Ursprung und Entwicklung: Eine eingehende Untersuchung von Advanced Persistent Threat (APT) Groups
Dieser Blogbeitrag befasst sich mit der Identifizierung von APT (Advanced Persistent Threat)-Groups und ihrer Zuordnung zu Cyberangriffen. Darüber hinaus wird auf die verblüffende Seltenheit von Gruppen mit Ursprung in westlichen Ländern eingegangen.
Eine fortgeschrittene anhaltende Bedrohung (Advanced Persistent Threat, APT) ist definiert als ein lang anhaltender, gezielter Angriff auf ein bestimmtes Ziel mit der Absicht, dessen System zu kompromittieren und Informationen von oder über dieses Ziel zu erhalten. APTs werden von erfahrenen Cyber-Kriminellen ausgeklügelt und methodisch geplant und ausgeführt, die oft von Nationalstaaten, kriminellen Organisationen gesponsert oder unterstützt werden. Diese Bedrohungsakteure dringen heimlich in ein Netzwerk ein, um über einen längeren Zeitraum Daten zu stehlen oder zu manipulieren und bleiben dabei von den üblichen Sicherheitsmaßnahmen unentdeckt. Technologische Wachsamkeit und robuste präventive Sicherheitsmaßnahmen sind entscheidend, um diese ausgeklügelten Bedrohungen zu vereiteln. AV-Comparatives führt regelmäßig Tests gegen solche Angriffe durch.
Über APT-Groups
APT steht für Advanced Persistent Threat (fortgeschrittene anhaltende Bedrohung), wobei APT-Groups für die Initiierung dieser Bedrohungen und die nachfolgenden Cyberangriffe verantwortlich sind. Diese Gruppen werden gelegentlich als Synonym für Cyber-Bedrohungsakteure verwendet. APT-Groups sind in der Regel organisierte Kriminelle. Zu diesen Gruppen gehören Einzelpersonen, informell verbundene Kollektive oder große, gut strukturierte Organisationen, die über beträchtliche Ressourcen verfügen und manchmal auch vom Staat gesponsert werden können. Die Motivationen dieser Groups sind vielfältig und lassen sich hauptsächlich in drei Kategorien einteilen: nationalstaatliche Akteure, cyberkriminelle Syndikate und ideologisch motivierte Gruppierungen.
Kategorisierung und Identifizierung von APT Groups
Häufig zielen einzelne APT Groups auf ähnliche Einrichtungen ab oder verwenden wiederkehrende Methoden, so dass Forscher die Angriffe bestimmten Gruppen zuordnen können. Da die Angreifer in der Regel bestrebt sind, ihre Anonymität zu wahren, kann es ein komplexes Unterfangen sein, den Ursprung eines Angriffs zu bestimmen und seine genauen Motive zu ermitteln. Die Enträtselung des Zwecks eines Angriffs und seiner verantwortlichen Akteure kann sich über Monate oder sogar Jahre hinziehen, und in manchen Fällen ist es schwer, absolute Gewissheit zu erlangen.
Wie bereits erwähnt, lassen sich diese Gruppen in drei Hauptkategorien einteilen: nationalstaatliche Akteure, cyberkriminelle Syndikate und ideologisch motivierte Gruppierungen, darunter Hacktivisten und Terroristen. Cyberkriminelle versuchen, auf digitalem Wege an wertvolle Daten zu gelangen oder direkt Geld zu stehlen, wobei sie Taktiken wie Massenbetrug, Phishing-E-Mails, den Aufbau krimineller Infrastrukturen wie Botnets und gezielte Angriffe auf hochrangige Ziele einsetzen. Nationalstaatliche Akteure dienen den Interessen ihrer jeweiligen Länder, indem sie z. B. nachrichtendienstliche Informationen sammeln, Sabotage betreiben und Desinformationskampagnen durchführen. Eine weitere Untergruppe besteht aus Nervenkitzel suchenden Personen, die die Systemsicherheit bewerten und ihre Fähigkeiten demonstrieren wollen. Die letzte APT-Gruppe besteht aus Unternehmen, die in Wirtschaftsspionage oder Sabotage im Wettbewerb verwickelt sind.
Während Angriffe von Nationalstaaten in der Regel mehr Aufmerksamkeit in den Medien erregen, stellen Cyberkriminelle ein größeres Risiko für Privatpersonen und Unternehmen dar.
Namenskonventionen bei der Zuordnung von Bedrohungsakteuren
Verschiedene Forschungseinrichtungen verwenden unterschiedliche Namenskonventionen bei der Identifizierung unentdeckter Bedrohungsakteure. Diese Konventionen können sich auf Faktoren wie Angriffsmotivationen, angewandte Methoden oder das vermutete Herkunftsland beziehen.
Ein Nomenklatursystem verwendet Angriffstypen gefolgt von Ziffern, wobei APT (Advanced Persistent Threat) als allgemeine Bezeichnung dient, FIN finanziell motivierte Gruppen bezeichnet, TEMP für flüchtige Bedrohungen steht und UNC nicht kategorisierte Bedrohungsakteure bezeichnet. Einige Forschungseinrichtungen verwenden Namen von Tieren oder Fabelwesen, die mit bestimmten Ländern oder Motivationen verbunden sind. Microsoft hat vor kurzem eine neue Nomenklatur eingeführt, die Wetterphänomene wie Taifun oder Sandsturm zur Bezeichnung von Gruppen verwendet, die mit bestimmten Ländern oder Sektoren verbunden sind.
Diese Unterschiede können dazu führen, dass ein und dieselbe Angriffsgruppe unabhängig voneinander entdeckt und von verschiedenen Forschungseinrichtungen mit unterschiedlichen Bezeichnungen versehen wird. AV-Comparatives hält sich ausschließlich an die Nomenklatur der MITRE ATT&CK Groups Page , um mögliche Verwirrung zu vermeiden. Nachfolgend finden Sie eine Zusammenstellung der 138 APT-Gruppen, die zum 1. August 2023 in der Liste aufgeführt sind. Unsere Angaben zur Zuordnung stammen zusätzlich von anderen Labors und persönlichen Vermutungen einzelner Forscher in Fällen, in denen MITRE keine Zuordnung anbietet, oder alternative Quellen bieten umfassendere Einblicke. Es ist wichtig zu erkennen, dass die Zuordnung ein komplexes Unterfangen bleibt, das von Natur aus mit Unsicherheit behaftet ist. Bedrohungsakteure bemühen sich aktiv darum, ihre Identität zu verschleiern, indem sie Taktiken wie falsche Hinweise verwenden, um Ermittler in die Irre zu führen, oder die Methoden anderer Gruppen nachahmen. Eine fehlerhafte Zuordnung der Quelle eines Cyberangriffs kann weitreichende Auswirkungen haben, von diplomatischen Spannungen bis hin zu unbeabsichtigten Eskalationen in Konflikte. Folglich können wir nicht die Unfehlbarkeit der Genauigkeit der Zuordnung behaupten, da unsere Rolle darin besteht, Informationen weiterzugeben, die von externen Quellen zusammengestellt wurden.
Die Groups und Zugehörigkeiten basieren auf den am 1. August 2023 verfügbaren Informationen. 2023 und können Änderungen unterliegen.
APT Groups und Herkunftsländer
Die folgende Karte zeigt die Länder, aus denen APT Groups stammen. Diese visuelle Darstellung verdeutlicht die operative Präsenz dieser Gruppen auf allen bewohnten Kontinenten.
Das folgende Diagramm zeigt die führenden Länder, geordnet nach der Anzahl der in der MITRE-Liste aufgeführten staatlich organisierten APT-Groups, zusammen mit der Anzahl der nicht staatlich organisierten APT-Groups innerhalb jeder Nation.
Erkundung und Identifizierung von APT Groups
Die Forschung im Bereich der Cybersicherheit und die Erkennung von APT Groups sind gemeinsame Aufgaben von Regierungsstellen und Privatunternehmen. Sicherheitsanbieter haben einen besonderen Blickwinkel, der es ihnen ermöglicht, die Bedrohungen zu überwachen, denen ihre Kunden ausgesetzt sind. Dadurch erhalten sie einen unvergleichlichen Einblick in die globale Bedrohungslandschaft und können nicht nur auf neue Bedrohungen reagieren, sondern auch übergreifende Trends in der Cybersicherheit untersuchen. Im Gegensatz dazu konzentrieren sich Regierungsbehörden in erster Linie auf den Schutz kritischer Infrastrukturen und die Zuordnung von Angriffen auf die Cybersicherheit, die durch politische Erwägungen und potenzielle finanzielle Repressalien motiviert sind. Darüber hinaus gibt es eine Reihe von unabhängigen Forschungskollektiven, die akribisch Kataloge von Cyber-Bedrohungsakteuren zusammenstellen.
Der Blick von der anderen Seite - eine auffällige Abwesenheit
Bei der Betrachtung der Liste der Bedrohungsakteure fällt auf, dass europäische und amerikanische Organisationen nicht vertreten sind. Eine auffällige Erkenntnis ist, dass fast die Hälfte der mit dem Staat verbundenen Gruppen nach China zurückverfolgt werden kann. Die meisten dieser Angriffe haben ihren Ursprung in China und zielen oft auf die Vereinigten Staaten ab. Der Council on Foreign Relations, mit Sitz in den Vereinigten Staaten, unterstreicht die ausgeprägte Aufmerksamkeit der Medien und der Forschung für Angriffe, die mit Nationalstaaten in Verbindung stehen, unabhängig von den Zielen. Ihre Studien unterstreichen, dass ein erheblicher Teil der staatlich gesponserten Cyber-Bedrohungen von China, Russland, Iran und Nordkorea ausgeht.
Die Divergenz zwischen europäischen Forschungsgruppen und ihren amerikanischen Pendants wird deutlich, wenn man die Zuordnungslandschaft analysiert. Europäische Einrichtungen, die auf den Informationsaustausch mit den Vereinigten Staaten angewiesen sind und hohe Standards für die Zuordnung anwenden, stoßen auf weniger Fälle, in denen Cyber-Bedrohungen amerikanischen Ursprungs sind. Diese Entwicklung steht im Einklang mit dem Fokus der Regierung, die auf die Erforschung von Angreifern abzielt, die auf ihre eigenen Interessen abzielen. Darüber hinaus zeigt die Five Eyes (FVEY) Allianz eine geschickte Koordinierung beim "Benennen und Anprangern" ausländischer Bedrohungsakteure. Eine Strategie, die historisch weniger von nicht westlichen Nationen befolgt wurde, insbesondere nach Enthüllungen von Cyberangriffen aus westlichen Quellen .
Eine weitere Dimension der Untersuchung betrifft die Reaktion der Medien auf von den USA initiierte Angriffe auf Europa oder andere westliche Länder. Prominente Fälle, wie die Enthüllungen von Edward Snowden, zeigen, dass die Vereinigten Staaten wahrscheinlich der fortschrittlichste und aktivste Bedrohungsakteur sind, der auf der ganzen Welt operiert und auch nicht zurückschreckt, wenn es um die Spionage seiner Verbündete . Rewterz, das über die Grenzen der EU und der USA hinaus operiert, hat Threat Intelligence veröffentlicht und behauptet, dass Cyberangriffe sowohl aus den Vereinigten Staaten als auch aus Europa kommen. Die Daten in der nachstehenden Tabelle von Rewterz heben die USA als Hauptursprung von Cyberangriffen hervor. Dies unterscheidet sich von den Gruppenzusammenstellungen westlicher Länder, die Angriffe hauptsächlich China, Russland und dem Iran zuschreiben.
Zwar gibt es durchaus Fälle von Cyberangriffen, die von den Vereinigten Staateninitiiert wurden und auf andere Nationen abzielen, doch finden sie in den Medien häufig wenig Beachtung . Ebenso tragen Datenverzerrungen westlicher Cybersicherheitsfirmen mit weniger Kunden in nicht westlichen Regionen zu diesem Szenario bei, wo sie möglicherweise Angriffe westlicher Akteure aufdecken könnten.
Dieses Zusammenspiel von Faktoren führt zu der Erkenntnis, dass ein unverhältnismäßig großer Teil der Cyberangriffe von außerhalb der westlichen Grenzen ausgeht.
Absicherung gegen APT Groups
Angesichts von APT Groups, die weltweit aktiv Cyber-Bedrohungen generieren, ist es unerlässlich, dem persönlichen Schutz Priorität einzuräumen. Die Stärkung Ihrer digitalen Sicherheit durch zuverlässige Software wird zu einer strategischen Anforderung. AV-Comparatives, ein führendes Unternehmen auf dem Gebiet der Cybersicherheitsbewertung, bewertet Sicherheitsprodukte rigoros, z.B. durch seine Advanced Threat Protection Tests und Endpoint Prevention & Response Tests. Diese sorgfältigen Bewertungen zielen darauf ab, die Wirksamkeit dieser Produkte bei der Schaffung eines robusten Schutzes gegen gezielte Angriffe und komplexe, von APT-Entitäten orchestrierte Eindringlinge zu beurteilen.