Die Hackergruppen hinter Advanced Persistent Threats

Who-is-who der Hacker'

Besonders aufmerksam beobachtet FireEye die Aktivitäten von APT-Gruppen, die Anweisungen und Unterstützung von Regierungen oder Regierungsbehörden enthalten.

Genau wie andere Angreifer auch stehlen APT-Gruppen Daten, stören den Geschäftsbetrieb und beschädigen Infrastrukturen. Im Gegensatz zu vielen anderen Cyberkriminellen verfolgen sie ihre Ziele jedoch langfristig, meist über mehrere Monate oder Jahre hinweg. Sie stimmen ihre Aktivitäten auf die Sicherheitsmaßnahmen ihrer anvisierten Opfer ab und greifen ein und dasselbe Opfer oft mehrfach an.

Doch Vorsicht: Sie sollten nicht sofort auf eine APT-Gruppe als Täter schließen, wenn Sie Malware in Ihrem System finden, die von dieser Gruppe genutzt wird.'' Ihr Sicherheitsteam sollte sich allerdings über die umtriebigsten APT-Gruppen und deren bevorzugte Malware-Varianten auf dem Laufenden halten und besonders achtsam reagieren, wenn es diese Varianten in Ihrem Netzwerk findet.

Advanced Persistent Threat (APT)

APT-Gruppen

APT38 | APT37 | APT34 | APT33 | APT32 | APT30 | APT29 | APT28
APT19 | APT18 | APT17 | APT16 | APT12 | APT10 | APT5 | APT3 | APT1

APT38

Mutmaßliche Operationsbasis: Nordkorea

Angriffsziele: Finanzinstitute in aller Welt

Überblick: Unsere Analyse der Aktivitäten einer von der nordkoreanischen Regierung gesponserten Hackergruppe, die wir als APT38 bezeichnen, hat ergeben, dass die größten bislang beobachteten finanziell motivierten Angriffe von dieser Gruppe ausgingen. APT38 und eine ebenfalls von der nordkoreanischen Regierung gesponserte Gruppe, die in Sicherheitskreisen als „Lazarus“ bezeichnet wird, nutzen gemeinsame Ressourcen für die Malware-Entwicklung. Wir sind jedoch der Meinung, dass die finanziellen Ziele, die charakteristischen Tools sowie die Taktiken, Techniken und Prozesse (TTP) von APT38 die Einstufung als eigenständige nordkoreanische Gruppe und die gesonderte Beobachtung rechtfertigen.

Verwendete Malware: Diese große und aktive Gruppe nutzt verschiedene Malware-Arten, oft in modifizierter Form. Beispiele sind Backdoors, Tunneler, Dataminer und Sabotagemalware, mit der bei Finanzinstituten Millionen von Dollar gestohlen und die Netzwerke der Opfer lahmgelegt wurden.

Angriffsvektoren: APT38 hat bereits mehr als 16 Unternehmen und Institutionen in mindestens 11 Ländern angegriffen. Die Gruppe geht sorgfältig und planmäßig vor. Die Hacker sind offensichtlich bemüht, in einem infiltrierten Netzwerk möglichst lange unbemerkt zu bleiben, um sich Klarheit über die Netzwerkarchitektur, die erforderlichen Zugriffsrechte und die vorhandenen Technologien zu verschaffen, die beim Erreichen ihrer Ziele nützlich sein können. APT38 unterscheidet sich in einem wichtigen Punkt von anderen APT-Gruppen: Sie schreckt nicht davor zurück, die Netzwerke ihrer Opfer mit aggressiven Mitteln zu beschädigen, um ihre Spuren zu zerstören.

APT37

Mutmaßliche Operationsbasis: Nordkorea

Angriffsziele: Betroffen sind in erster Linie Unternehmen in Südkorea, aber auch in Japan, Vietnam und dem Nahen Osten. Sie gehören verschiedenen Branchen an, darunter der chemischen Industrie, der Elektronikbranche, der Fertigung, der Luft- und Raumfahrtindustrie, der Automobilbranche sowie dem Gesundheitswesen.

Überblick: Unsere Analyse der jüngsten APT37-Aktivitäten zeigt, dass die Angriffe dieser Gruppe massiver und raffinierter werden und dass die Hacker mittlerweile über Zero-Day-Exploits und Löschprogramme (Wiper) verfügen. Aufgrund der Angriffsziele und einiger Spuren, die die Entwickler in der Malware selbst hinterlassen haben, gehen wir mit ziemlicher Sicherheit davon aus, dass APT37 im Auftrag der nordkoreanischen Regierung handelt. FireEye iSIGHT Intelligence hat Grund zu der Annahme, dass APT37 für Angriffe verantwortlich ist, über die unter den Namen Scarcruft und Group123 berichtet wurde.

Verwendete Malware: APT37 nutzt vielfältige Malware-Varianten für die Infiltration von Netzwerken und IT-Umgebungen sowie zur Ausschleusung von Daten. Neben diesen speziell für die Cyberspionage entwickelten Schadprogrammen stehen der Gruppe außerdem Sabotagetools wie beispielsweise Löschprogramme zur Verfügung.

Angriffsvektoren: Die Gruppe setzt auf die jeweiligen Opfer abgestimmte Social-Engineering-Taktiken ein, führt strategische, für gezielte Spionageoperationen typische Webangriffe durch und verbreitet ihre Malware in großem Maßstab über infizierte Torrent-Websites. Zudem nutzen die Hacker regelmäßig Schwachstellen im Textverarbeitungsprogramm Hangul (HWP) und in Adobe Flash aus. Wir haben auch Belege dafür, dass sie über Zero-Day-Schwachstellen (wie CVE-2018-0802) informiert sind und diese bei Angriffen ausnutzen können.

APT34

Mutmaßliche Operationsbasis: Iran

Angriffsziele: Diese Hackergruppe hat bereits diverse Ziele in unterschiedlichen Branchen angegriffen, darunter Finanzdienstleister, staatliche Institutionen, Energie- und Chemieunternehmen sowie Telekommunikationskonzerne. Die meisten dieser Angriffe galten Zielen im Nahen Osten.

Überblick: Mandiant vermutet, dass APT34 mindestens seit 2014 tätig ist und hauptsächlich langfristige Cyberspionage-Kampagnen betreibt, die den Interessen des iranischen Staates dienen. Die Gruppe handelt vermutlich im Auftrag der iranischen Regierung. Darauf lassen Infrastrukturdetails mit Verweisen auf den Iran, die Nutzung iranischer Infrastrukturen und die Angriffe auf Ziele schließen, an denen die iranische Regierung interessiert ist.

Verwendete Malware: Powbat, Powruner, Bondupdater

Angriffsvektoren: Beim jüngsten Angriff nutzte APT34 die neu aufgedeckte Sicherheitslücke CVE-2017-11882 in Microsoft Office aus, um Powruner und Bondupdater zu implementieren.

APT33

Mutmaßliche Operationsbasis: Iran

Angriffsziele: Luft- und Raumfahrtindustrie, Energiewirtschaft

Überblick: APT33 hat in der Vergangenheit Konzerne in verschiedenen Branchen angegriffen, deren Hauptsitz sich in den USA, Saudi-Arabien oder Südkorea befindet. Diese Hackergruppe scheint sich insbesondere für die militärische und kommerzielle Luftfahrtindustrie sowie für Unternehmen aus der Energiebranche zu interessieren, die in die Herstellung von petrochemischen Produkten involviert sind.

Verwendete Malware: Shapeshift, Dropshot, Turnedup, Nanocore, Netwire, Alfa Shell

Angriffsvektoren: APT33 verschickte Spear-Phishing-E-Mails an Mitarbeiter von Unternehmen aus der Luftfahrtindustrie. Diese E-Mails waren als Stellenausschreibungen getarnt und enthielten Links zu schädlichen .hta-Dateien. Diese .hta-Dateien enthielten Stellenangebote und Links zu Stellenausschreibungen auf gängigen Jobbörsen, die für die jeweiligen Empfänger relevant waren.

APT32

Auch bekannt als: OceanLotus Group

Mutmaßliche Operationsbasis: Vietnam

Angriffsziele: Ausländische Unternehmen, die in Vietnam in die Branchen Produktion, Konsumgüter, Beratung und Gastgewerbe investieren.

Überblick: Aktuelle Angriffe auf in Vietnam aktive private Unternehmen lassen vermuten, dass APT32 eine Gefahr für Unternehmen darstellt, die dort Geschäfte machen, produzieren oder Investitionen planen. Die konkrete Motivation der Gruppe ist noch unklar, doch ihre Aktivitäten könnten langfristig die Wettbewerbsposition der angegriffenen Unternehmen schädigen.

Verwendete Malware: Soundbite, Windshield, Phoreal, Beacon, Komprogo

Angriffsvektoren: APT32 nutzt ActiveMime-Dateien und Social Engineering, um die Opfer dazu zu bewegen, die Ausführung von Makros zu gestatten. Bei der Ausführung laden die initialisierte Dateien in der Regel mehrere Malware-Pakete von einem Remote-Server herunter. Die Mitglieder von APT32 verschicken die ActiveMime-Dateien als Anhang von Spear-Phishing-E-Mails. Es gibt Belege dafür, dass einige dieser E-Mails über Gmail versendet wurden.

APT30

Mutmaßliche Operationsbasis: China

Angriffsziele: Mitglieder von ASEAN (Verband Südostasiatischer Nationen)

Überblick: Bemerkenswert an APT30 ist nicht nur die langfristig anhaltende Aktivität, sondern auch die wiederholte und erfolgreiche Veränderung und Anpassung des dabei verwendeten Quellcodes. Die Gruppe nutzt seit mindestens 2005 die gleichen Tools, Taktiken und Infrastrukturen. Die vorliegenden Spuren weisen darauf hin, dass die Mitglieder der Gruppe ihre Ziele nach Priorität ordnen, vermutlich im Schichtbetrieb in einer gemeinschaftlich genutzten Umgebung arbeiten und einen kohärenten Plan für die Malwareentwicklung haben. Diese Gruppe ist seit 2005 in der Lage, auch physisch isolierte Netzwerke zu infizieren.

Verwendete Malware: Shipshape, Spaceship, Flashflood

Angriffsvektoren: APT30 verwendet ein Toolpaket mit Downloadern, Backdoors, einem zentralen Controller und verschiedenen Komponenten, die darauf ausgelegt sind, Wechseldatenträger und physisch isolierte Netzwerke zu infizieren und Daten daraus zu stehlen. APT30 registriert für die CnC-Server seiner Malware häufig eigene DNS-Domains.

APT29

Mutmaßliche Operationsbasis: Russische Regierung

Angriffsziele: Westeuropäische Regierungen, außenpolitische Lobbygruppen und ähnliche Organisationen

Überblick: APT29 ist eine anpassungsfähige und disziplinierte Angreifergruppe, die ihre Aktivitäten im Netzwerk der Opfer verbirgt, nur unregelmäßig Daten überträgt und die ausgeschleusten Daten als legitimen Datenverkehr tarnt. Über gängige legitime Web-Dienste kann die Gruppe auch verschlüsselte SSL-Verbindungen nutzen, was die Aufdeckung ihrer Angriffe zusätzlich erschwert. APT29 ist eine der am besten organisierten und technisch versiertesten Hackergruppen. Sie implementiert Backdoors, um Bugs in ihrer eigenen Malware zu beheben und neue Funktionen einzufügen. Außerdem überwacht sie die Sicherheitsmaßnahmen und ‑aktivitäten der legitimen Betreiber, um die Kontrolle über infiltrierte Systeme zu behalten. APT29 wickelt die gesamte CnC-Kommunikation über gehackte Server ab und kontert alle Maßnahmen zur Beendigung ihrer Angriffe. Die Gruppe entwickelt ständig neue Versionen ihrer Malware und passt ihre Tools schnell an, um eine Erkennung zu verhindern.

Verwendete Malware: Hammertoss, Tdiscover, Uploader

Angriffsvektoren: APT29 hat soziale Netzwerke wie Twitter oder GitHub sowie Cloud-Speicherdienste zur Weiterleitung von Befehlen und zur Ausschleusung von Daten aus infiltrierten Netzwerken genutzt. Dazu werden die Befehle verschlüsselt und in Bilder eingebettet. Anschließend werden die ausgeschleusten Daten auf Cloudspeicherdienste hochgeladen.

APT28

Auch bekannt als: Tsar Team

Mutmaßliche Operationsbasis: Russische Regierung

Angriffsziele: Kaukasus, insbesondere Georgien, osteuropäische Länder und Streitkräfte, die NATO sowie weitere europäische Sicherheitsorganisationen und Rüstungskonzerne.

Überblick: Hinter APT28 steht ein fähiges Team von Entwicklern und Hackern, die Informationen über Streitkräfte und geopolitische Themen sammeln – also Daten, die nur für eine Regierung interessant sind. Diese APT-Gruppe kompiliert ihre Malware mit Optionen in russischer Sprache während der normalen Arbeitszeiten (08:00 bis 18:00 Uhr) in der Zeitzone von Moskau, St. Petersburg und anderen russischen Großstädten. Das legt nahe, dass APT28 fortlaufend direkte finanzielle und anderweitige Unterstützung durch eine gut etablierte Organisation erhält, höchstwahrscheinlich die russische Regierung.

Verwendete Malware: Chopstick, Sourface

Angriffsvektoren: APT28 setzt häufig den Downloader Sourface, sein Second-Stage-Backdoorprogramm Eviltoss und eine modulare Implantatserie namens Chopstick ein. Die Gruppe verwendet RSA-Verschlüsselung zum Schutz der Dateien und gestohlenen Daten, die vom Netzwerk des Opfers an den Controller übertragen werden. Seit 2007 wurden außerdem schrittweise systematische Änderungen am Sourface-Downloader und seiner Umgebung vorgenommen. Das weist auf eine langfristige, zielgerichtete Entwicklungsarbeit hin.

APT19

Auch bekannt als: Codoso Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Juristische Dienstleister und Investmentfirmen

Überblick: Diese Gruppe besteht vermutlich aus unabhängigen Hackern, die etwas Unterstützung von der chinesischen Regierung erhalten.

Verwendete Malware: Beacon, Cobalt Strike

Angriffsvektoren: 2017 nutzte APT19 drei verschiedene Angriffsmethoden. Anfang Mai starteten die Hacker Phishing-Angriffe mit infizierten RTF-Anhängen, die die als CVE 2017-0199 klassifizierte Schwachstelle von Microsoft Windows ausnutzten. Ende Mai änderten sie ihre Strategie und setzten stattdessen Microsoft-Excel-Dateien mit Makros (XLSM-Dokumente) ein. Die neuesten Versionen dieser XLSM-Dokumente konnten sich sogar selbst in Whitelists eintragen. Außerdem wurde mindestens eine Phishing-Kampagne beobachtet, bei der auf den infizierten Systemen die Software Cobalt Strike installiert wurde.

World political

APT18

Auch bekannt als: Wekby

Mutmaßliche Operationsbasis: China

Angriffsziele: Rüstungs-, Luft- und Raumfahrtindustrie, Bauwirtschaft und Ingenieurwesen, Bildungswesen, Gesundheitswesen und Biotechnologie, Hightech- und Telekommunikationsfirmen sowie Personenbeförderung und Güterverkehr

Überblick: Bisher wurden kaum Informationen über diese Gruppe veröffentlicht.

Verwendete Malware: Gh0st RAT

Angriffsvektoren: Die Gruppe entwickelt oft eigene Zero-Day-Exploits für ihre Angriffe oder passt bestehende Exploits an. Das deutet auf eine sorgfältige Planung hin. Die Tatsache, dass APT18 Daten aus dem Hacking-Team-Leak nutzte, ist ein Beleg für die Flexibilität der Gruppe, die offensichtlich in der Lage ist, neu entdeckte Schwachstellen umgehend auszunutzen und ihre Ressourcen je nach Bedarf auf die Auswahl neuer Ziele, die Vorbereitung der Infrastruktur, die Erstellung sorgfältig formulierter E-Mails oder die Aktualisierung ihrer Tools zu konzentrieren.

APT17

Auch bekannt als: Tailgator Team, Deputy Dog

Mutmaßliche Operationsbasis: China

Angriffsziele: Regierung der Vereinigten Staaten sowie internationale Anwaltskanzleien und IT-Unternehmen

Überblick: Die Gruppe infiltriert die Netzwerke der anvisierten Institutionen und Unternehmen.

Verwendete Malware: Blackcoffee

Angriffsvektoren: Die Hackergruppe erstellte Profilseiten und Posts in Internetforen, die eingebettete codierte CnC-Anweisungen für Angriffe mit einer bestimmten Malware-Variante enthielten. Infolgedessen fiel es Netzwerksicherheitsexperten schwer, den tatsächlichen Standort der CnC-Server zu ermitteln, sodass die Hacker die CnC-Infrastruktur länger nutzen konnten.

APT16

Mutmaßliche Operationsbasis: China

Angriffsziele: Japanische und taiwanesische Hightech-Unternehmen, Medienkonzerne, staatliche Behörden und Finanzdienstleister

Überblick: Diese von China aus operierende Gruppe konzentriert ihre Aktivitäten vor allem auf die Politik und Medienlandschaft in Taiwan.

Verwendete Malware: Ironhalo, Elmer

Angriffsvektoren: APT16 versendete Spear-Phishing-E-Mails an diverse Medienhäuser und E-Mail-Adressen. Diese enthielten schädliche Dateien mit einer Anleitung für die Anmeldung bei der Website eines taiwanesischen Online-Auktionshauses und die anschließende Anzeige der dort verfügbaren Artikel.

World political

APT12

Auch bekannt als: Calc Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Journalisten, Regierungsbehörden, Rüstungsunternehmen

Überblick: In Sicherheitskreisen wird vermutet, dass es sich bei APT12 um eine Cyberspionagegruppe mit Verbindungen zur chinesischen Volksbefreiungsarmee handelt.' Die Angriffe der Gruppe decken sich mit den Zielen der Regierung der Volksrepublik China'' und dienen unter anderem den chinesischen Interessen in Taiwan.

Verwendete Malware: Riptide, Hightide, Threebyte, Waterspout

Angriffsvektoren: FireEye hat beobachtet, wie APT12 schädliche Dateien mit eingebetteten Exploits über Phishing-E-Mails verbreitete, die von infiltrierten legitimen Konten aus versendet wurden. Aufgrund der bislang beobachteten Aktivitäten gehen wir davon aus, dass die Gruppe auch künftig Phishing-Kampagnen zur Einschleusung ihrer Malware nutzen wird.

APT10

Auch bekannt als: Menupass Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Bauwirtschaft und Ingenieurwesen, Luft- und Raumfahrtindustrie, Telekommunikationsunternehmen sowie Regierungsbehörden in den USA, Europa und Japan.

Überblick: APT10 ist eine chinesische Cyberspionagegruppe, die seit 2009 von FireEye beobachtet wird. Ihre Angriffe richteten sich bisher gegen Firmen aus der Bauwirtschaft, dem Ingenieurwesen und der Luft- und Raumfahrtindustrie sowie gegen Telekommunikationsunternehmen und Regierungsbehörden in den USA, Europa und Japan. Wir glauben, dass diese Angriffe den Sicherheitsinteressen der chinesischen Regierung dienen und unter anderem auf die Erbeutung wertvoller militärischer und Staatsgeheimnisse abzielen. Ein weiteres Ziel scheint der Diebstahl vertraulicher Geschäftsdaten zum Vorteil chinesischer Unternehmen zu sein.

Verwendete Malware: Haymaker, Snugride, Bugjuice, QuasarRAT

Angriffsvektoren: Die jüngsten Angriffsaktivitäten von APT10 umfassten sowohl herkömmliches Spear-Phishing als auch Hackereinbrüche in die anvisierten Netzwerke über infiltrierte Zugänge für die Anbieter von Managed Services. (Weitere Informationen zu Hackereinbrüchen über Service-Anbieter finden Sie im M-Trends-Bericht 2016). Die Spear-Phishing-Angriffe von APT10 sind relativ primitiv und basieren auf Archiven mit .lnk-Dateien oder mit Malwareprogrammen, die mit harmlosen Dateien namensgleich sind, sowie auf Dateien mit doppelten Endungen (wie z. B. [Editiert]_Group_Meeting_Document_20170222_doc_.exe). Zudem konnte FireEye iSIGHT Intelligence verschiedene zielgerichtete, über globale Service-Provider durchgeführte Angriffe zu APT10 zurückverfolgen.

APT5

Mutmaßliche Operationsbasis: Nicht veröffentlicht

Angriffsziele: Regionale Telekommunikationsanbieter, Mitarbeiter der asiatischen Filialen globaler Telekommunikationsfirmen, sowie Unternehmen aus der Technologiebranche (insbesondere Hightech und Militärtechnologie).

Überblick: APT5 ist mindestens seit 2007 aktiv. In dieser Zeit hat die Gruppe Unternehmen aus diversen Branchen erfolgreich angegriffen, konzentriert sich jedoch anscheinend auf Firmen aus der Telekommunikations- und Technologiebranche und insbesondere auf das in diesen Unternehmen vorhandene Know-how über die satellitengestützte Kommunikation.

Verwendete Malware: Leouncia

Angriffsvektoren: Es scheint sich um eine große Hackergruppe mit mehreren Untergruppen zu handeln, die oft unterschiedliche Methoden und Infrastrukturen einsetzen. Diese Gruppe verwendet häufig Malware mit Keylogger-Funktionen für gezielte Angriffe auf die Netzwerke, Mitarbeiter und Führungskräfte von Telekommunikationsunternehmen.'

APT3

Auch bekannt als: UPS Team

Mutmaßliche Operationsbasis: China

Angriffsziele: Unternehmen aus den Bereichen Rüstung, Luft- und Raumfahrt, Bauwirtschaft und Ingenieurwesen, Hightech, Telekommunikation, Personenbeförderung und Güterverkehr.

Überblick: Die von FireEye als APT3 bezeichnete Gruppe operiert von China aus und ist eine der technisch versierteren von uns beobachteten Hackergruppen. Bislang hat sie vor allem Zero-Day-Schwachstellen in Internet Explorer, Adobe Flash Player und Mozilla Firefox für Browser-basierte Angriffe ausgenutzt. Nach der ersten erfolgreichen Infiltration eines Hosts entwendet diese Gruppe rasch die Anmeldedaten legitimer Benutzer, um weitere Hosts im Netzwerk zu infiltrieren und dort kampagnenspezifische Backdoors zu installieren. Die von APT3 verwendete CnC-Infrastruktur lässt sich nur schwer aufspüren, da es in dieser Hinsicht zwischen aufeinanderfolgenden Angriffen kaum Überschneidungen gibt.

Verwendete Malware: Shotput, CookieCutter, Sogu

Angriffsvektoren: Die von APT3 verschickten Phishing-E-Mails sind in der Regel generisch und ähneln herkömmlichen Spam-E-Mails. Bei einigen Angriffen hat APT3 eine ungepatchte Schwachstelle in den Parsing-Funktionen des Adobe Flash Player für Flash-Videodateien ausgenutzt. Der entsprechende Exploit basiert zum einen auf gängigen Methoden der Vektormanipulation, die ASLR-Technologien (Address Space Layout Randomization) umgehen, zum anderen auf Return-Oriented Programming (ROP) – einer Methode zur Aushebelung von Systemen zur Speicherüberwachung (Data Execution Prevention, DEP). Durch einen ausgefeilten Kniff steigern die Angreifer die Effektivität ihrer ROP-Methode, die dadurch außerdem einige Verfahren zur ROP-Aufdeckung umgehen kann. In der von den Hackern präparierten Flashdatei sind Shellcode und ein digitaler Schlüssel zur Entschlüsselung des Exploits für den Adobe Flash Player enthalten. Diese werden mit XOR verschlüsselt und in einer Bilddatei versteckt.

APT1

Auch bekannt als: Einheit 61398, Comment Crew

Mutmaßliche Operationsbasis: Die dritte Abteilung (总参三部二局) des Generalstabs der chinesischen Volksbefreiungsarmee (VBA), allgemein bekannt als Einheit 61398 (61398部队).

Angriffsziele: Internationale Organisationen sowie Unternehmen und Institutionen aus den Bereichen IT, Luft- und Raumfahrt, öffentliche Verwaltung, Satelliten- und Telekommunikation, wissenschaftliche Forschung und Beratung, Energiewirtschaft, Personenbeförderung und Güterverkehr, Ingenieursdienstleistungen, Hightech und Elektronik, Finanzdienstleistungen, Navigationstechnologie, juristische Dienstleistungen und Medien sowie aus dem Baugewerbe, der Werbe- und Unterhaltungsindustrie, der chemischen Industrie, der Ernährungs- und Landwirtschaft, dem Gesundheitswesen, der Metall- und Bergbauindustrie und dem Bildungswesen

Überblick: APT1 hat systematisch viele Hundert Terabyte Daten von mindestens 141 Unternehmen und Institutionen gestohlen und verfügt nachweislich über die Kapazitäten, Fähigkeiten und Motivation, um Dutzende Datendiebstähle simultan durchzuführen. Die Angriffe dieser Gruppe richten sich gegen Unternehmen aus zahlreichen Branchen in englischsprachigen Ländern. Der Umfang ihrer Infrastruktur lässt auf eine große Gruppe mit Dutzenden oder gar Hunderten von Mitgliedern schließen.

Verwendete Malware: Trojan.ecltys, Backdoor.barkiofork, Backdoor.wakeminap, Trojan.downbot, Backdoor.dalbot, Backdoor.revird, Trojan.badname, Backdoor.wualess

Angriffsvektoren: APT1 nutzt meistens Spear-Phishing-Kampagnen, um sich Zugriff auf Netzwerke zu verschaffen. Die von den Angreifern versendeten Phishing-E-Mails enthalten entweder einen schädlichen Anhang oder einen Link zu einer schädlichen Datei. Sowohl der Betreff als auch der Text der E-Mail sind in der Regel für den jeweiligen Empfänger relevant. Der Versand erfolgt über E-Mail-Konten, die unter Verwendung der Namen realer Personen eingerichtet wurden. Die Hacker dieser Gruppe nutzen zwar gelegentlich frei verfügbare Backdoors wie Poison Ivy und Gh0st RAT, setzen jedoch in den allermeisten Fällen ihre selbst entwickelten Backdoors ein. Mitunter sind sie in einem infiltrierten Netzwerk über mehrere Jahre hinweg aktiv. In dieser Zeit breiten sie sich weiter aus und installieren neue Backdoors auf weiteren Systemen. Somit bewahren sie sich selbst dann Zugang zum Netzwerk, wenn einige ihrer Backdoors entdeckt und gelöscht werden. Wenn APT1 über mehrere Wochen in einem Netzwerk aktiv war, finden sich dort gewöhnlich mehrere Varianten ihrer Backdoors auf zahlreichen Komponenten.

Fazit

So aufschlussreich die Informationen auf dieser Seite auch sind – sie sind kein Ersatz dafür, sich umfassend zu informieren und mutmaßliche Cyberangriffe gründlich zu untersuchen. Im Laufe der letzten zehn Jahre hat FireEye pro Jahr über 100.000 Arbeitsstunden aufgewendet, um die größten und folgenschwersten Sicherheitsverletzungen der Welt zu bekämpfen. Die dabei gesammelten Erfahrungen wurden in unseren sechs Security Operations Centern (SOC) in aller Welt ausgewertet und in unser selbstlernendes, symbiotisches Sicherheitssystem eingespeist, das außerdem Daten von mehr als 11 Millionen Sensoren empfängt und alle 60 Minuten aktualisiert wird.

Mithilfe dieser Infrastruktur verfolgen FireEye-Experten die Aktivitäten von mehr als 30 APT-Gruppen und über 300 Arten von Advanced Malware. Darüber hinaus pflegen unsere Fachleute Profile von mehr als 10 Staaten, die APT-Gruppen unterstützen, sowie von über 40 angegriffenen Branchen. All das fließt in unsere Daten und Bewertungen zu den finanziellen und politischen Dimensionen der globalen Cyberbedrohungen ein. Die Fachleute von FireEye können nicht nur ermitteln, wie groß das Risiko durch einen aufgedeckten Angriff ist, sondern auch, wie die Angreifer in die betroffene Umgebung eingedrungen sind, wie sie sich ausgebreitet haben und was dagegen getan werden kann und sollte. Sie stellen den Angriffsopfern all diese Informationen als Kontext zur Verfügung und helfen ihnen dabei, kritische, komplexe Bedrohungen schnell einzuordnen und zügig abzuwehren.

Weitere Ressourcen zum Thema: Berichte mit Informationen über Bedrohungen