Diskussion:Advanced Persistent Threat

Aus Foxwiki

Gruppenbezeichnung

Im Zusammenhang mit konkreten Angriffen werden die vermuteten Angreifer zur späteren Wiedererkennung nach Vorgehen oder vermuteter Herkunft sortiert und als APT gekennzeichnet. Dieses Schema stammt ursprünglich von Mandiant – "APT1" ist dabei einfach die erste, "APT10" die zehnte Gruppe, welche das Unternehmen beobachtet hat. Ein weiteres bekanntes Schema ist das von Crowdstrike, jede Gruppe erhält dabei den Namen eines für ihr Herkunftsland typischen Tieres (z. B. Panda für China, Bär für Russland) und einen leicht zu merkenden Begriff, welcher meist willkürlich auf eine Besonderheit der Gruppe deutet – wie z. B. Wicked Panda. Microsoft wiederum verwendet chemische Elemente als Bezeichnung. Eine Gruppe wird als solche betrachtet, auch wenn es sich tatsächlich um mehrere Organisationen oder Abteilungen in einer Organisation handelt, ausschlaggebend ist, dass die Vorgehensweisen und Methodiken so ähnlich sind, dass eine Unterscheidung aus der Sicht des Verteidigers unnötig ist. Die meisten Schemata vermeiden es, Begriffe zu verwenden, welche als beleidigend verstanden werden können. Das Vorgehen der Zuordnung eines Angriffes zu einer Gruppe wird als Attribution bezeichnet. Da viele Gruppen ohnehin nicht befürchten müssen, dass sie oder ihre Auftraggeber verhaftet werden oder ihrem Land Sanktionen drohen, versuchen sie nur, den direkten Bezug zum Auftraggeber und das aktuelle Interesse zu verschleiern, was die Attribution erleichtert. Auch können kurzfristige Interessen der Auftraggeber eine Gruppe dazu zwingen, schnell Ergebnisse zu liefern und die nötige Vorsicht außer Acht zu lassen.

In die öffentliche Wahrnehmung gelangten bisher unter anderem:

  • APT1 oder Comment Panda, gemäß einem 2013 veröffentlichten Bericht der amerikanischen Sicherheitsfirma Mandiant werden seit 2006 Angriffe auf die USA und andere englischsprachige Länder von der mutmaßlich chinesischen Spionageeinheit APT1 verübt.
  • APT10 oder Stone Panda, Cicada, Cloud Hopper führte im Frühjahr 2017 eine Serie von Angriffen auf ausgewählte Ziele im Vereinigten Königreich durch und wird der Volksrepublik China zugeordnet.
  • APT19, auch Codoso, eine mutmaßlich chinesische Gruppe, die verschiedenste Industrien ausspioniert, im Jahr 2017 gab es eine große Phishing-Attacke gegen Anwaltsfirmen
  • APT28, eine auch als Fancy Bear oder Sofacy Group bekannte Gruppe, die dem russischen Militärgeheimdienst GRU zugeordnet wird und unter anderem für Hackerangriffe auf den Deutschen Bundestag, das DNC, und auf verschiedene Ziele im Zusammenhang mit dem Ukrainekrieg und in Georgien verantwortlich sein soll.
  • APT29, eine auch als Cozy Bear bekannte Gruppe, die der Russischen Föderation zugeordnet wird und unter anderem im Vorfeld der amerikanischen Präsidentschaftswahlen 2016 in das Computersystem des DNC einbrach und das erbeutete Material Wikileaks zugespielt haben soll.
  • APT32 oder Ocean Lotus, eine Gruppe, welche auch einzelne Personen wie Menschenrechtler im Visier hat und wahrscheinlich politische motivierte Aufträge Vietnams ausführt
  • APT33 oder Refined Kitten, eine vermutlich iranische Gruppe, die seit ca. 2013 aktiv ist. Mit Hilfe von Spearphishing und direkteren Methode, wie Brute-force attacks wurden Firmen der Luftfahrtindustrie sowie Energieunternehmen in den USA, Südkorea und Saudi-Arabien angegriffen.
  • APT34 oder Helix Kitten, eine zunächst nach GCHQ- und NSA-Einschätzungen dem Iran zugeschriebene Operation von 2018/2019. Die Software und technische Infrastruktur sei aber im späteren Verlauf durch Hacker der Gruppe Turla übernommen worden, die dem FSB der Russischen Föderation zugerechnet wird. So konnte die Turla-Operation Daten von Systemen stehlen, die die Iraner zuvor mit Spionagesoftware infiziert hatten. Weiter sei auch eigene Turla-Software der iranischen Software nachempfunden worden, um deren Herkunft zu verschleiern.
  • APT37 vermutlich nordkoreanische Gruppe, von 2012 bis 2017 aktiv gegen südkoreanische Firmen, danach aktiv in Japan, Vietnam und dem Mittleren Osten
  • APT38 vermutlich nordkoreanische Gruppe, sie wird für einen 100-Millionen-Dollar-Bankraub verantwortlich gemacht
  • APT41 oder Wicked Panda, eine umgangssprachlich als Winnti bezeichnete Gruppe, die international sehr aktiv ist und in Deutschland für Angriffe auf prominente Ziele verantwortlich gemacht wird, unter anderem Henkel, Covestro, Bayer, Siemens, BASF sowie Thyssenkrupp.
Abgerufen von „https://wiki.foxtom.de/index.php?title=Diskussion:Advanced_Persistent_Threat&oldid=110304