Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre und des Datenschutzes .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

Ursprung und Entwicklung: Eine eingehende Untersuchung von Advanced Persistent Threat (APT) Groups

Dieser Blogbeitrag befasst sich mit der Identifizierung von APT (Advanced Persistent Threat)-Groups und ihrer Zuordnung zu Cyberangriffen. Darüber hinaus wird auf die verblüffende Seltenheit von Gruppen mit Ursprung in westlichen Ländern eingegangen.

Eine fortgeschrittene anhaltende Bedrohung (Advanced Persistent Threat, APT) ist definiert als ein lang anhaltender, gezielter Angriff auf ein bestimmtes Ziel mit der Absicht, dessen System zu kompromittieren und Informationen von oder über dieses Ziel zu erhalten. APTs werden von erfahrenen Cyber-Kriminellen ausgeklügelt und methodisch geplant und ausgeführt, die oft von Nationalstaaten, kriminellen Organisationen gesponsert oder unterstützt werden. Diese Bedrohungsakteure dringen heimlich in ein Netzwerk ein, um über einen längeren Zeitraum Daten zu stehlen oder zu manipulieren und bleiben dabei von den üblichen Sicherheitsmaßnahmen unentdeckt. Technologische Wachsamkeit und robuste präventive Sicherheitsmaßnahmen sind entscheidend, um diese ausgeklügelten Bedrohungen zu vereiteln. AV-Comparatives führt regelmäßig Tests gegen solche Angriffe durch.

Über APT-Groups

APT steht für Advanced Persistent Threat (fortgeschrittene anhaltende Bedrohung), wobei APT-Groups für die Initiierung dieser Bedrohungen und die nachfolgenden Cyberangriffe verantwortlich sind. Diese Gruppen werden gelegentlich als Synonym für Cyber-Bedrohungsakteure verwendet. APT-Groups sind in der Regel organisierte Kriminelle. Zu diesen Gruppen gehören Einzelpersonen, informell verbundene Kollektive oder große, gut strukturierte Organisationen, die über beträchtliche Ressourcen verfügen und manchmal auch vom Staat gesponsert werden können. Die Motivationen dieser Groups sind vielfältig und lassen sich hauptsächlich in drei Kategorien einteilen: nationalstaatliche Akteure, cyberkriminelle Syndikate und ideologisch motivierte Gruppierungen.

Kategorisierung und Identifizierung von APT Groups

Häufig zielen einzelne APT Groups auf ähnliche Einrichtungen ab oder verwenden wiederkehrende Methoden, so dass Forscher die Angriffe bestimmten Gruppen zuordnen können. Da die Angreifer in der Regel bestrebt sind, ihre Anonymität zu wahren, kann es ein komplexes Unterfangen sein, den Ursprung eines Angriffs zu bestimmen und seine genauen Motive zu ermitteln. Die Enträtselung des Zwecks eines Angriffs und seiner verantwortlichen Akteure kann sich über Monate oder sogar Jahre hinziehen, und in manchen Fällen ist es schwer, absolute Gewissheit zu erlangen.

Wie bereits erwähnt, lassen sich diese Gruppen in drei Hauptkategorien einteilen: nationalstaatliche Akteure, cyberkriminelle Syndikate und ideologisch motivierte Gruppierungen, darunter Hacktivisten und Terroristen. Cyberkriminelle versuchen, auf digitalem Wege an wertvolle Daten zu gelangen oder direkt Geld zu stehlen, wobei sie Taktiken wie Massenbetrug, Phishing-E-Mails, den Aufbau krimineller Infrastrukturen wie Botnets und gezielte Angriffe auf hochrangige Ziele einsetzen. Nationalstaatliche Akteure dienen den Interessen ihrer jeweiligen Länder, indem sie z. B. nachrichtendienstliche Informationen sammeln, Sabotage betreiben und Desinformationskampagnen durchführen. Eine weitere Untergruppe besteht aus Nervenkitzel suchenden Personen, die die Systemsicherheit bewerten und ihre Fähigkeiten demonstrieren wollen. Die letzte APT-Gruppe besteht aus Unternehmen, die in Wirtschaftsspionage oder Sabotage im Wettbewerb verwickelt sind.

Während Angriffe von Nationalstaaten in der Regel mehr Aufmerksamkeit in den Medien erregen, stellen Cyberkriminelle ein größeres Risiko für Privatpersonen und Unternehmen dar.

Namenskonventionen bei der Zuordnung von Bedrohungsakteuren

Verschiedene Forschungseinrichtungen verwenden unterschiedliche Namenskonventionen bei der Identifizierung unentdeckter Bedrohungsakteure. Diese Konventionen können sich auf Faktoren wie Angriffsmotivationen, angewandte Methoden oder das vermutete Herkunftsland beziehen.

Ein Nomenklatursystem verwendet Angriffstypen gefolgt von Ziffern, wobei APT (Advanced Persistent Threat) als allgemeine Bezeichnung dient, FIN finanziell motivierte Gruppen bezeichnet, TEMP für flüchtige Bedrohungen steht und UNC nicht kategorisierte Bedrohungsakteure bezeichnet. Einige Forschungseinrichtungen verwenden Namen von Tieren oder Fabelwesen, die mit bestimmten Ländern oder Motivationen verbunden sind. Microsoft hat vor kurzem eine neue Nomenklatur eingeführt, die Wetterphänomene wie Taifun oder Sandsturm zur Bezeichnung von Gruppen verwendet, die mit bestimmten Ländern oder Sektoren verbunden sind.

Diese Unterschiede können dazu führen, dass ein und dieselbe Angriffsgruppe unabhängig voneinander entdeckt und von verschiedenen Forschungseinrichtungen mit unterschiedlichen Bezeichnungen versehen wird. AV-Comparatives hält sich ausschließlich an die Nomenklatur der MITRE ATT&CK Groups Page , um mögliche Verwirrung zu vermeiden. Nachfolgend finden Sie eine Zusammenstellung der 138 APT-Gruppen, die zum 1. August 2023 in der Liste aufgeführt sind. Unsere Angaben zur Zuordnung stammen zusätzlich von anderen Labors und persönlichen Vermutungen einzelner Forscher in Fällen, in denen MITRE keine Zuordnung anbietet, oder alternative Quellen bieten umfassendere Einblicke. Es ist wichtig zu erkennen, dass die Zuordnung ein komplexes Unterfangen bleibt, das von Natur aus mit Unsicherheit behaftet ist. Bedrohungsakteure bemühen sich aktiv darum, ihre Identität zu verschleiern, indem sie Taktiken wie falsche Hinweise verwenden, um Ermittler in die Irre zu führen, oder die Methoden anderer Gruppen nachahmen. Eine fehlerhafte Zuordnung der Quelle eines Cyberangriffs kann weitreichende Auswirkungen haben, von diplomatischen Spannungen bis hin zu unbeabsichtigten Eskalationen in Konflikte. Folglich können wir nicht die Unfehlbarkeit der Genauigkeit der Zuordnung behaupten, da unsere Rolle darin besteht, Informationen weiterzugeben, die von externen Quellen zusammengestellt wurden.

Gruppe der BedrohungsakteureVerdächtigtes Land
admin@338 China
Ajax Security Team Iran
ALLANITRussland
Andariel Nordkorea
Aoqin DragonChina
APT1 China
APT12 China
APT16 China
APT17 China
APT18 China
APT19 China
APT28 Russland
APT29 Russland
APT3 China
APT30 China
APT32 Vietnam
APT33 Iran
APT37 Nordkorea
APT38 Nordkorea
APT39 Iran
APT41 China
APT-C-36 Venezuela
Aquatic PandaChina
Axiom China
BackdoorDiplomacy China
BITTERMyanmar
BlackOasis Türkei
BlackTech China
Blue Mockingbird China
Bouncing Golf Iran
BRONZE BUTLER China
Carbanak Ukraine
Chimera China
Cleaver Iran
Cobalt Group Russland
ConfuciusIndien
CopyKittens Iran
CURIUMIran
Dark Caracal Libanon
Darkhotel Südkorea
DarkHydrus Iran
DarkVishnya Ukraine
Deep Panda China
Dragonfly Russland
DragonOK China
Earth LuscaChina
Elderwood China
Ember BearRussland
Equation Vereinigte Staaten
Evilnum Israel
EXOTIC LILY Russland
Ferocious Kitten Iran
FIN10 Kanada
FIN4 Rumänien
FIN5 Ukraine
FIN6 Ukraine
FIN7 Ukraine
FIN8 Russland
Fox Kitten Iran
GALLIUM China
Gallmaker Russland
Gamaredon Group Russland
GCMAN Russland
GOLD SOUTHFIELD Russland
Gorgon Group Pakistan
Group5 Iran
HAFNIUM China
HEXANEIran
Higaisa Südkorea
InceptionRussland
IndigoZebra China
Indrik Spider Russland
Ke3chang China
Kimsuky Nordkorea
LAPSUS$Brasilien & UK
Lazarus Group Nordkorea
LazyScripterIndien
Leafminer Iran
Leviathan China
Lotus Blossom China
LuminousMothChina
MacheteKolumbien
Magic Hound Iran
menuPass (Stone Panda)China
MetadorGuinea
Moafee China
Mofang China
Molerats Gaza
Moses Staff Iran
MuddyWater Iran
Mustang Panda China
Naikon China
NEODYMIUM Türkei
Nomadic Octopus Russland
OilRig Iran
Orangeworm Brasilien
Patchwork Indien
PittyTiger China
PLATINUM China
POLONIUMLibanon
Poseidon Group Brasilien
PROMETHIUM Türkei
Putter Panda China
Rancor China
Rocke China
RTM Russland
Sandworm Team Russland
Scarlet Mimic China
SideCopyPakistan
Sidewinder Indien
Silence Litauen
Silent Librarian Iran
SilverTerrier Nigeria
Sowbug UK
Stealth Falcon Vereinigte Arabische Emirate
Strider Vereinigte Staaten
Suckfly China
TA459 China
TA505 Russland
TA551 Russland
TeamTNT Deutschland
TEMP.Veles Russland
The White Company Indien
Threat Group-1314 Vietnam
Threat Group-3390 China
Thrip China
Tonto Team China
Transparent Tribe Pakistan
Tropic Trooper China
Turla Russland
Volatile Cedar Libanon
Whitefly China
Windigo Russland
Windshift Israel
Winnti Group China
WIRTE Israel
Wizard Spider Russland
ZIRCONIUM China
Bedrohungsakteure, deren Länder fett gedruckt sind, stehen im Verdacht, mit dem Staat verbunden zu sein.
Die Groups und Zugehörigkeiten basieren auf den am 1. August 2023 verfügbaren Informationen. 2023 und können Änderungen unterliegen.

APT Groups und Herkunftsländer

Die folgende Karte zeigt die Länder, aus denen APT Groups stammen. Diese visuelle Darstellung verdeutlicht die operative Präsenz dieser Gruppen auf allen bewohnten Kontinenten.

Das folgende Diagramm zeigt die führenden Länder, geordnet nach der Anzahl der in der MITRE-Liste aufgeführten staatlich organisierten APT-Groups, zusammen mit der Anzahl der nicht staatlich organisierten APT-Groups innerhalb jeder Nation.

Erkundung und Identifizierung von APT Groups

Die Forschung im Bereich der Cybersicherheit und die Erkennung von APT Groups sind gemeinsame Aufgaben von Regierungsstellen und Privatunternehmen. Sicherheitsanbieter haben einen besonderen Blickwinkel, der es ihnen ermöglicht, die Bedrohungen zu überwachen, denen ihre Kunden ausgesetzt sind. Dadurch erhalten sie einen unvergleichlichen Einblick in die globale Bedrohungslandschaft und können nicht nur auf neue Bedrohungen reagieren, sondern auch übergreifende Trends in der Cybersicherheit untersuchen. Im Gegensatz dazu konzentrieren sich Regierungsbehörden in erster Linie auf den Schutz kritischer Infrastrukturen und die Zuordnung von Angriffen auf die Cybersicherheit, die durch politische Erwägungen und potenzielle finanzielle Repressalien motiviert sind. Darüber hinaus gibt es eine Reihe von unabhängigen Forschungskollektiven, die akribisch Kataloge von Cyber-Bedrohungsakteuren zusammenstellen.

Der Blick von der anderen Seite - eine auffällige Abwesenheit

Bei der Betrachtung der Liste der Bedrohungsakteure fällt auf, dass europäische und amerikanische Organisationen nicht vertreten sind. Eine auffällige Erkenntnis ist, dass fast die Hälfte der mit dem Staat verbundenen Gruppen nach China zurückverfolgt werden kann. Die meisten dieser Angriffe haben ihren Ursprung in China und zielen oft auf die Vereinigten Staaten ab. Der Council on Foreign Relations, mit Sitz in den Vereinigten Staaten, unterstreicht die ausgeprägte Aufmerksamkeit der Medien und der Forschung für Angriffe, die mit Nationalstaaten in Verbindung stehen, unabhängig von den Zielen. Ihre Studien unterstreichen, dass ein erheblicher Teil der staatlich gesponserten Cyber-Bedrohungen von China, Russland, Iran und Nordkorea ausgeht.

Die Divergenz zwischen europäischen Forschungsgruppen und ihren amerikanischen Pendants wird deutlich, wenn man die Zuordnungslandschaft analysiert. Europäische Einrichtungen, die auf den Informationsaustausch mit den Vereinigten Staaten angewiesen sind und hohe Standards für die Zuordnung anwenden, stoßen auf weniger Fälle, in denen Cyber-Bedrohungen amerikanischen Ursprungs sind. Diese Entwicklung steht im Einklang mit dem Fokus der Regierung, die auf die Erforschung von Angreifern abzielt, die auf ihre eigenen Interessen abzielen. Darüber hinaus zeigt die Five Eyes (FVEY) Allianz eine geschickte Koordinierung beim "Benennen und Anprangern" ausländischer Bedrohungsakteure. Eine Strategie, die historisch weniger von nicht westlichen Nationen befolgt wurde, insbesondere nach Enthüllungen von Cyberangriffen aus westlichen Quellen .

Eine weitere Dimension der Untersuchung betrifft die Reaktion der Medien auf von den USA initiierte Angriffe auf Europa oder andere westliche Länder. Prominente Fälle, wie die Enthüllungen von Edward Snowden, zeigen, dass die Vereinigten Staaten wahrscheinlich der fortschrittlichste und aktivste Bedrohungsakteur sind, der auf der ganzen Welt operiert und auch nicht zurückschreckt, wenn es um die Spionage seiner Verbündete . Rewterz, das über die Grenzen der EU und der USA hinaus operiert, hat Threat Intelligence veröffentlicht und behauptet, dass Cyberangriffe sowohl aus den Vereinigten Staaten als auch aus Europa kommen. Die Daten in der nachstehenden Tabelle von Rewterz heben die USA als Hauptursprung von Cyberangriffen hervor. Dies unterscheidet sich von den Gruppenzusammenstellungen westlicher Länder, die Angriffe hauptsächlich China, Russland und dem Iran zuschreiben.

Zwar gibt es durchaus Fälle von Cyberangriffen, die von den Vereinigten Staateninitiiert wurden und auf andere Nationen abzielen, doch finden sie in den Medien häufig wenig Beachtung . Ebenso tragen Datenverzerrungen westlicher Cybersicherheitsfirmen mit weniger Kunden in nicht westlichen Regionen zu diesem Szenario bei, wo sie möglicherweise Angriffe westlicher Akteure aufdecken könnten.

Dieses Zusammenspiel von Faktoren führt zu der Erkenntnis, dass ein unverhältnismäßig großer Teil der Cyberangriffe von außerhalb der westlichen Grenzen ausgeht.

Absicherung gegen APT Groups

Angesichts von APT Groups, die weltweit aktiv Cyber-Bedrohungen generieren, ist es unerlässlich, dem persönlichen Schutz Priorität einzuräumen. Die Stärkung Ihrer digitalen Sicherheit durch zuverlässige Software wird zu einer strategischen Anforderung. AV-Comparatives, ein führendes Unternehmen auf dem Gebiet der Cybersicherheitsbewertung, bewertet Sicherheitsprodukte rigoros, z.B. durch seine Advanced Threat Protection Tests und Endpoint Prevention & Response Tests. Diese sorgfältigen Bewertungen zielen darauf ab, die Wirksamkeit dieser Produkte bei der Schaffung eines robusten Schutzes gegen gezielte Angriffe und komplexe, von APT-Entitäten orchestrierte Eindringlinge zu beurteilen.