Der Angriff auf die Demokraten im Zusammenhang mit der Präsidentschaftswahl in den Vereinigten Staaten 2016, der Diebstahl und die Veröffentlichung vertraulicher Dokumente von Sony im Jahr 2014 oder auch die Attacke auf den Deutschen Bundestag 2015: Sie alle gehen auf das Konto verschiedener sogenannter APT-Gruppen. Hierunter versteht man im Allgemeinen Gruppen, die Angriffe auf Datenbestände eines Landes von nationaler Sicherheit oder strategischer wirtschaftlicher Bedeutung durch Cyber-Spionage oder Cyber-Sabotage führen. Sie sind schwer zu fassen, technisch sehr versiert und agieren äußerst effektiv – und richten enormen Schaden an. Diese meist staatlich unterstützten bzw. geförderten Hacker-Teams zielen aber nicht nur auf (feindliche) Nationen oder staatliche Einrichtungen, auch Unternehmen sind in ihrem Fadenkreuz.
Die Sicherheitsforscher von MITRE haben derzeit gut 90 verschiedene APT-Gruppen identifiziert. Diese verteilen sich über die ganze Welt und umfassen sowohl weitgehend von der Regierung finanzierte Gruppen als auch rein kriminelle, kommerziell motivierte Teams, deren Aktivitäten für die Cybersicherheit von großer Bedeutung sind.
Der Begriff APT (Advanced-Persistent-Threat) geht dabei ursprünglich auf eine bestimmte Form der digitalen Industrie- bzw. Wirtschaftsspionage zurück und wurde bereits Anfang der 2000er Jahre von der US-Luftwaffe geprägt. Es ist jedoch davon auszugehen, dass diese Gruppen seit dem Zeitpunkt operieren, als Regierungen anfingen, digitale Technologien einzusetzen. Von Anfang an gaben sich diese Gruppen gerne kryptische Namen, teilweise wurden ihnen diese jedoch auch von IT-Sicherheits-spezialisten gegeben. So stehen beispielsweise bestimmte Tiere für eine mutmaßliche regionale Zuordnung: „Bear“ im Name deutet auf Russland hin, „Panda“ auf China. Neun der bekanntesten und gefährlichsten Gruppen haben die Datensicherheits-spezialisten von Varonis in einer Grafik zusammengefasst.
Lazarus-Gruppe
Die Lazarus-Gruppe wird mit dem nordkoreanischen Geheimdienst RGB in Verbindung gebracht. Einer ihrer ersten Aktionen war der Vergeltungsangriff auf Sony im Jahr 2014. Hintergrund war die vom Unternehmen produzierte Komödie „The Interview“ über ein Mordkomplott der CIA gegen Nordkoreas Staatsoberhaupt Kim Jong-un.
Herkunft: Nordkorea
Gegründet: 2009
Primäre Ziele: Südkorea, Vereinigte Staaten
Die Waffe der Wahl: Ransomware (WannaCry, MimiKatz)
Equation Group
Die Equation Group (auch bekannt als Shadow Brokers) soll der US-amerikanischen National Security Agency (NSA) nahestehen. Ein bemerkenswerter Angriff, mit dem sie in Verbindung gebracht wird, war der Stuxnet-Angriff 2010 auf das iranische Atomprogramm.
Ursprung: Vereinigte Staaten
Gegründet: 2001
Primäre Ziele: Regierungen von Iran, Syrien, Afghanistan und Mali
Die Waffe der Wahl: Zero-Day-Angriffe, Spyware
Fancy Bear (APT 28)
Nach Einschätzung westlicher Geheimdienste handelt es sich bei Fancy Bear (auch bekannt als Sofacy Group) um eine als Hackerkollektiv auftretende Einheit des russischen Militärgeheimdienstes GRU. Die bekannteste Aktion der Gruppe war der Leak brisanter Dokumente im Wahlkampf von Hilary Clinton im Jahr 2016.
Herkunft: Russland
Gegründet: 2004
Primäre Ziele: Vereinigte Staaten, Deutschland
Waffe der Wahl: Spear Phishing, Mimikatz, Coreshell
Machete
Machete ist eine südamerikanische Gruppe, die extrem schwer zu verfolgen ist. Da viele der Zielobjekte aus Venezuela stammen, ist sie wahrscheinlich dort ansässig. Dabei wenden sie fortgeschrittene Phishing-Taktiken an, um Zugang zu erhalten und große Mengen sensibler Daten zu stehlen.
Herkunft: Südamerika
Gegründet: 2010
Primäre Ziele: Venezolanisches Militär und Kolumbien, Nicaragua und Ecuador
Die Waffe der Wahl: Phishing
Elfin (APT 33)
Bei Elfin handelt es sich mutmaßlich um eine iranische Gruppe, die offenbar vor allem auf Unternehmen der Luft- und Raumfahrt sowie der Energiewirtschaft in den USA, Saudi-Arabien und Südkorea zielt. Elfin hat eine Affinität für Malware und hat seine eigene maßgeschneiderte Malware wie Stonedrill entwickelt.
Herkunft: Iran
Gegründet: 2013
Primäre Ziele: Saudi-Arabien und USA (Luft- und Raumfahrt sowie Energie)
Die Waffe der Wahl: Shamoon, Mimikatz, PowerSploit und Spyware
Mythic Leopard (APT 36)
Mythic Leopard wird mit Pakistan in Verbindung gebracht und konzentriert seine Ressourcen hauptsächlich auf das Hacken und Spear-Phishing von indischen Regierungseinrichtungen. Die Hauptmotivation für diese Angriffe ist Spionage, um Informationen von der indischen Regierung, dem Militär und der indischen Privatwirtschaft zu erhalten. So konnte beispielsweise Mythic Leopard durch Spear-Phishing-E-Mails Ziele mit Hilfe einer bösartigen Excel-Datei infizieren.
Ursprung: Pakistan
Gegründet: 2016
Primäre Ziele: Indien und die indische Armee
Die Waffe der Wahl: Social Engineering
Dynamite Panda (APT 18)
Dynamite Panda wird China zugerechnet und nimmt vor allem Unternehmen aus den Bereichen Technologie, Fertigung, Medizin sowie staatliche Einrichtungen und Menschenrechtsgruppen ins Visier. Dynamite Panda erlangte Berühmtheit, als die Gruppe 2014 vertrauliche, durch HIPAA geschützte Daten von 4,5 Millionen Patienten stahl.
Herkunft: China
Gegründet: 2009
Primäre Ziele: Vereinigte Staaten
Waffe der Wahl: Verschlüsselungstrojaner
Charming Kitten
Die meisten Angriffe von Charming Kitten konzentrieren sich auf einzelne Personen, die für den Iran von Interesse sind und in der akademischen Forschung, bei Menschenrechtsorganisationen und in den Medien arbeiten. Dabei sind die meisten Opfer im Iran, in den USA, in Israel und im Vereinigten Königreich zu finden. In der Hoffnung, Regimekritiker auszuspionieren oder zu identifizieren, führte Charming Kitten eine aufwendige dreijährige Spionageoperation mittels gefälschter, „journalistischer“ Social-Media-Konten durch.
Herkunft: Iran
Gegründet: 2014
Primäre Ziele: Iran, Israel, USA und Großbritannien
Die Waffe der Wahl: Kontozugang
OceanLotus (APT 32)
Die OceanLotus-Gruppe soll ihren Sitz in Vietnam haben und ihre Ziele umfassen Vietnam und andere südostasiatische Länder wie Laos, Thailand, Kambodscha und die Philippinen aber auch Australien, die USA und Deutschland. Einer der jüngsten Angriffe im Zusammenhang mit dieser Gruppe ist die Datenschutzverletzung bei Toyota. In aller Regel setzt die Gruppe bei ihren Angriffen Malware ein und wendet Zero-Day-Taktiken an.
Herkunft: Vietnam
Gegründet: 2014
Primäre Ziele: Südostasiatische Länder
Die Waffe der Wahl: Malware
#Varonis