerte, auch Parameter genannt, dürfen nicht zu spezifisch sein und müssen gut vergleichbar sein. Je mehr Parameter es gibt, umso besser lassen sich die Gruppen vergleichen. Das Framework soll ebenfalls ermöglichen Zusammenhänge, auch genannt Korrelationen, zwischen den einzelnen Parametern zu finden. Dann ist es zum Beispiel möglich, über fehlende Parameter genauere Annahmen zu treffen. Das kann helfen, wenn man eine Gruppe einem Land zuordnen möchte. Es ist ebenfalls möglich, eine Risikobewertung mithilfe des Frameworks zu erstellen. Das bedeutet, der IT-Sicherheitsbeauftragte von einem deutschen Krankenhaus kann das Risiko bewerten von APT-3 angegriffen zu werden. Zu wissen, wer der mögliche Angreifer ist, hilft dabei sein Vorgehen besser zu verstehen, um anhand davon bessere Schutzmaßnehmen zu treffen. Somit verfolgt das Framework mehrere Aufgaben und ist vielseitig einsetzbar.

Für die Erstellung des Frameworks habe ich viel zu den oben beschriebenen APT-Gruppen recherchiert, um so einen genauen Einblick in die Arbeit der Gruppe zu bekommen. Dann habe ich nach Informationen gesucht, die es bei jeder Gruppe gibt und die gut vergleichbar sind. Um das Framework auf möglichst alle APT-Gruppen anzuwenden, müssen die gewählten Parameter auch bei jeder Gruppe bekannt sein. Ein Hackerangriff besteht immer aus mehreren Phasen. Es beginnt mit dem Willen, etwas ganz Bestimmtes zu bekommen. Diese Motivation kann sein, Informationen zu entwenden. Diese Informationen befinden sich zum Beispiel in einem speziellen Forschungsunternehmen mit Hauptsitz in den Vereinigten Staaten. Um sein Ziel zu erreichen, erfordert es mehrere Schritte, die sich mithilfe des Attack Life Cycle beschreiben lassen. Ich habe diese allgemeine Beschreibung einer Attacke genommen, um die sogenannte MVZ-Analyse zu erstellen.

10 MVZ-Analyse

Die hier erarbeitet Analyse verwendet verschiedene Parameter, die als Vergleichswerte dienen. Angreifer agieren aus einer bestimmten Motivation heraus, das kann zum Beispiel finanziell motiviert sein. Dann gibt es ein spezielles Vorgehen, gefolgt von einem konkreten Ziel, das erreicht werden soll. Diese drei Schritte lassen sich bei jedem Hackerangriff ausmachen und beschreiben das Gesamtvorgehen einer Gruppe sehr gut. Da diese Informationen bei allen Angriffen vorhanden sind, bietet es viele Vergleichspunkte, die in der eigens erstellten MVZ-Analyse verglichen werden können. Das Akronym MVZ steht hierbei für die drei Hauptkategorien M otivation, V orgehen und Z iel. Jede Kategorie hat mehrere Parameter, die entsprechend für den Vergleich genutzt werden.

Die Motivation beschreibt den Grund, warum etwas gemacht wird. Zu den Parametern gehört die Herkunft und die Motivation. Die Herkunft einer Gruppe spielt im Vergleich keine große Rolle, jedoch ist es eine wichtige Information, um eventuelle Korrelationen von dem Herkunftsland und weiterer Parameter zu bilden. Die Motivation hingegen spielt eine große Rolle, da sich einzelne Gruppen hierbei ausgezeichnet vergleichen lassen. Es gibt Gruppen, die finanziell motiviert sind, die versuchen Geld zu verdienen und andere Gruppen die unauffällig vorgehen, um sensible Informationen zu stehlen.

Das Vorgehen beschreibt die Handlungen, die gemacht werden, um das Ziel zu erreichen. Zu den Parametern gehört unter anderem die konkrete Vorgehensweise, beschrieben anhand vom Attack Life Cycle, der Einfallsvektor, die verwendeten TTPs und das Skill Level. Der Einfallsvektor kann stark vom Ziel und Vorgehen abhängen und von Gruppe zu Gruppe unterschiedlich sein. Auch gibt es Unterschiede beim Vorgehen und beim Einfallstor. Es gibt Gruppen, die sehr langsam und unauffällig vorgehen, wohingegen andere eher auffällig und schnell ihr Ziel erreichen. Manche Gruppen entwickeln ihre eigenen Tools und haben ein sehr umfangreiches Fachwissen, während andere Gruppen vorgefertigte Tools verwenden.

Die letzte Hauptkategorie beschreibt das Ziel der Attacke. Relevante Parameter hierfür sind zum einen der geografische Standort des Opfers und die Branche, in der sich das Ziel befindet.

Abb. in Leseprobe nicht enthalten

Abbildung 12: Übersicht der MVZ-Analyse

Alle der genannten Parameter bieten viele Vergleichswerte, um Gruppen gegenüberzustellen und um mögliche Zusammenhänge zu erkennen. Für die in dieser Arbeit analysierten Gruppen sind alle Werte bekannt, jedoch tauchen immer wieder neue Hackergruppen auf, die noch nicht so umfangreich analysiert sind.

11 Vergleich

Es gibt verschiedene Möglichkeiten einen Angriff einer Hackergruppe zuzuordnen oder das Herkunftsland zu bestimmen.

Um die Herkunft einer Gruppe zu bestimmen, ist es möglich den Quellcode einer Malware zu analysieren und aufgrund der verwendeten Sprache in Kommentaren oder der Zeitzone eine bestimmte Region zu definieren. Da die Gruppen ihre Malware nicht jedes Mal neu programmieren möchten, verwenden sie bereits vorhandene Methoden und Funktionen. Werden bei mehreren Angriffen die gleichen einzigartigen Code Fragmente verwendet, ist es so möglichen diese Angriffe einer einzelnen Gruppe zuzuordnen.

Lässt sich das ungefähre Herkunftsland bestimmen, grenzt das die möglichen Gruppen bereits gut ein. Zusätzlich kann man am Vorgehen und der verwendeten Tools und Taktiken möglicherweise auf ältere Angriffe schließen. Auch die Zielwahl und die Motivation geben einen guten Aufschluss, um welche Gruppe es sich handeln könnte.

11.1 APT-3 und APT-41

APT-3 (Gothic Panda) und APT-41 (Wicked Panda) werden beide der chinesischen Regierung zugeordnet. Das beide Gruppen aus demselben Land agieren lässt sich auch an der von CrowdStrike genutzten Namensgebung erkenne, denn Panda wird für chinesische APT-Gruppen verwendet. Beide Gruppen haben das primäre Ziel sensible Informationen zu erlangen, die der Regierung einen wirtschaftlichen, strategischen oder militärischen Vorteil verschafft. Jedoch ist auch bekannt, dass APT-41 finanziell motivierte Operationen durchführt, die meist außerhalb der normalen Arbeitszeiten stattfinden. Dieser signifikante Unterschied wird auch bei der Zielwahl deutlich, da APT- 41 die Spieleindustrie im Visier hat. Die Gruppe versucht durch den Diebstahl von digitalen Spielwährungen oder das Erpressen von Lösegeld nach der Verschlüsselung von Servern Geld zu verdienen. Eine Gemeinsamkeit der Gruppen ist das Attackieren von Unternehmen im Informationstechnik und Telekommunikation Sektor. Wie bereits oben genau beschrieben entwickeln beide Gruppen ihre eigene Malware. Das bedeutet, sie haben genug finanzielle Mittel, Ressourcen und Zeit für die Entwicklung.

Abb. in Leseprobe nicht enthalten

Abbildung 13: Geografischer Vergleich von APT-3 und APT-41

Wie in Abbildung 13 zu erkennen ist, haben beiden Gruppen Überschneidungen bei den geografischen Zielen. Die in hellblau markierten Länder sind Ziel von APT-41. Die dunkelblau markierten Länder, Vereinigte Staaten, Vereinigtes Königreich und Hongkong sind Ziele von beiden Hackergruppen. Das bedeutet alle Länder, die APT-3 im Visier hat, werden ebenfalls von APT-41 angegriffen. Die Länder Vereinigte Staaten und Vereinigtes Königreich wurden ebenfalls bei Angriffen von iranischen Gruppen gesehen, Hongkong jedoch nicht. Basierend auf den hier erarbeiteten Informationen lässt sich ein Zusammenhang zwischen dem kleinen Land Hongkong in Südostasien und China herstellen. Um diese Korrelation zu bestätigen, erfordert es weitere Analysen von anderen APT-Gruppen. Es ist jedoch denkbar, dass dieses kleine spezifische Land nur von China angegriffen wird. China hat vermutlich ein weitaus höheres Interesse daran zu erfahren, was in einem der Nachbarländer vor sich geht, da die Spannungen der Länder bis zuletzt nicht besonders gut waren.

11.2 APT-34 und APT-35

Wie man an der von CrowdStrike verwendeten Namensgebung erkennen kann, werden die beiden Gruppen APT-34 (Helix Kitten) und APT-35 (Charming Kitten) der iranischen Regierung zugeordnet.

Abb. in Leseprobe nicht enthalten

Abbildung 14: Geografischer Vergleich von APT-34 und APT-35

Die hellblau markierten Länder in Abbildung 14 sind geografische Ziele von APT-34. Das dunkelblau markierte Land Vereinigte Staaten ist ein Ziel beider Gruppen. Eine weitere Gemeinsamkeit ist das Durchführen von Spionageoperationen bei Unternehmen aus den Branchen Energie, Informationstechnik und Telekommunikation sowie Staat und Verwaltung. Jede Gruppe hat ihre eigene Backdoor entwickelt und gezeigt, dass sie diese mit großem Erfolg verwenden können. Für den initialen Zugang zum Netzwerk verwenden beide APT-Gruppen Phishing. Ein interessanter Unterschied ist, dass APT-34 Spear-Phishing verwendet, um an Anmeldedaten zu kommen. Diese gezielten E-Mails erfordern mehr Aufwand, um sie an das Opfer anzupassen und sie so realistisch wie möglich erscheinen zu lassen. Solche personalisierten Mails haben eine sehr hohe Erfolgsrate und sind daher auch besonders gefährlich. APT-35 hingegen verwendet hauptsächlich Massenmails, um ihre Erfolgsrate zu erhöhen.

Die hier erarbeiteten Informationen und Erkenntnissen sind eine ausgezeichnete Grundlage für die Erstellung einer Risikobewertung, die im folgenden Abschnitt genau erklärt wird.

12 Risikobewertung

Eine weitere Funktion der eigens erstellten MVZ-Analyse ist die Unterstützung bei der Erstellung einer Risikobewertung. Durch die Parameter, die das Vorgehen beschreiben, lassen sich die Fähigkeiten der Gruppe einschätzen. Durch die Parameter, die das Ziel beschreiben, lass sich Annahmen über das Normalverhalten treffen. Konkret bedeutet es, für ein Energieunternehmen mit Hauptsitz in den Vereinigten Staaten, ist die Wahrscheinlichkeit höher von einer iranischen APT-Gruppe angegriffen zu werden als von einer chinesischen. APT-34 und APT-35 haben beide bereits Unternehmen aus dem Energiesektor ins Visier genommen und gegen die Vereinigten Staaten operiert. Der IT- Sicherheitsbeauftrage des Energieunternehmens weiß aufgrund der MVZ- Analyse von APT-34 das es eine beliebte Taktik ist mithilfe von Steganografie sensible Daten aus dem Netzwerk zu Exfiltrieren und kann sich dementsprechend besser dagegen schützen. Als Unternehmen ist es hilfreich zu wissen, wer die potenziellen Angreifer sein können und wie dieses Vorgehen, um sich bestmöglich dagegen zu schützen.

Aus diesem Grund sollte das Unternehmen geeignete Sicherheitsmaßnahmen implementieren, um sich davor zu schützen. Eine Möglichkeit wäre das Verwenden eines Network Intrusion Prevention System (IPS), das den Netzwerkverkehr überwacht und analysiert. Das IPS kann Anhang von Netzwerksignaturen gegnerische Malware erkennen und blockieren. Es ist ebenfalls möglich durch Mustererkennung verschiedene Anomalien zu erkennen, die auf Data Exfiltration hindeuten können. Wie beispielsweise das Verwenden von merkwürdig aussehenden HTTP-Cookie-Felden die für bei der SHOTPUT Backdoor zum Einsatz kamen. Ein Energieunternehmen aus Deutschland ist laut dem aktuellen Kenntnisstand kein Ziel der in dieser Arbeit analysierten APT- Gruppen, jedoch wäre es falsch zu sagen, dass von diesen Gruppen kein Risiko ausgeht, da man gesehen hat, wie Gruppen ihre Ziele und Motivationen über die laufenden Jahre geändert haben. Ein anschauliches Beispiel ist APT- 3, das anfangs die Vereinigte Staaten und das Vereinigte Königreich und später ab dem Jahr 2016 Hongkong im Visier hatte. Aber auch APT-41 hat im Laufe der Zeit ihre Motivation gepasst ist hat neben Spionageoperationen ebenfalls finanziell motivierte Operationen durchgeführt.

Deshalb sollte man diese Gruppen nicht risikofrei bewerten, jedoch andere Gruppen deren primäres Ziel Deutschland ist bevorzugen. Auch da man gesehen hat, dass verschiedene Gruppen gleiche oder ähnliche Techniken und Taktiken verwenden, wie beispielsweise das Spear-Phishing, ist es möglich allgemeine Sicherheitsmaßnahmen zu definieren, die gegen eine große Anzahl von Gruppen schützt. Erst danach sollte man sich auf die Gruppen spezifischen Gegenmaßnahmen konzentrieren. Je mehr Gruppen mithilfe der MVZ-Analyse untersucht worden sind, umso besser wird die Risikoanalyse, da mehr Informationen bereitstehen.

Wie man die Risikobewertung optimieren könnte und welche weiteren Möglichkeiten man hat, um die Analyse zu verbessern, wird im folgenden Abschnitt erläutert.

13 Zukünftige Arbeiten

Um einen Ausblick auf zukünftige Arbeiten zu geben, es wäre möglich das Framework noch besser auszubauen. Eine Möglichkeit wäre es etwa weitere sinnvolle Parameter mit aufzunehmen, die noch mehr Vergleichswerte bieten. Den je mehr Vergleichswerte es gibt, umso besser ist der Vergleich. In dieser Arbeit wurden APT-Gruppen, deren ersten Aktivitäten in die Jahre 2010-2014 zurückreichen, analysiert. Dem Entsprechen stehen bereits sehr viele Berichte und Reports zu diesen Gruppen bereit. In der Zukunft kann man neuere APT- Gruppen genau analysieren und mithilfe des Frameworks vergleichen. Ebenfalls denkbar ist die Analyse von Gruppen aus anderen Ländern wie zum Beispiel Nordkorea oder Russland und diese mit den hier erarbeiteten Ergebnissen zu vergleichen. Zu den in dieser Arbeit verwendeten Gruppen gab es zu allen Parametern Informationen, das ist jedoch nicht bei allen Gruppen immer der Fall. So könnte man die Robustheit des Frameworks testen, in dem gezielt Informationen weggelassen werden, um zu schauen, wie sich das auf das Endergebnis auswirkt. Was in Zukunft ebenfalls verbessert werden könnte, wäre die Automatisierung der Risikobewertung. Das könnte zum Beispiel so aus, dass alle bereits analysierte APT-Gruppen in eine Datenbank einpflegt, werden auf diese Informationen später zurückgreifen zu können.

So können Firmen ihr Unternehmensprofil in das System eintragen und nach APT-Gruppen suchen, die potenziell eher auf das Unternehmen in dieser Region und Branche abzielen. Auch wäre es möglich, dadurch einen Maßnahmenkatalog zu erstellen, der auf das Vorgehen der Gruppen angepasst ist.

14 Fazit

Die in dieser Arbeit erarbeiteten MVZ-Analyse bietet eine vielversprechende Möglichkeit, um verschiedene APT-Gruppen zu analysieren und zu vergleichen. Die gewählten Parameter sind gut geeignet, um Gruppen gegenüberzustellen und Gemeinsamkeiten sowie Unterschiede festzustellen. Es ist jedoch schwergefallen, Zusammenhänge festzustellen, da die Gruppen dynamisch agieren und sich an äußerliche Gegebenheiten anpassen. Es konnte eine Korrelation zwischen chinesischen Hackergruppen und dem geografischen Ziel Hongkong festgestellt werden. Um weitere Zusammenhänge festzustellen, wäre es nötig, zusätzliche Gruppen aus anderen Ländern zu analysieren. Durch die breit verteilten Angriffe über Branchen und geografische Lage, ist es nicht möglich, genau Aussagen über Korrelationen zu treffen.

Die Arbeit hat auch verdeutlicht, wie ausgeklügelt und fortgeschritten diese Gruppen vorgehen, was sie äußerst gefährlich und ebenfalls erfolgreich macht. Zusammenfassend lässt sich also sagen, dass alle in dieser Arbeit analysieren Gruppen Spionage betreiben, um ihrem Herkunftsland einen wirtschaftlichen, strategischen oder militärischen Vorteil zu bringen. Ebenfalls deutlich wurde die Wichtigkeit der Sensibilisierung der Mitarbeit, da Phishing eines der beliebtesten Einfallstore ist.

Die Risikoanalyse, die hier einen recht kleinen Teil ausgemacht hat, hat in Zukunft noch sehr viel potenzial, um erweitert und automatisiert zu werden. Ebenfalls für die Definition von geeigneten Gegenmaßnahmen ist die Risikoanalyse von Vorteil, die Aufschlüsse darüber gibt, von welchen Gruppen eine erhöhte Gefahr ausgeht.

Abschließend kann gesagt werden, dass die Analyse und der Vergleich von APT-Gruppen ein elementarer Bestandteil für die Prävention von Angriffen sind.

14 Literaturverzeichnis

[1]“BDSG & DSGVO: Welches Bußgeld sieht der Bußgeldkatalog zum Datenschutz vor?,” Datenschutz, 29 Jul., 2020. https://www.datenschutz.org /dsgvo-bussgeld/ (accessed: Dec. 13 2022).

[2]E. Roth, “Meta fined $276 million over Facebook data leak involving more than 533 million users,” The Verge, 28 Nov., 2022. https:// www.theverge.com/2022/11/28/23481786/meta-fine-facebook-data-leak- ireland-dpc-gdpr (accessed: Dec. 13 2022).

[3]Data Protection Commission, Data Protection Commission. [Online]. Available: https://www.dataprotection.ie/en/news-media/press-releases/ data-protection-commission-announces-decision-in-facebook-data- scraping-inquiry (accessed: Dec. 13 2022).

[4]J. Konetschni, “Die verheerendsten Ransomware-Attacken aller Zeiten: Top 10 der höchsten Lösegeldzahlungen,” BeforeCrypt, 18 Aug., 2021. https://www.beforecrypt.com/de/die-verheerendsten-ransomware-atta- cken-aller-zeiten-top-10-der-groessten-loesegeldzahlungen/ (accessed: Dec. 13 2022).

[5]gmcdouga, “Check Point Research: Cyber Attacks Increased 50% Year over Year,” Check Point Software, 01 Oct., 2022. https://blog.check- point.com/2022/01/10/check-point-research-cyber-attacks-increased-50- year-over-year/ (accessed: Dec. 13 2022).

[6]crowdstrike.com, What is an Advanced Persistent Threat (APT)? | CrowdStrike (accessed: Nov. 10 2022).

[7]Fortinet, What is an Advanced Persistent Threat (APT) | Fortinet. [Online]. Available: https://www.fortinet.com/resources/cyberglossary/ad- vanced-persistent-threat (accessed: Dec. 10 2022).

[8]Fortinet, What is Spear Phishing? Definition, Risks and More | Fortinet. [Online]. Available: https://www.fortinet.com/resources/cyberglossary/ spear-phishing (accessed: Dec. 10 2022).

[9]Infosec Resources, MITRE ATT&CK® Framework Tactics: An Overview | Infosec Resources. [Online]. Available: https://resources.infosecinsti- tute.com/topic/mitre-attck-framework-tactics-an-overview/ (accessed: Feb. 2 2023).

[10]crowdstrike.com, What is the Mitre Attack Framework? | CrowdStrike. [Online]. Available: https://www.crowdstrike.com/cybersecurity-101/mitre- attack-framework/ (accessed: Dec. 10 2022).

[11]Splunk, What is the MITRE ATT&CK Framework? | Splunk. [Online]. Available: https://www.splunk.com/en_us/data-insider/what-is-the-mitre- att-and-ck-framework.html (accessed: Dec. 10 2022).

[12]Balbix, What is the MITRE ATT&CK Framework? | Balbix. [Online]. Available: https://www.balbix.com/insights/what-is-the-mitre-attck-framework/ (accessed: Dec. 10 2022).

[13]Initial Access, Tactic TA0001 - Enterprise | MITRE ATT&CK®. [Online]. Available: https://attack.mitre.org/tactics/TA0001/ (accessed: Dec. 10 2022).

[14]Privilege Escalation, Tactic TA0004 - Enterprise | MITRE ATT&CK®. [Online]. Available: https://attack.mitre.org/tactics/TA0004/ (accessed: Dec. 10 2022).

[15]Valid Accounts: Default Accounts, Sub-technique T1078.001 - Enterprise | MITRE ATT&CK®. [Online]. Available: https://attack.mitre.org/tech- niques/T1078/001/ (accessed: Dec. 12 2022).

[16]Paolomatarazzo, Local Accounts. [Online]. Available: https://learn.mi- crosoft.com/en-us/windows/security/identity-protection/access-control/lo- cal-accounts (accessed: Dec. 12 2022).

[17]GitHub, Default-Credentials/Apache-Tomcat-Default-Passwords.mdown at master • netbiosX/Default-Credentials. [Online]. Available: https:// github.com/netbiosX/Default-Credentials/blob/master/Apache-Tomcat- Default-Passwords.mdown (accessed: Dec. 12 2022).

[18]https://www.conceptdraw.com, SWOT : Advanced persistent threat lifecycle | SWOT analysis for a small independent bookstore | SWOT Analysis | Threat. [Online]. Available: https://www.conceptdraw.com/ex- amples/threat (accessed: Dec. 9 2022).

[19]Threat Group Naming Schemes In Cyber Threat Intelligence. [Online]. Available: https://www.curatedintel.org/2022/05/threat-group-naming- schemes-in-cyber.html (accessed: Dec. 30 2022).

[20]APT3, Gothic Panda, Pirpi, UPS Team, Buckeye, Threat Group-0110, TG-0110, Group G0022 | MITRE ATT&CK®. [Online]. Available: https:// attack.mitre.org/groups/G0022/ (accessed: Dec. 9 2022).

[21]Council on Foreign Relations, Connect the Dots on State-Sponsored Cyber Incidents - APT 3. [Online]. Available: https://www.cfr.org/cyber- operations/apt-3 (accessed: Jan. 16 2023).

[22]F. J. Duff, “techdoc_lite-deliverables-numbered option.dotx,” [Online]. Available: https://attack.mitre.org/docs/APT3_Adversary_Emulation_ Plan.pdf

[23]APT3: A Nation-State Sponsored Adversary Responsible For Multiple High Profile Campaigns | Research and Analysis. [Online]. Available: https://cyware.com/research-and-analysis/apt3-a-nation-state-spon- sored-adversary-responsible-for-multiple-high-profile-campaigns-f58c (accessed: Dec. 9 2022).

[24]Zero-Day Exploits & Zero-Day Attacks. [Online]. Available: https:// www.kaspersky.com/resource-center/definitions/zero-day-exploit (accessed: Dec. 17 2022).

[25]mandiant, Operation Clandestine Wolf - Adobe Flash Zero-Day in APT3 Phishing Campaign | Mandiant. [Online]. Available: https://www.mandi- ant.com/resources/blog/operation-clandestine-wolf-adobe-flash-zero-day (accessed: Dec. 9 2022).

[26]SISA, Adobe Flash Player zero-day Vulnerability (CVE-2015-3113) | SISA Blog. [Online]. Available: https://www.sisainfosec.com/blogs/adobe- flash-zero-day-vulnerability-operation-clandestine-wolf-by-fireeye/ (accessed: Dec. 9 2022).

[27]Learning Center, What is a Buffer Overflow | Attack Types and Prevention Methods | Imperva. [Online]. Available: https://www.imperva.com/ learn/application-security/buffer-overflow/ (accessed: Dec. 17 2022).

[28]mandiant, Operation Double Tap | Mandiant. [Online]. Available: https:// www.mandiant.com/resources/blog/operation-doubletap (accessed: Dec. 17 2022).

[29]mandiant, Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak | Mandiant. [Online]. Available: https://www.mandiant.com/resources/blog/ demonstrating-hustle (accessed: Feb. 11 2023).

[30]R. W. Robert Falcone, R. Falcone, and R. Wartell, UPS: Observations on CVE-2015-3113, Prior Zero-Days and the Pirpi Payload. [Online]. Available: https://unit42.paloaltonetworks.com/ups-observations-on-cve-2015- 3113-prior-zero-days-and-the-pirpi-payload/ (accessed: Feb. 11 2023).

[31]Council on Foreign Relations, Connect the Dots on State-Sponsored Cyber Incidents - APT 41. [Online]. Available: https://www.cfr.org/cyber- operations/apt-41 (accessed: Jan. 17 2023).

[32]FireEye, APT41: [Report] Double Dragon: APT41, a Dual Espionage and Cyber Crime. [Online]. Available: https://content.fireeye.com/apt-41/rpt- apt41 (accessed: Nov. 10 2022).

[33]C. Nocturnus, Operation CuckooBees: Deep-Dive into Stealthy Winnti Techniques. [Online]. Available: https://www.cybereason.com/blog/oper- ation-cuckoobees-deep-dive-into-stealthy-winnti-techniques (accessed: Dec. 24 2022).

[34]Exploit Public-Facing Application, Technique T1190 - Enterprise | MITRE ATT&CK®. [Online]. Available: https://attack.mitre.org/techniques/T1190/ (accessed: Dec. 25 2022).

[35]Proofpoint, What Is a Supply Chain Attack? - Definition, Examples & More | Proofpoint DE. [Online]. Available: https://www.proofpoint.com/de/ node/114626 (accessed: Dec. 19 2022).

[36]Tenable®, CVE-2021-30116: Multiple Zero-Day Vulnerabilities in Kaseya VSA Exploited to Distribute REvil Ransomware. [Online]. Available: https://www.tenable.com/blog/cve-2021-30116-multiple-zero-day-vulner- abilities-in-kaseya-vsa-exploited-to-distribute-ransomware (accessed: Dec. 30 2022).

[37]REvil-Ransomware-Angriff auf Kaseya VSA: Was Sie wissen sollten. [Online]. Available: https://www.varonis.com/de/blog/revil-ransomware- angriff-auf-kaseya-vsa-was-sie-wissen-sollten (accessed: Dec. 30 2022).

[38]E. E. com, “Kaspersky Systems Management,” [Online]. Available: https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/ 2017/08/07172148/ShadowPad_technical_description_PDF.pdf

[39]GReAT, “ShadowPad in corporate networks,” Kaspersky, 15 Aug., 2017. https://securelist.com/shadowpad-in-corporate-networks/81432/ (accessed: Dec. 25 2022).

[40]Federal Bureau of Investigation, APT 41 GROUP | Federal Bureau of Investigation. [Online]. Available: https://www.fbi.gov/wanted/cyber/apt-41- group (accessed: Dec. 12 2022).

[41]Council on Foreign Relations, Connect the Dots on State-Sponsored Cyber Incidents - OilRig. [Online]. Available: https://www.cfr.org/cyber- operations/oilrig (accessed: Jan. 17 2023).

[42]APT34: OilRig, COBALT GYPSY, IRN2, APT34, Helix Kitten, Group G0049 | MITRE ATT&CK®. [Online]. Available: https://attack.mitre.org/ groups/G0049/ (accessed: Nov. 10 2022).

[43]“APT34: Report2020CrowdStrikeGlobalThreatReport,” [Online]. Available: https://go.crowdstrike.com/rs/281-OBQ-266/images/Re- port2020CrowdStrikeGlobalThreatReport.pdf

[44]“APT34: mtrends-2018,” [Online]. Available: https://www.fireeye.com/ content/dam/collateral/en/mtrends-2018.pdf

[45]A. Meyers, Helix Kitten | Threat Actor Profile | CrowdStrike. [Online]. Available: https://www.crowdstrike.com/blog/meet-crowdstrikes-adver- sary-of-the-month-for-november-helix-kitten/ (accessed: Jan. 14 2023).

[46]RDAT, Software S0495 | MITRE ATT&CK®. [Online]. Available: https:// attack.mitre.org/software/S0495/ (accessed: Jan. 14 2023).

[47]R. Falcone, OilRig Targets Middle Eastern Telecommunications Organization and Adds Novel C2 Channel with Steganography to Its Inventory. [Online]. Available: https://unit42.paloaltonetworks.com/oilrig-novel-c2- channel-steganography/ (accessed: Jan. 14 2023).

[48]Council on Foreign Relations, Connect the Dots on State-Sponsored Cyber Incidents - APT 35. [Online]. Available: https://www.cfr.org/cyber- operations/apt-35 (accessed: Jan. 17 2023).

[49]“APT35: The-Kittens-Are-Back-in-Town-2-1,” [Online]. Available: https:// www.clearskysec.com/wp-content/uploads/2019/10/The-Kittens-Are- Back-in-Town-2-1.pdf

[50]https://blogs.sap.com/2021/12/14/hana-xsa-log4j-cve-2021-44228/

[51]https://en.wikipedia.org/wiki/Steganography

Häufig gestellte Fragen

Was ist das Ziel dieser Arbeit?

Ziel der Arbeit ist es, anhand von Kriterien ein allgemeines Framework zum Vergleich von Hackergruppen zu erstellen und Korrelation zwischen verschiedenen Parametern festzustellen. Dieses Framework soll nicht nur auf die in dieser Thesis behandelten Gruppen anwendbar sein, sondern es ermöglichen jede Hackergruppe zu vergleichen. Eine weitere Anwendungszweck ist es, eine Risikobewertung der Gruppen zu erstellen.

Was sind Advanced Persistent Threats (APTs)?

Eine fortgeschrittene, anhaltende Bedrohung (Advanced Persistent Threat, APT) ist ein ausgeklügelter, nachhaltiger Cyberangriff, bei dem ein Eindringling über einen längeren Zeitraum unbemerkt in ein Netzwerk eindringt, um sensible Daten zu stehlen. Ein APT-Angriff ist sorgfältig geplant und darauf ausgelegt, eine bestimmte Organisation zu infiltrieren, bestehende Sicherheitsmaßnahmen zu umgehen und unter dem Radar zu fliegen.

Was ist der APT Attack Life Cycle?

Der Attack Life Cycle beschreibt das allgemeine Vorgehen von Hackergruppen. Das Ziel ist es, die einzelnen Schritte eines Angriffes zu verstehen, um diese Hackerattacken zu identifizieren und zu stoppen. Die Matrix besteht aus zehn Schritten, die es ermöglichen die genaue Abfolge eines Angriffes zu beschreiben. Die Schritte sind: Initial Access, Execution, Persistence, Discovery/Collection, Defense Evasion, Privilege Escalation, Credential Access, Lateral Movement, Command and Control (C2), Exfiltration.

Was ist das MITRE ATT&CK Framework?

Das MITRE ATT&CK Framework ist eine Wissensdatenbank, die die von Bedrohungsakteuren verwendeten Taktiken und Techniken von Cyberangreifern über den gesamten Angriffslebenszyklus hinweg verfolgt. Das Framework ist mehr als eine Datensammlung: Es soll als Werkzeug zur Stärkung der Sicherheitslage einer Organisation dienen. Es besteht aus drei Teilen Tactics, Techniques and Procedures (TTPs).

Was ist eine SWOT-Analyse?

Eine Methode, um verschieden APT-Gruppen zu vergleichen. Das Akronym SWOT steht hierbei für S trengths (Stärken), W eaknesses (Schwächen), O pportunities (Chancen) und T hreats (Bedrohung). Diese Methode wird in einer 2x2 Matrix organisiert und hauptsächlich im Unternehmensumfeld benutzt, kann jedoch auch im Kontext APT- Gruppen verwendet werden.

Welche APT-Gruppen werden in dieser Arbeit beschrieben?

APT-3, APT-34, APT-35 und APT-41.

Was ist Operation Clandestine Wolf?

Die Operation Clandestine Wolf aus dem Jahr 2015 nutzte eine Zero-Day-Schwachstelle in Adobe Flash aus (CVE-2015-3113), um den Zielrechner zu kompromittieren.

Was ist Operation Double Tap?

Bei der Operation Double Tap vom November 2014 nutzten APT-3 einen Exploit der via Phishing verteilt wurde. Beim Klick auf den Link öffnete sich eine schädliche Webseite, die den Download des Payloads ausführte.

Was ist die SHOTPUT Backdoor?

SHOTPUT ist eine DLL-Backdoor, die auch unter den Namen Pirpi und Backdoor.APT.CookieCutter bekannt ist. Es ist eine eigens von APT-3 entwickelte Backdoor, die in verschieden Operationen verwendet wurde.

Was ist Operation CuckooBees?

Die Operation CuckooBees war eine Spionagekampagne, die der APT-41 zugeschrieben wurde. Erste Aktivitäten reichen zurück in das Jahr 2019 und hatte Technologie- und Produktionsunternehmen in Ostasien, Westeuropa und Nordamerika im Visier.

Was ist die ShadowPad Backdoor?

Die ShadowPad Backdoor (Backdoor.Win32.Shadowpad.a) entwickelt von APT-41 wurde erstmals im Juli 2017 bei der Kompromittierung von der NetSarang-Software entdeckt.

Was ist die RDAT-Backdoor?

Die RDAT-Backdoor wurde von der iranischen Hackgruppe APT-34 entwickelt und erstmals im Jahr 2017 gesehen. Die RDAT-Backdoor benutzt einen neuartigen E-Mail basierten Command and Control (C2) Server.

Was ist die CharmPower Backdoor?

CharmPower ist eine PowerShell-basierte modulare Backdoor, die von APT-35 seit mindestens 2022 verwendet wird. Die Hauptaufgabe ist die Kommunikation mit dem Command and Control (C2) Server.

Was ist die MVZ-Analyse?

Die hier erarbeitete Analyse verwendet verschiedene Parameter, die als Vergleichswerte dienen. Angreifer agieren aus einer bestimmten Motivation heraus, das kann zum Beispiel finanziell motiviert sein. Dann gibt es ein spezielles Vorgehen, gefolgt von einem konkreten Ziel, das erreicht werden soll. Das Akronym MVZ steht hierbei für die drei Hauptkategorien M otivation, V orgehen und Z iel. Jede Kategorie hat mehrere Parameter, die entsprechend für den Vergleich genutzt werden.