|
|
| Zeile 1: |
Zeile 1: |
| == Gruppenbezeichnung ==
| |
| Im Zusammenhang mit konkreten Angriffen werden die vermuteten Angreifer zur späteren Wiedererkennung nach Vorgehen oder vermuteter Herkunft sortiert und als ''APT'' gekennzeichnet. Dieses Schema stammt ursprünglich von Mandiant – "APT1" ist dabei einfach die erste, "APT10" die zehnte Gruppe, welche das Unternehmen beobachtet hat. Ein weiteres bekanntes Schema ist das von Crowdstrike, jede Gruppe erhält dabei den Namen eines für ihr Herkunftsland typischen Tieres (z. B. Panda für China, Bär für Russland) und einen leicht zu merkenden Begriff, welcher meist willkürlich auf eine Besonderheit der Gruppe deutet – wie z. B. ''Wicked Panda''. Microsoft wiederum verwendet chemische Elemente als Bezeichnung. Eine Gruppe wird als solche betrachtet, auch wenn es sich tatsächlich um mehrere Organisationen oder Abteilungen in einer Organisation handelt, ausschlaggebend ist, dass die Vorgehensweisen und Methodiken so ähnlich sind, dass eine Unterscheidung aus der Sicht des Verteidigers unnötig ist. Die meisten Schemata vermeiden es, Begriffe zu verwenden, welche als beleidigend verstanden werden können. Das Vorgehen der Zuordnung eines Angriffes zu einer Gruppe wird als Attribution bezeichnet. Da viele Gruppen ohnehin nicht befürchten müssen, dass sie oder ihre Auftraggeber verhaftet werden oder ihrem Land Sanktionen drohen, versuchen sie nur, den direkten Bezug zum Auftraggeber und das aktuelle Interesse zu verschleiern, was die Attribution erleichtert. Auch können kurzfristige Interessen der Auftraggeber eine Gruppe dazu zwingen, schnell Ergebnisse zu liefern und die nötige Vorsicht außer Acht zu lassen.
| |
|
| |
|
| In die öffentliche Wahrnehmung gelangten bisher unter anderem:
| |
|
| |
| * '''APT1''' oder ''Comment Panda'', gemäß einem 2013 veröffentlichten [[Mandiant#APT1-Spionage-Bericht|Bericht]] der amerikanischen Sicherheitsfirma [[Mandiant]] werden seit 2006 Angriffe auf die USA und andere englischsprachige Länder von der mutmaßlich chinesischen Spionageeinheit APT1 verübt.
| |
| * '''APT10''' oder ''Stone Panda'', ''Cicada'', ''Cloud Hopper'' führte im Frühjahr 2017 eine Serie von Angriffen auf ausgewählte Ziele im [[Vereinigtes Königreich|Vereinigten Königreich]] durch und wird der [[Volksrepublik China]] zugeordnet.
| |
| * '''APT19''', auch ''Codoso'', eine mutmaßlich chinesische Gruppe, die verschiedenste Industrien ausspioniert, im Jahr 2017 gab es eine große [[Phishing]]-Attacke gegen Anwaltsfirmen
| |
| * '''APT28''', eine auch als ''Fancy Bear'' oder ''[[Sofacy Group]]'' bekannte Gruppe, die dem russischen Militärgeheimdienst [[Glawnoje Raswedywatelnoje Uprawlenije|GRU]] zugeordnet wird und unter anderem für [[Hackerangriffe auf den Deutschen Bundestag]], das [[Democratic National Committee|DNC]], und auf verschiedene Ziele im Zusammenhang mit dem [[Krieg in der Ukraine seit 2014|Ukrainekrieg]] und in [[Georgien]] verantwortlich sein soll.
| |
| * '''APT29''', eine auch als ''Cozy Bear'' bekannte Gruppe, die der Russischen Föderation zugeordnet wird und unter anderem im Vorfeld der [[Präsidentschaftswahl in den Vereinigten Staaten 2016|amerikanischen Präsidentschaftswahlen 2016]] in das Computersystem des [[Democratic National Committee|DNC]] einbrach und das erbeutete Material [[Wikileaks]] zugespielt haben soll.
| |
| * '''APT32''' oder ''Ocean Lotus'', eine Gruppe, welche auch einzelne Personen wie Menschenrechtler im Visier hat und wahrscheinlich politische motivierte Aufträge [[Vietnam]]s ausführt
| |
| * '''APT33''' oder ''Refined Kitten'', eine vermutlich iranische Gruppe, die seit ca. 2013 aktiv ist. Mit Hilfe von Spearphishing und direkteren Methode, wie Brute-force attacks wurden Firmen der Luftfahrtindustrie sowie Energieunternehmen in den USA, Südkorea und Saudi-Arabien angegriffen.
| |
| * '''APT34''' oder ''Helix Kitten'', eine zunächst nach GCHQ- und NSA-Einschätzungen dem [[Iran]] zugeschriebene Operation von 2018/2019. Die Software und technische Infrastruktur sei aber im späteren Verlauf durch Hacker der Gruppe ''Turla'' übernommen worden, die dem FSB der Russischen Föderation zugerechnet wird. So konnte die Turla-Operation Daten von Systemen stehlen, die die Iraner zuvor mit Spionagesoftware infiziert hatten. Weiter sei auch eigene Turla-Software der iranischen Software nachempfunden worden, um deren Herkunft zu verschleiern.
| |
| * '''APT37''' vermutlich nordkoreanische Gruppe, von 2012 bis 2017 aktiv gegen südkoreanische Firmen, danach aktiv in Japan, Vietnam und dem Mittleren Osten
| |
| * '''APT38''' vermutlich nordkoreanische Gruppe, sie wird für einen 100-Millionen-Dollar-Bankraub verantwortlich gemacht
| |
| * '''APT41''' oder Wicked Panda, eine umgangssprachlich als [[Winnti]] bezeichnete Gruppe, die international sehr aktiv ist und in Deutschland für Angriffe auf prominente Ziele verantwortlich gemacht wird, unter anderem [[Henkel (Unternehmen)|Henkel]], [[Covestro]], [[Bayer AG|Bayer]], [[Siemens]], [[BASF]] sowie [[Thyssenkrupp]].
| |