Die Hackergruppen hinter Advanced Persistent Threats

Who-is-who der Hacker

Besonders aufmerksam beobachtet FireEye die Aktivitäten von APT-Gruppen, die Anweisungen und Unterstützung von Regierungen oder Regierungsbehörden erhalten.

Genau wie andere Angreifer auch stehlen APT-Gruppen Daten, stören den Geschäftsbetrieb und beschädigen Infrastrukturen. Im Gegensatz zu vielen anderen Cyberkriminellen verfolgen sie ihre Ziele jedoch langfristig, meist über mehrere Monate oder Jahre hinweg. Sie stimmen ihre Aktivitäten auf die Sicherheitsmaßnahmen ihrer anvisierten Opfer ab und greifen ein und dasselbe Opfer oft mehrfach an.

Doch Vorsicht: Sie sollten nicht sofort auf eine APT-Gruppe als Täter schließen, wenn Sie Malware in Ihrem System finden, die von dieser Gruppe genutzt wird. Ihr Sicherheitsteam sollte sich allerdings über die umtriebigsten APT-Gruppen und deren bevorzugte Malware-Varianten auf dem Laufenden halten und besonders achtsam reagieren, wenn es diese Varianten in Ihrem Netzwerk findet.

Advanced Persistent Threat (APT)

Webinar

Ein 360°-Überblick über aktive APT-Gruppen

APT-Gruppen

APT40 | APT39 | APT38 | APT37 | APT34 | APT33 | APT32 | APT30 | APT29
APT28 | APT19 | APT18 | APT17 | APT16 | APT12 | APT10 | APT5 | APT3 | APT1

APT40

Mutmaßliche Operationsbasis: China

Angriffsziele: APT40 ist eine chinesische Cyberspionagegruppe, deren Aktivitäten sich gewöhnlich auf Länder konzentrieren, die für die neue Seidenstraße strategisch wichtig sind. Derzeit greift die Gruppe hauptsächlich weltweit agierende Unternehmen (insbesondere im Ingenieurwesen und der Rüstungsindustrie) an. In der Vergangenheit waren einige ihrer Kampagnen jedoch auch gegen regionale Ziele gerichtet, unter anderem in Südostasien. Mindestens seit Januar 2013 sind Unternehmen in verschiedensten Branchen Ziel dieser Kampagnen, darunter in der Schifffahrt, der Rüstungsindustrie, der Luftfahrt, der Chemieindustrie, der Forschung und Lehre, dem öffentlichen Dienst und der Technologiebranche.

Überblick: Die Experten von FireEye Intelligence sind der Ansicht, dass die Aktivitäten von APT40 der Cyber-Arm der Bemühungen der Volksrepublik China zur Modernisierung ihrer Seestreitkräfte sind. Darauf deuten beispielsweise das Interesse an breit angelegten Forschungsprojekten an Universitäten und der Diebstahl von Entwürfen für Marineausrüstungen und -fahrzeuge hin. Die Gruppe späht vorwiegend staatlich gesponserte Projekte aus und entwendet große Mengen an Daten zu diesen Projekten, darunter Angebote, Besprechungsprotokolle, finanzielle Daten, Informationen über Lieferungen, Pläne, Zeichnungen und Rohdaten.

Verwendete Malware: APT40 wurde bei der Nutzung von Lösungen aus mindestens 51 verschiedenen Codefamilien beobachtet, von denen 37 nicht öffentlich zugänglich sind. Mindestens sieben dieser nicht öffentlich verfügbaren Tools (BadSign, FieldGoal, FindLock, Photo, ScanBox, Sogu und WideTone) werden auch von anderen Angreifern genutzt, die vermutlich von China aus agieren.

Angriffsvektoren: Die Mitglieder von APT40 versenden in der Regel Spear-Phishing-E-Mails, die angeblich von einer dem Empfänger namentlich bekannten Person stammen, mit der er oder sie gern in Kontakt treten würde. Das können beispielsweise Journalisten, Vertreter von Branchenpublikationen oder Mitglieder einer relevanten Militäreinheit oder Nichtregierungsorganisation (NGO) sein. In einigen Fällen missbrauchte die Gruppe auch vorab gehackte E-Mail-Konten zum Versand von Spear-Phishing-E-Mails.

APT39

Mutmaßliche Operationsbasis: Iran

Angriffsziele: APT39 greift Ziele in aller Welt an, die meisten Aktivitäten finden jedoch im Nahen Osten statt. Die Gruppe konzentriert sich auf die Telekommunikationsbranche, greift aber auch Ziele in der Tourismusbranche und IT-Firmen an, die Unternehmen in der Tourismus- oder Hightech-Branche unterstützen.

Überblick: Die Konzentration auf die Telekommunikations- und Tourismusbranche lässt vermuten, dass APT39 die Voraussetzungen für die Überwachung und Verfolgung bestimmter Personen schaffen sowie Betriebsgeheimnisse oder Kundendaten stehlen soll, die für kommerzielle oder betriebliche Zwischenschritte beim Erreichen strategischer Ziele des Iran wichtig sind. Außerdem bereitet die Gruppe vermutlich den Zugang und die Vektoren für zukünftige Kampagnen vor. Die Angriffe auf Regierungsbehörden könnten dem Diebstahl geopolitischer Informationen dienen, die der Regierung des Iran bei der Entscheidungsfindung helfen könnten.

Verwendete Malware: Die Gruppe benutzt vor allem die Backdoors Seaweed und Cachemoney, gelegentlich aber auch eine spezifische Variante der Backdoor Powbat.

Angriffsvektoren: Die Experten von FireEye Intelligence haben beobachtet, wie APT39 Spear-Phishing-E-Mails mit schädlichen Anhängen bzw. Hyperlinks versendet hat, um sich Zugang zu Zielsystemen zu verschaffen. Dabei wurden die anvisierten Systeme typischerweise mit Powbat infiziert. In einigen Fällen wurden diese E-Mails von vorab geknackten E-Mail-Konten versendet, vermutlich, um das Vertrauen der Empfänger in die vermeintlich bekannten Absender auszunutzen und so die Erfolgschancen zu verbessern. APT39 registriert auch häufig eigene Domains und hostet dort vorgeblich legitime Webservices, die für die anvisierten Opfer interessant sein könnten. Darüber hinaus identifiziert die Gruppe routinemäßig anfällige Webserver der anvisierten Unternehmen und Institutionen und installiert dort Web-Shells wie Antak und Aspxspy. Außerdem stiehlt die Gruppe legitime Anmeldedaten und nutzt sie, um sich Zugang zu über das Internet erreichbaren OWA-Ressourcen (Outlook Web Access) zu verschaffen. Uns ist kein Fall bekannt, in dem APT39 Schwachstellen ausgenutzt hat.

APT38

Mutmaßliche Operationsbasis: Nordkorea

Angriffsziele: Finanzinstitute in aller Welt

Überblick: Unsere Analyse der Aktivitäten einer von der nordkoreanischen Regierung gesponserten Hackergruppe, die wir als APT38 bezeichnen, hat ergeben, dass die größten bislang beobachteten finanziell motivierten Angriffe von dieser Gruppe ausgingen. APT38 und eine ebenfalls von der nordkoreanischen Regierung gesponserte Gruppe, die in Sicherheitskreisen als „Lazarus“ bezeichnet wird, nutzen gemeinsame Ressourcen für die Malware-Entwicklung. Wir sind jedoch der Meinung, dass die finanziellen Ziele, die charakteristischen Tools sowie die Taktiken, Techniken und Prozesse (TTP) von APT38 die Einstufung als eigenständige nordkoreanische Gruppe und die gesonderte Beobachtung rechtfertigen.

Verwendete Malware: Diese große und aktive Gruppe nutzt verschiedene Malware-Arten, oft in modifizierter Form. Beispiele sind Backdoors, Tunneler, Dataminer und Sabotagemalware, mit der bei Finanzinstituten Millionen von Dollar gestohlen und die Netzwerke der Opfer lahmgelegt wurden.

Angriffsvektoren: APT38 hat bereits mehr als 16 Unternehmen und Institutionen in mindestens 11 Ländern angegriffen. Die Gruppe geht sorgfältig und planmäßig vor. Die Hacker sind offensichtlich bemüht, in einem infiltrierten Netzwerk möglichst lange unbemerkt zu bleiben, um sich Klarheit über die Netzwerkarchitektur, die erforderlichen Zugriffsrechte und die vorhandenen Technologien zu verschaffen, die beim Erreichen ihrer Ziele nützlich sein können. APT38 unterscheidet sich in einem wichtigen Punkt von anderen APT-Gruppen: Sie schreckt nicht davor zurück, die Netzwerke ihrer Opfer mit aggressiven Mitteln zu beschädigen, um ihre Spuren zu zerstören.

APT37

Mutmaßliche Operationsbasis: Nordkorea

Angriffsziele: Betroffen sind in erster Linie Unternehmen in Südkorea, aber auch in Japan, Vietnam und dem Nahen Osten. Sie gehören verschiedenen Branchen an, darunter der chemischen Industrie, der Elektronikbranche, der Fertigung, der Luft- und Raumfahrtindustrie, der Automobilbranche sowie dem Gesundheitswesen.

Überblick: Unsere Analyse der jüngsten APT37-Aktivitäten zeigt, dass die Angriffe dieser Gruppe massiver und raffinierter werden und dass die Hacker mittlerweile über Zero-Day-Exploits und Löschprogramme (Wiper) verfügen. Aufgrund der Angriffsziele und einiger Spuren, die die Entwickler in der Malware selbst hinterlassen haben, gehen wir mit ziemlicher Sicherheit davon aus, dass APT37 im Auftrag der nordkoreanischen Regierung handelt. FireEye Intelligence hat Grund zu der Annahme, dass APT37 für Angriffe verantwortlich ist, über die unter den Namen Scarcruft und Group123 berichtet wurde.

Verwendete Malware: APT37 nutzt vielfältige Malware-Varianten für die Infiltration von Netzwerken und IT-Umgebungen sowie zur Ausschleusung von Daten. Neben diesen speziell für die Cyberspionage entwickelten Schadprogrammen stehen der Gruppe außerdem Sabotagetools wie beispielsweise Löschprogramme zur Verfügung.

Angriffsvektoren: Die Gruppe setzt bei den jeweiligen Opfern auf abgestimmte Social-Engineering-Taktiken, führt strategische, für gezielte Spionageoperationen typische Webangriffe durch und verbreitet ihre Malware in großem Maßstab über infizierte Torrent-Websites. Zudem nutzen die Hacker regelmäßig Schwachstellen im Textverarbeitungsprogramm Hangul (HWP) und in Adobe Flash aus. Wir haben auch Belege dafür, dass sie über Zero-Day-Schwachstellen (wie CVE-2018-0802) informiert sind und diese bei Angriffen ausnutzen können.

APT34

Mutmaßliche Operationsbasis: Iran

Angriffsziele: Diese Hackergruppe hat bereits diverse Ziele in unterschiedlichen Branchen angegriffen, darunter Finanzdienstleister, staatliche Institutionen, Energie- und Chemieunternehmen sowie Telekommunikationskonzerne. Die meisten dieser Angriffe galten Zielen im Nahen Osten.

Überblick: Mandiant vermutet, dass APT34 mindestens seit 2014 tätig ist und hauptsächlich langfristige Cyberspionage-Kampagnen betreibt, die den Interessen des iranischen Staates dienen. Die Gruppe handelt vermutlich im Auftrag der iranischen Regierung. Darauf lassen Infrastrukturdetails mit Verweisen auf den Iran, die Nutzung iranischer Infrastrukturen und die Angriffe auf Ziele schließen, an denen die iranische Regierung interessiert ist.

Verwendete Malware: Powbat, Powruner, Bondupdater

Angriffsvektoren: Beim jüngsten Angriff nutzte APT34 die neu aufgedeckte Sicherheitslücke CVE-2017-11882 in Microsoft Office aus, um Powruner und Bondupdater zu implementieren.

APT33

Mutmaßliche Operationsbasis: Iran

Angriffsziele: Luft- und Raumfahrtindustrie, Energiewirtschaft

Überblick: APT33 hat in der Vergangenheit Konzerne mit Hauptsitz in den USA, Saudi-Arabien oder Südkorea angegriffen. Dabei agierte die Gruppe in verschiedenen Branchen, zeigte aber ein besonderes Interesse an der militärischen und kommerziellen Luftfahrtindustrie sowie an Unternehmen aus der Energiebranche, die an die Herstellung von petrochemischen Produkten beteiligt sind.

Verwendete Malware: Shapeshift, Dropshot, Turnedup, Nanocore, Netwire, Alfa Shell

Angriffsvektoren: APT33 verschickte Spear-Phishing-E-Mails an Mitarbeiter von Unternehmen aus der Luftfahrtindustrie. Diese E-Mails waren als Stellenausschreibungen getarnt und enthielten Links zu schädlichen .hta-Dateien. Diese .hta-Dateien enthielten Stellenangebote und Links zu Stellenausschreibungen auf gängigen Jobbörsen, die für die jeweiligen Empfänger relevant waren.

APT32

Auch bekannt als: OceanLotus Group

Mutmaßliche Operationsbasis: Vietnam

Angriffsziele: Ausländische Unternehmen, die in Vietnam in die Branchen Produktion, Konsumgüter, Beratung und Gastgewerbe investieren.

Überblick: Aktuelle Angriffe auf in Vietnam aktive private Unternehmen lassen vermuten, dass APT32 eine Gefahr für Unternehmen darstellt, die dort Geschäfte machen, produzieren oder Investitionen planen. Die konkrete Motivation der Gruppe ist noch unklar, doch ihre Aktivitäten könnten langfristig die Wettbewerbsposition der angegriffenen Unternehmen schädigen.

Verwendete Malware: Soundbite, Windshield, Phoreal, Beacon, Komprogo

Angriffsvektoren: APT32 nutzt ActiveMime-Dateien und Social Engineering, um die Opfer dazu zu bewegen, die Ausführung von Makros zu gestatten. Bei der Ausführung lädt die initialisierte Datei in der Regel mehrere Malware-Pakete von einem Remote-Server herunter. Die Mitglieder von APT32 verschicken die ActiveMime-Dateien als Anhang von Spear-Phishing-E-Mails. Es gibt Belege dafür, dass einige dieser E-Mails über Gmail versendet wurden.

APT30

Mutmaßliche Operationsbasis: China

Angriffsziele: Mitglieder von ASEAN (Verband Südostasiatischer Nationen)

Überblick: Bemerkenswert an APT30 ist nicht nur die langfristig anhaltende Aktivität, sondern auch die wiederholte und erfolgreiche Veränderung und Anpassung des dabei verwendeten Quellcodes. Die Gruppe nutzt seit mindestens 2005 die gleichen Tools, Taktiken und Infrastrukturen. Die vorliegenden Spuren weisen darauf hin, dass die Mitglieder der Gruppe ihre Ziele nach Priorität ordnen, vermutlich im Schichtbetrieb in einer gemeinschaftlich genutzten Umgebung arbeiten und einen kohärenten Plan für die Malwareentwicklung haben. Diese Gruppe ist seit 2005 in der Lage, auch physisch isolierte Netzwerke zu infizieren.

Verwendete Malware: Shipshape, Spaceship, Flashflood

Angriffsvektoren: APT30 verwendet ein Toolpaket mit Downloadern, Backdoors, einem zentralen Controller und verschiedenen Komponenten, die darauf ausgelegt sind, Wechseldatenträger und physisch isolierte Netzwerke zu infizieren und Daten daraus zu stehlen. APT30 registriert für die CnC-Server seiner Malware häufig eigene DNS-Domains.

APT29

Mutmaßliche Operationsbasis: Russische Regierung

Angriffsziele: Westeuropäische Regierungen, außenpolitische Lobbygruppen und ähnliche Organisationen

Überblick: APT29 ist eine anpassungsfähige und disziplinierte Angreifergruppe, die ihre Aktivitäten im Netzwerk der Opfer verbirgt, nur unregelmäßig Daten überträgt und die ausgeschleusten Daten als legitimen Datenverkehr tarnt. Über gängige legitime Web-Dienste kann die Gruppe auch verschlüsselte SSL-Verbindungen nutzen, was die Aufdeckung ihrer Angriffe zusätzlich erschwert. APT29 ist eine der am besten organisierten und technisch versiertesten Hackergruppen. Sie implementiert Backdoors, um Bugs in ihrer eigenen Malware zu beheben und neue Funktionen einzufügen. Außerdem überwacht sie die Sicherheitsmaßnahmen und ‑aktivitäten der legitimen Betreiber, um die Kontrolle über infiltrierte Systeme zu behalten. APT29 wickelt die gesamte CnC-Kommunikation über gehackte Server ab und kontert alle Maßnahmen zur Beendigung ihrer Angriffe. Die Gruppe entwickelt ständig neue Versionen ihrer Malware und passt ihre Tools schnell an, um eine Erkennung zu verhindern.

Verwendete Malware: Hammertoss, Tdiscover, Uploader

Angriffsvektoren: APT29 hat soziale Netzwerke wie Twitter oder GitHub sowie Cloud-Speicherdienste zur Weiterleitung von Befehlen und zur Ausschleusung von Daten aus infiltrierten Netzwerken genutzt. Dazu werden die Befehle verschlüsselt und in Bilder eingebettet. Anschließend werden die ausgeschleusten Daten auf Cloudspeicherdienste hochgeladen.

APT28

Auch bekannt als: Tsar Team

Mutmaßliche Operationsbasis: Russische Regierung

Angriffsziele: Kaukasus, insbesondere Georgien, osteuropäische Länder und Streitkräfte, die NATO sowie weitere europäische Sicherheitsorganisationen und Rüstungskonzerne.

Überblick: Hinter APT28 steht ein fähiges Team von Entwicklern und Hackern, die Informationen über Streitkräfte und geopolitische Themen sammeln – also Daten, die nur für eine Regierung interessant sind. Diese APT-Gruppe kompiliert ihre Malware mit Optionen in russischer Sprache während der normalen Arbeitszeiten (08:00 bis 18:00 Uhr) in der Zeitzone von Moskau, St. Petersburg und anderen russischen Großstädten. Das legt nahe, dass APT28 fortlaufend direkte finanzielle und anderweitige Unterstützung durch eine gut etablierte Organisation erhält, höchstwahrscheinlich die russische Regierung.

Verwendete Malware: Chopstick, Sourface

Angriffsvektoren: APT28 setzt häufig den Downloader Sourface, sein Second-Stage-Backdoorprogramm Eviltoss und eine modulare Implantatserie namens Chopstick ein. Die Gruppe verwendet RSA-Verschlüsselung zum Schutz der Dateien und gestohlenen Daten, die vom Netzwerk des Opfers an den Controller übertragen werden. Seit 2007 wurden außerdem schrittweise systematische Änderungen am Sourface-Downloader und seiner Umgebung vorgenommen. Das weist auf eine langfristige, zielgerichtete Entwicklungsarbeit hin.

APT19

Auch bekannt als: Codoso Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Juristische Dienstleister und Investmentfirmen

Überblick: Diese Gruppe besteht vermutlich aus unabhängigen Hackern, die etwas Unterstützung von der chinesischen Regierung erhalten.

Verwendete Malware: Beacon, Cobalt Strike

Angriffsvektoren: 2017 nutzte APT19 drei verschiedene Angriffsmethoden. Anfang Mai starteten die Hacker Phishing-Angriffe mit infizierten RTF-Anhängen, die die als CVE 2017-0199 klassifizierte Schwachstelle von Microsoft Windows ausnutzten. Ende Mai änderten sie ihre Strategie und setzten stattdessen Microsoft-Excel-Dateien mit Makros (XLSM-Dokumente) ein. Die neuesten Versionen dieser XLSM-Dokumente konnten sich sogar selbst in Whitelists eintragen. Außerdem wurde mindestens eine Phishing-Kampagne beobachtet, bei der auf den infizierten Systemen die Software Cobalt Strike installiert wurde.

World political

APT18

Auch bekannt als: Wekby

Mutmaßliche Operationsbasis: China

Angriffsziele: Rüstungs-, Luft- und Raumfahrtindustrie, Bauwirtschaft und Ingenieurwesen, Bildungswesen, Gesundheitswesen und Biotechnologie, Hightech- und Telekommunikationsfirmen sowie Personenbeförderung und Güterverkehr

Überblick: Bisher wurden kaum Informationen über diese Gruppe veröffentlicht.

Verwendete Malware: Gh0st RAT

Angriffsvektoren: Die Gruppe entwickelt oft eigene Zero-Day-Exploits für ihre Angriffe oder passt bestehende Exploits an. Das deutet auf eine sorgfältige Planung hin. Die Tatsache, dass APT18 Daten aus dem Hacking-Team-Leak nutzte, ist ein Beleg für die Flexibilität der Gruppe, die offensichtlich in der Lage ist, neu entdeckte Schwachstellen umgehend auszunutzen und ihre Ressourcen je nach Bedarf auf die Auswahl neuer Ziele, die Vorbereitung der Infrastruktur, die Erstellung sorgfältig formulierter E-Mails oder die Aktualisierung ihrer Tools zu konzentrieren.

APT17

Auch bekannt als: Tailgator Team, Deputy Dog

Mutmaßliche Operationsbasis: China

Angriffsziele: Regierung der Vereinigten Staaten sowie internationale Anwaltskanzleien und IT-Unternehmen

Überblick: Die Gruppe infiltriert die Netzwerke der anvisierten Institutionen und Unternehmen.

Verwendete Malware: Blackcoffee

Angriffsvektoren: Die Hackergruppe erstellte Profilseiten und Posts in Internetforen, die eingebettete codierte CnC-Anweisungen für Angriffe mit einer bestimmten Malware-Variante enthielten. Infolgedessen fiel es Netzwerksicherheitsexperten schwer, den tatsächlichen Standort der CnC-Server zu ermitteln, sodass die Hacker die CnC-Infrastruktur länger nutzen konnten.

APT16

Mutmaßliche Operationsbasis: China

Angriffsziele: Japanische und taiwanesische Hightech-Unternehmen, Medienkonzerne, staatliche Behörden und Finanzdienstleister

Überblick: Diese von China aus operierende Gruppe konzentriert ihre Aktivitäten vor allem auf die Politik und Medienlandschaft in Taiwan.

Verwendete Malware: Ironhalo, Elmer

Angriffsvektoren: APT16 versendete Spear-Phishing-E-Mails an diverse Medienhäuser und E-Mail-Adressen in Taiwan. Diese enthielten schädliche Dateien mit einer Anleitung für die Anmeldung bei der Website eines taiwanesischen Online-Auktionshauses und die anschließende Anzeige der dort verfügbaren Artikel.

World political

APT12

Auch bekannt als: Calc Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Journalisten, Regierungsbehörden, Rüstungsunternehmen

Überblick: In Sicherheitskreisen wird vermutet, dass es sich bei APT12 um eine Cyberspionagegruppe mit Verbindungen zur chinesischen Volksbefreiungsarmee handelt.' Die Angriffe der Gruppe decken sich mit den Zielen der Regierung der Volksrepublik China'' und dienen unter anderem den chinesischen Interessen in Taiwan.

Verwendete Malware: Riptide, Hightide, Threebyte, Waterspout

Angriffsvektoren: FireEye hat beobachtet, wie APT12 schädliche Dateien mit eingebetteten Exploits über Phishing-E-Mails verbreitete, die von infiltrierten legitimen Konten aus versendet wurden. Aufgrund der bislang beobachteten Aktivitäten gehen wir davon aus, dass die Gruppe auch künftig Phishing-Kampagnen zur Einschleusung ihrer Malware nutzen wird.

APT10

Auch bekannt als: Menupass Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Bauwirtschaft und Ingenieurwesen, Luft- und Raumfahrtindustrie, Telekommunikationsunternehmen sowie Regierungsbehörden in den USA, Europa und Japan.

Überblick: APT10 ist eine chinesische Cyberspionagegruppe, die seit 2009 von FireEye beobachtet wird. Ihre Angriffe richteten sich bisher gegen Firmen aus der Bauwirtschaft, dem Ingenieurwesen und der Luft- und Raumfahrtindustrie sowie gegen Telekommunikationsunternehmen und Regierungsbehörden in den USA, Europa und Japan. Wir glauben, dass diese Angriffe den Sicherheitsinteressen der chinesischen Regierung dienen und unter anderem auf die Erbeutung wertvoller militärischer und Staatsgeheimnisse abzielen. Ein weiteres Ziel scheint der Diebstahl vertraulicher Geschäftsdaten zum Vorteil chinesischer Unternehmen zu sein.

Verwendete Malware: Haymaker, Snugride, Bugjuice, QuasarRAT

Angriffsvektoren: Die jüngsten Angriffsaktivitäten von APT10 umfassten sowohl herkömmliches Spear-Phishing als auch Hackereinbrüche in die anvisierten Netzwerke über infiltrierte Zugänge für die Anbieter von Managed Services. (Weitere Informationen zu Hackereinbrüchen über Service-Anbieter finden Sie im M-Trends-Bericht 2016). Die Spear-Phishing-Angriffe von APT10 sind relativ primitiv und basieren auf Archiven mit .lnk-Dateien oder Dateien mit doppelten Endungen (wie z. B. [Editiert]_Group_Meeting_Document_20170222_doc_.exe). In einigen Fällen wurden auch einfach nur zwei Dateien mit demselben Namen in dasselbe Archiv eingefügt, wobei die erste harmlos und die zweite ein Malware-Launcher ist. Zudem konnte FireEye Intelligence verschiedene zielgerichtete, über globale Service-Provider durchgeführte Angriffe zu APT10 zurückverfolgen.

APT5

Mutmaßliche Operationsbasis: Nicht veröffentlicht

Angriffsziele: Regionale Telekommunikationsanbieter, Mitarbeiter der asiatischen Filialen globaler Telekommunikationsfirmen, sowie Unternehmen aus der Technologiebranche (insbesondere Hightech und Militärtechnologie).

Überblick: APT5 ist mindestens seit 2007 aktiv. In dieser Zeit hat die Gruppe Unternehmen aus diversen Branchen erfolgreich angegriffen, konzentriert sich jedoch anscheinend auf Firmen aus der Telekommunikations- und Technologiebranche und insbesondere auf das in diesen Unternehmen vorhandene Know-how über die satellitengestützte Kommunikation.

Verwendete Malware: Leouncia

Angriffsvektoren: Es scheint sich um eine große Hackergruppe mit mehreren Untergruppen zu handeln, die oft unterschiedliche Methoden und Infrastrukturen einsetzen. Diese Gruppe verwendet häufig Malware mit Keylogger-Funktionen für gezielte Angriffe auf die Netzwerke, Mitarbeiter und Führungskräfte von Telekommunikationsunternehmen.'

APT3

Auch bekannt als: UPS Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Unternehmen aus den Bereichen Rüstung, Luft- und Raumfahrt, Bauwirtschaft und Ingenieurwesen, Hightech, Telekommunikation, Personenbeförderung und Güterverkehr.

Überblick: Die von FireEye als APT3 bezeichnete Gruppe operiert von China aus und ist eine der technisch versierteren von uns beobachteten Hackergruppen. Bislang hat sie vor allem Zero-Day-Schwachstellen in Internet Explorer, Adobe Flash Player und Mozilla Firefox für Browser-basierte Angriffe ausgenutzt. Nach der ersten erfolgreichen Infiltration eines Hosts entwendet diese Gruppe rasch die Anmeldedaten legitimer Benutzer, um weitere Hosts im Netzwerk zu infiltrieren und dort kampagnenspezifische Backdoors zu installieren. Die von APT3 verwendete CnC-Infrastruktur lässt sich nur schwer aufspüren, da es in dieser Hinsicht zwischen aufeinanderfolgenden Angriffen kaum Überschneidungen gibt.

Verwendete Malware: Shotput, CookieCutter, Sogu

Angriffsvektoren: Die von APT3 verschickten Phishing-E-Mails sind in der Regel generisch und ähneln herkömmlichen Spam-E-Mails. Bei einigen Angriffen hat APT3 eine ungepatchte Schwachstelle in den Parsing-Funktionen des Adobe Flash Player für Flash-Videodateien ausgenutzt. Der entsprechende Exploit basiert zum einen auf gängigen Methoden der Vektormanipulation, die ASLR-Technologien (Address Space Layout Randomization) umgehen, zum anderen auf Return-Oriented Programming (ROP) – einer Methode zur Aushebelung von Systemen zur Speicherüberwachung (Data Execution Prevention, DEP). Durch einen ausgefeilten Kniff steigern die Angreifer die Effektivität ihrer ROP-Methode, die dadurch außerdem einige Verfahren zur ROP-Aufdeckung umgehen kann. In der von den Hackern präparierten Flashdatei sind Shellcode und ein digitaler Schlüssel zur Entschlüsselung des Exploits für den Adobe Flash Player enthalten. Diese werden mit XOR verschlüsselt und in einer Bilddatei versteckt.

APT1

Auch bekannt als: Einheit 61398, Comment Crew

Mutmaßliche Operationsbasis: Die dritte Abteilung (总参三部二局) des Generalstabs der chinesischen Volksbefreiungsarmee (VBA), allgemein bekannt als Einheit 61398 (61398部队).

Angriffsziele: Internationale Organisationen sowie Unternehmen und Institutionen aus den Bereichen IT, Luft- und Raumfahrt, öffentliche Verwaltung, Satelliten- und Telekommunikation, wissenschaftliche Forschung und Beratung, Energiewirtschaft, Personenbeförderung und Güterverkehr, Ingenieursdienstleistungen, Hightech und Elektronik, Finanzdienstleistungen, Navigationstechnologie, juristische Dienstleistungen und Medien sowie aus dem Baugewerbe, der Werbe- und Unterhaltungsindustrie, der chemischen Industrie, der Ernährungs- und Landwirtschaft, dem Gesundheitswesen, der Metall- und Bergbauindustrie und dem Bildungswesen

Überblick: APT1 hat systematisch viele Hundert Terabyte Daten von mindestens 141 Unternehmen und Institutionen gestohlen und verfügt nachweislich über die Kapazitäten, Fähigkeiten und Motivation, um Dutzende Datendiebstähle simultan durchzuführen. Die Angriffe dieser Gruppe richten sich gegen Unternehmen aus zahlreichen Branchen in englischsprachigen Ländern. Der Umfang ihrer Infrastruktur lässt auf eine große Gruppe mit Dutzenden oder gar Hunderten von Mitgliedern schließen.

Verwendete Malware: Trojan.ecltys, Backdoor.barkiofork, Backdoor.wakeminap, Trojan.downbot, Backdoor.dalbot, Backdoor.revird, Trojan.badname, Backdoor.wualess

Angriffsvektoren: APT1 nutzt meistens Spear-Phishing-Kampagnen, um sich Zugriff auf Netzwerke zu verschaffen. Die von den Angreifern versendeten Phishing-E-Mails enthalten entweder einen schädlichen Anhang oder einen Link zu einer schädlichen Datei. Sowohl der Betreff als auch der Text der E-Mail sind in der Regel für den jeweiligen Empfänger relevant. Der Versand erfolgt über E-Mail-Konten, die unter Verwendung der Namen realer Personen eingerichtet wurden. Die Hacker dieser Gruppe nutzen zwar gelegentlich frei verfügbare Backdoors wie Poison Ivy und Gh0st RAT, setzen jedoch in den allermeisten Fällen ihre selbst entwickelten Backdoors ein. Mitunter sind sie in einem infiltrierten Netzwerk über mehrere Jahre hinweg aktiv. In dieser Zeit breiten sie sich weiter aus und installieren neue Backdoors auf weiteren Systemen. Somit bewahren sie sich selbst dann Zugang zum Netzwerk, wenn einige ihrer Backdoors entdeckt und gelöscht werden. Wenn APT1 über mehrere Wochen in einem Netzwerk aktiv war, finden sich dort gewöhnlich mehrere Varianten ihrer Backdoors auf zahlreichen Komponenten.

Fazit

So aufschlussreich die Informationen auf dieser Seite auch sind – sie sind kein Ersatz dafür, sich umfassend zu informieren und mutmaßliche Cyberangriffe gründlich zu untersuchen. Im Laufe der letzten zehn Jahre hat FireEye pro Jahr über 100.000 Arbeitsstunden aufgewendet, um die größten und folgenschwersten Sicherheitsverletzungen der Welt zu bekämpfen. Die dabei gesammelten Erfahrungen wurden in unseren sechs Security Operations Centern (SOC) in aller Welt ausgewertet und in unser selbstlernendes, symbiotisches Sicherheitssystem eingespeist, das außerdem Daten von mehr als 11 Millionen Sensoren empfängt und alle 60 Minuten aktualisiert wird.

Mithilfe dieser Infrastruktur verfolgen FireEye-Experten die Aktivitäten von mehr als 30 APT-Gruppen und über 300 Arten von Advanced Malware. Darüber hinaus pflegen unsere Fachleute Profile von mehr als 10 Staaten, die APT-Gruppen unterstützen, sowie von über 40 angegriffenen Branchen. All das fließt in unsere Daten und Bewertungen zu den finanziellen und politischen Dimensionen der globalen Cyberbedrohungen ein. Die Fachleute von FireEye können nicht nur ermitteln, wie groß das Risiko durch einen aufgedeckten Angriff ist, sondern auch, wie die Angreifer in die betroffene Umgebung eingedrungen sind, wie sie sich ausgebreitet haben und was dagegen getan werden kann und sollte. Sie stellen den Angriffsopfern all diese Informationen als Kontext zur Verfügung und helfen ihnen dabei, kritische, komplexe Bedrohungen schnell einzuordnen und zügig abzuwehren.

Weitere Ressourcen zum Thema: Berichte mit Informationen über Bedrohungen