Cyberbedrohungen. Eine Analyse von Kriterien zur Beschreibung von Advanced Persistent Threats

Inhaltsverzeichnis

• Abkürzungsverzeichnis
• Abbildungsverzeichnis
• 1 Einleitung
  • 1.1 Problemstellung
  • 1.2 Zielsetzung
  • 1.3 Vorgehensweise
• 2 Begriffsklärung
  • 2.1 Advanced Persistent Threat
  • 2.2 Abgrenzung zu weiteren Cyberbedrohungen
  • 2.3 Ablauf eines APT-Angriffs
  • 2.4 Beispiele für bekannte Advanced Persistent Threats
  • 2.5 Schutz- und Gegenmaßnahmen
• 3 Attribution von Advanced Persistent Threats
  • 3.1 Vorgehen bei der Attribution
  • 3.2 Akteure
  • 3.3 Attributionsmodelle
• 4 Identifikation von APT-Kriterien
  • 4.1 Kriterien innerhalb der Dimension „Fähigkeiten“
  • 4.2 Kriterien innerhalb der Dimension „Infrastruktur“
  • 4.3 Kriterien innerhalb der Dimension „Opfer“
  • 4.4 Kriterien innerhalb der Dimension „Angreifer“
  • 4.5 Zusammenfassender Katalog für APT-Beschreibungskriterien
• 5 Einordnung bekannter APTs
  • 5.1 APT 10/ Stone Panda/ Menupass/ CVNX
  • 5.2 APT 28/ Sofacy/ Fancy Bear/ Operation Pawnstorm
• 6 Bewertung der identifizierten Beschreibungskriterien
• 7 Fazit

Zielsetzung und Themenschwerpunkte

Diese Masterarbeit hat zum Ziel, ein umfassendes Bild der Beschreibungskriterien für Advanced Persistent Threats (APTs) zu erstellen und zu analysieren. Die Arbeit untersucht verschiedene Kriterien, die bei der Zuordnung konkreter Angriffe zu einem APT herangezogen werden, und bewertet deren Aussagekraft. Zwei bekannte APT-Gruppen dienen als Fallbeispiele.

• Begriffsbestimmung und Abgrenzung von APTs zu anderen Cyberbedrohungen
• Attribution von APTs: Methoden und Modelle
• Identifikation und Analyse von Kriterien zur Beschreibung von APTs
• Fallstudien: Analyse von APT 10 und APT 28
• Bewertung der identifizierten Kriterien und deren Aussagekraft für die Attribution

Zusammenfassung der Kapitel

1 Einleitung: Dieses Kapitel führt in die Thematik der Advanced Persistent Threats (APTs) ein. Es beschreibt die steigende Anzahl an Cyberangriffen, insbesondere hochspezialisierte Angriffe auf deutsche Regierungsnetze und Unternehmen. Die Problemstellung wird durch die wachsende Bedeutung und Komplexität von APTs sowie die Schwierigkeiten bei der Attribution (Zuordnung des Täters) deutlich gemacht. Die Arbeit zielt darauf ab, Kriterien zur Beschreibung von APTs zu identifizieren und zu analysieren, um eine präzisere Attribution zu ermöglichen.

2 Begriffsklärung: Dieses Kapitel bietet eine Arbeitsdefinition für APTs, die verschiedene Ansätze aus der IT-Sicherheitsbranche zusammenführt. APTs werden als komplexe, zielgerichtete und lang anhaltende Cyberangriffe charakterisiert, die darauf abzielen, unbemerkt sensible Daten zu stehlen oder Schaden anzurichten. Der Kapitel erläutert den personenbezogenen Ansatz der APT-Definition, der APTs als „Threat Groups“ (Gruppen von Personen) betrachtet. Weiterhin wird eine Abgrenzung zu anderen Cyberbedrohungen wie Hacktivismus, Cyberkriminalität, Cyberspionage und Cybersabotage vorgenommen. Der Ablauf eines typischen APT-Angriffs wird anhand von Modellen von FireEye und Symantec dargestellt, und es werden Beispiele für bekannte APTs wie APT 1, Operation Aurora, Stuxnet, und Angriffe auf Unternehmen wie Sony Pictures und Yahoo genannt. Schließlich werden Schutz- und Gegenmaßnahmen skizziert.

3 Attribution von Advanced Persistent Threats: Dieses Kapitel behandelt das komplexe Verfahren der Attribution, also der Zuordnung von Cyberangriffen zu konkreten Tätern. Es betont die Schwierigkeiten bei der Urheberschaftsermittlung aufgrund der Anonymität im Internet und der Bemühungen der Angreifer, ihre Spuren zu verwischen. Das Kapitel beschreibt das grundsätzliche Vorgehen bei der Attribution, das auf der Sammlung von Details verschiedener Angriffe und dem Vergleich von Merkmalen basiert. Es werden verschiedene Akteure wie betroffene Organisationen, IT-Sicherheitsdienstleister und staatliche Stellen vorgestellt, die sich mit der Attribution beschäftigen. Schließlich werden wichtige Attributionsmodelle wie das „Diamond Model of Intrusion Analysis“ und das „Kill Chain“-Modell vorgestellt und erläutert.

4 Identifikation von APT-Kriterien: Kapitel vier konzentriert sich auf die Identifizierung und Analyse von Kriterien zur Beschreibung von APTs. Es nutzt das „Diamond Model“ als Rahmen, um die Kriterien in vier Dimensionen zu kategorisieren: Angreifer, Opfer, Fähigkeiten und Infrastruktur. Es werden diverse Kriterien aus Fachberichten und Quellen zusammengetragen und detailliert erläutert, unter anderem die eingesetzten Werkzeuge (Schadsoftware, RATs etc.), die Techniken und Vorgehensweisen (Angriffsvektoren, Social Engineering), der Anspruch des Angriffs (Ressourcen, Zero-Day-Exploits), sowie die interne und externe Infrastruktur. Das Kapitel resultiert in einem umfassenden Fragenkatalog, der zur Analyse und Beschreibung von APT-Angriffen verwendet werden kann.

5 Einordnung bekannter APTs: Dieses Kapitel wendet die in Kapitel vier entwickelten Kriterien auf zwei bekannte APT-Gruppen an: APT 10 und APT 28. Es analysiert öffentlich zugängliche Informationen aus Berichten von IT-Sicherheitsfirmen, um die jeweiligen Angriffsmethoden, Infrastruktur, Opfer und die mutmaßliche Motivation der Gruppen zu beschreiben und im Kontext des Fragenkatalogs zu verorten.

6 Bewertung der identifizierten Beschreibungskriterien: Dieses Kapitel bewertet die Aussagekraft der in Kapitel vier identifizierten Kriterien auf Basis der Fallstudien in Kapitel fünf. Es wird herausgestellt, dass die Aussagekraft der einzelnen Kriterien unterschiedlich stark ist und erst in ihrer Kombination und durch die Bildung von Mustern ein trennscharfes Bild der Angreifergruppen entsteht. Die Bedeutung der Motivation des Angreifers als zentrales Attributionskriterium wird hervorgehoben.

Schlüsselwörter

Advanced Persistent Threats (APT), Cyberangriffe, Attribution, Cyberspionage, Cybersabotage, IT-Sicherheit, Threat Intelligence, Indicators of Compromise (IOC), Diamond Model, Kill Chain, APT 10, APT 28, Schadsoftware, Social Engineering, Zero-Day-Exploits, Infrastruktur, Opfer, Angreifer, Ressourcen, Motivation.

Häufig gestellte Fragen zur Masterarbeit: Beschreibungskriterien für Advanced Persistent Threats (APTs)

Was ist der Gegenstand dieser Masterarbeit?

Die Masterarbeit befasst sich mit der umfassenden Beschreibung und Analyse von Kriterien zur Charakterisierung von Advanced Persistent Threats (APTs). Sie untersucht verschiedene Kriterien, die bei der Zuordnung konkreter Angriffe zu einem APT herangezogen werden, und bewertet deren Aussagekraft. Zwei bekannte APT-Gruppen dienen als Fallbeispiele.

Welche Themen werden in der Arbeit behandelt?

Die Arbeit behandelt folgende Themenschwerpunkte: Begriffsbestimmung und Abgrenzung von APTs zu anderen Cyberbedrohungen, Attribution von APTs (Methoden und Modelle), Identifikation und Analyse von Kriterien zur Beschreibung von APTs, Fallstudien (Analyse von APT 10 und APT 28), und die Bewertung der identifizierten Kriterien und deren Aussagekraft für die Attribution.

Wie ist die Arbeit strukturiert?

Die Arbeit gliedert sich in sieben Kapitel: Einleitung (Problemstellung, Zielsetzung, Vorgehensweise), Begriffsklärung (Definition von APTs, Abgrenzung zu anderen Bedrohungen, Ablauf eines APT-Angriffs, Beispiele, Schutzmaßnahmen), Attribution von APTs (Vorgehen, Akteure, Modelle), Identifikation von APT-Kriterien (Kriterien nach Dimensionen: Fähigkeiten, Infrastruktur, Opfer, Angreifer), Einordnung bekannter APTs (APT 10 und APT 28), Bewertung der identifizierten Beschreibungskriterien und Fazit.

Was sind Advanced Persistent Threats (APTs)?

APTs werden in der Arbeit als komplexe, zielgerichtete und lang anhaltende Cyberangriffe definiert, die darauf abzielen, unbemerkt sensible Daten zu stehlen oder Schaden anzurichten. Der personenbezogene Ansatz der APT-Definition betrachtet APTs als „Threat Groups“ (Gruppen von Personen).

Wie schwierig ist die Attribution von APTs?

Die Attribution von APTs, also die Zuordnung von Cyberangriffen zu konkreten Tätern, ist sehr schwierig aufgrund der Anonymität im Internet und der Bemühungen der Angreifer, ihre Spuren zu verwischen. Die Arbeit beschreibt das komplexe Verfahren der Attribution und die Herausforderungen dabei.

Welche Kriterien werden zur Beschreibung von APTs identifiziert?

Die Arbeit identifiziert und analysiert verschiedene Kriterien zur Beschreibung von APTs, die in vier Dimensionen kategorisiert werden: Angreifer, Opfer, Fähigkeiten und Infrastruktur. Beispiele für Kriterien sind eingesetzte Werkzeuge (Schadsoftware), Techniken und Vorgehensweisen (Angriffsvektoren, Social Engineering), der Anspruch des Angriffs (Ressourcen, Zero-Day-Exploits) und die interne und externe Infrastruktur.

Welche Fallstudien werden untersucht?

Die Arbeit untersucht zwei bekannte APT-Gruppen als Fallstudien: APT 10 und APT 28. Öffentlich zugängliche Informationen aus Berichten von IT-Sicherheitsfirmen werden analysiert, um die Angriffsmethoden, Infrastruktur, Opfer und die mutmaßliche Motivation der Gruppen zu beschreiben.

Welche Schlussfolgerungen zieht die Arbeit?

Die Arbeit bewertet die Aussagekraft der identifizierten Kriterien und stellt fest, dass deren Aussagekraft unterschiedlich stark ist. Erst die Kombination der Kriterien und die Bildung von Mustern ermöglichen ein trennscharfes Bild der Angreifergruppen. Die Bedeutung der Motivation des Angreifers als zentrales Attributionskriterium wird hervorgehoben.

Welche Schlüsselwörter beschreiben die Arbeit?

Schlüsselwörter sind: Advanced Persistent Threats (APT), Cyberangriffe, Attribution, Cyberspionage, Cybersabotage, IT-Sicherheit, Threat Intelligence, Indicators of Compromise (IOC), Diamond Model, Kill Chain, APT 10, APT 28, Schadsoftware, Social Engineering, Zero-Day-Exploits, Infrastruktur, Opfer, Angreifer, Ressourcen, Motivation.