In Abgrenzung zum einfachen Hacking werden hochspezialisierte und hochgradig anspruchsvolle, oft auf einen längeren Zeitraum angelegte Cyberangriffe als Advanced Persistent Threats – kurz APTs – bezeichnet. Mandiant sieht in einem APT eine "Threat Group" – also eine Gruppe von Personen, die zusammenarbeitet, um für sie interessante Netzwerke anzugreifen.
Eine beweissichere Zuordnung eines Cyberangriffs zu einem konkreten Täter (beispielsweise einem staatlichen Akteur) ist nicht unmöglich, aber so komplex, dass sie in den wenigsten Fällen erfolgreich ist. Dennoch versucht man im Zuge dieser Zuordnung, der sogenannten Attribution, möglichst viele Merkmale eines konkreten Angriffs mit den bekannten Merkmalen eines Advanced Persistent Threats abzugleichen. Kann man einer APT immer mehr Angriffe zuordnen, wird das Bild dieser Gruppe Schritt für Schritt genauer. In einigen Fällen war es dadurch bereits möglich, Rückschlüsse auf konkrete Täter ziehen zu können.
Das Ziel dieses Buchs ist es, aus Fachberichten und weiteren Quellen ein umfassendes Bild der Beschreibungskriterien für Advanced Persistent Threats zu erarbeiten und zu analysieren. Diese Kriterien werden in einem Fragenkatalog für APT-Angriffe zusammengestellt. Es erfolgt eine Bewertung der Aussagekraft der einzelnen Kriterien. Dazu werden zwei konkrete Beispiele besonders bekannter Cyberangriffsgruppen, APT 10 und APT 28, angeführt.
Aus dem Inhalt:
- Cyberangriffe;
- Advanced Persistent Threat;
- APT-Kriterien;
- Cyberbedrohungen
Inhaltsverzeichnis
1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise
2 Begriffsklärung
2.1 Advanced Persistent Threat
2.2 Abgrenzung zu weiteren Cyberbedrohungen
2.3 Ablauf eines APT-Angriffs
2.4 Beispiele für bekannte Advanced Persistent Threats
2.5 Schutz- und Gegenmaßnahmen
3 Attribution von Advanced Persistent Threats
3.1 Vorgehen bei der Attribution
3.2 Akteure
3.3 Attributionsmodelle
4 Identifikation von APT-Kriterien
4.1 Kriterien innerhalb der Dimension „Fähigkeiten“
4.2 Kriterien innerhalb der Dimension „Infrastruktur“
4.3 Kriterien innerhalb der Dimension „Opfer“
4.4 Kriterien innerhalb der Dimension „Angreifer“
4.5 Zusammenfassender Katalog für APT-Beschreibungskriterien
5 Einordnung bekannter APTs
5.1 APT 10/ Stone Panda/ Menupass/ CVNX
5.2 APT 28/ Sofacy/ Fancy Bear/ Operation Pawnstorm
6 Bewertung der identifizierten Beschreibungskriterien
7 Fazit
Zielsetzung & Themen
Ziel dieser Arbeit ist es, die Kriterien für die Beschreibung von Advanced Persistent Threats (APTs) systematisch zu analysieren, in einem Fragenkatalog zusammenzufassen und deren Aussagekraft im Kontext einer präzisen Attribution der Angreifergruppen zu bewerten.
- Definition und Abgrenzung von Advanced Persistent Threats
- Untersuchung von Attributionsmodellen (Diamond Model, Kill Chain)
- Identifikation relevanter Beschreibungskriterien in den Dimensionen Angreifer, Opfer, Fähigkeiten und Infrastruktur
- Analyse und Einordnung konkreter APT-Gruppen (APT 10 und APT 28)
- Bewertung der Aussagekraft einzelner Kriterien für die Täterzuordnung
Auszug aus dem Buch
2.1 Advanced Persistent Threat
Der Begriff Advanced Persistent Threat (kurz APT) wurde 2010 durch den IT-Sicherheitsdienstleister Mandiant geprägt. (Mandiant 2013, S. 2) Seitdem ist eine Vielzahl von Publikationen zu dieser speziellen Bedrohungsart erschienen. Eine umfassende, abschließende Definition von Advanced Persistent Threats existiert bisher nicht. Im Rahmen dieser Arbeit soll dennoch ein Begriffsverständnis hergestellt werden. Daher werden verschiedene Ansätze besonders populärer Unternehmen der IT-Sicherheitsbranche aufgegriffen und zusammengeführt.
Unter Advanced Persistent Threats werden im Allgemeinen komplexe und zielgerichtete Bedrohungen, die sich gegen ein oder wenige Opfer richten, verstanden. Die konkreten Angriffe im Rahmen dieser Bedrohungen („threats“) werden vom Angreifer aufwändig vorbereitet, sind hochentwickelt („advanced“) und dauern lange an („persistent“). Ein APT-Angriff soll nach Möglichkeit unentdeckt bleiben, um vertrauliche Daten von öffentlichen Organisationen und Unternehmen über einen längeren Zeitpunkt auszuspähen (Cyberspionage) oder anderen Schaden – zum Beispiel im Bereich der kritischen Infrastrukturen – zu verursachen (Cybersabotage). (BMI 2016, o.S; Kaspersky 2013, o.S.)
Mandiant spricht im Rahmen eines APTs auch von einer „Threat Group“ – also einer Gruppe von Personen, die zusammenarbeitet, um für sie interessante Netzwerke anzugreifen. Die verschiedenen APT-Gruppen können bestimmte Merkmale wie beispielsweise dieselben Ziele oder die Verwendung derselben Schadsoftware teilen. Damit definiert sich ein APT für Mandiant durch Personen, an denen weitere Merkmale wie in den eben genannten Beispielen festzumachen sind. (Mandiant 2013, S. 61)
Zusammenfassung der Kapitel
1 Einleitung: Stellt die Problematik zunehmender, hochspezialisierter Cyberangriffe dar und definiert das Ziel, einen Katalog von Beschreibungskriterien für APTs zu erarbeiten.
2 Begriffsklärung: Etabliert eine Arbeitsdefinition von APTs, grenzt sie von anderen Bedrohungen ab und beschreibt den idealtypischen Ablauf eines solchen Angriffs.
3 Attribution von Advanced Persistent Threats: Analysiert die Herausforderungen der Täterzuordnung und stellt gängige Analysemodelle wie das Diamant-Modell und das Kill Chain-Modell vor.
4 Identifikation von APT-Kriterien: Identifiziert spezifische Merkmale zur Beschreibung von APTs und ordnet diese den Dimensionen Fähigkeiten, Infrastruktur, Opfer und Angreifer zu.
5 Einordnung bekannter APTs: Wendet den erarbeiteten Kriterienkatalog beispielhaft auf die Gruppen APT 10 und APT 28 an, um deren Vorgehensweise und Motivation zu beleuchten.
6 Bewertung der identifizierten Beschreibungskriterien: Diskutiert die Aussagekraft der verschiedenen Kriterien und verdeutlicht, dass eine zuverlässige Attribution meist nur durch die Kombination mehrerer Merkmale gelingt.
7 Fazit: Fasst zusammen, dass die präzise Beschreibung und Beobachtung von APT-Akteuren unerlässlich für die zukünftige Prävention von Cyberangriffen ist.
Schlüsselwörter
Advanced Persistent Threat, APT, Attribution, Cyberangriff, Cyberspionage, Cybersabotage, IT-Sicherheit, Schadsoftware, Threat Intelligence, Kill Chain, Diamant-Modell, APT 10, APT 28, TTPs, Social Engineering
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit analysiert Advanced Persistent Threats (APTs) als eine spezielle, hochspezialisierte Kategorie von Cyberangriffen und entwickelt ein System, um diese Angriffe anhand von Kriterien zu beschreiben und den Urhebern zuzuordnen.
Was sind die zentralen Themenfelder?
Die Themen umfassen die Definition von APTs, die Erläuterung von Attributionsmodellen, die Identifikation technischer und organisatorischer Beschreibungskriterien sowie deren praktische Anwendung auf bekannte Angreifergruppen.
Was ist das primäre Ziel der Forschungsarbeit?
Das Ziel ist es, einen fundierten Fragenkatalog als Analyseinstrument für APT-Angriffe zu erstellen und zu bewerten, welche Kriterien am besten geeignet sind, um komplexe Cyberangriffe einer bestimmten Tätergruppe zuzuordnen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine literaturbasierte Analyse von Fachberichten spezialisierter IT-Sicherheitsdienstleister und Sicherheitsbehörden, um auf Basis etablierter Modelle (wie dem Diamant-Modell) ein neues, kriteriengeleitetes Analyseschema zu entwickeln.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in die Begriffsklärung, die theoretische Fundierung durch Attributionsmodelle, die Herleitung von Beschreibungskriterien für vier Dimensionen (Fähigkeiten, Infrastruktur, Opfer, Angreifer) und deren Anwendung auf die APT-Gruppen 10 und 28.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den Kernbegriffen zählen APT, Attribution, Threat Intelligence, Cyberspionage, Schadsoftware, Kill Chain und TTPs.
Welche Rolle spielt das Diamant-Modell bei der Analyse?
Es dient als strukturierender Rahmen, um Merkmale eines Angriffs in den vier Dimensionen Angreifer, Opfer, Fähigkeiten und Infrastruktur in Bezug zueinander zu setzen und so einen ganzheitlichen Analyseansatz zu ermöglichen.
Was macht die Attribution von APT 28 besonders komplex?
Die Komplexität ergibt sich aus der bewussten Nutzung von Verschleierungstechniken, False-Flag-Operationen und der Verknüpfung der Angriffe mit russischen geopolitischen Interessen, was den direkten Nachweis einer staatlichen Steuerung juristisch erschwert.
- Quote paper
- Anonym (Author), 2017, Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats, Munich, GRIN Verlag, https://www.grin.com/document/369926
