Wir denken bei Advanced Persistent Threats (APTs) oft an Bedrohungen, die in erster Linie Cyberspionage gegen Regierungen betreiben, allerdings können sie ebenso große Auswirkungen auf den privaten Sektor haben. Oft überschneiden sich sowohl die Techniken als auch die verwendeten Werkzeuge zwischen APTs und finanziell motivierten Cyberkriminellen, sodass einige APT-Gruppen selbst dazu übergegangen sind, als Cyberkriminelle zu agieren.
Aktuelle Untersuchungen haben gezeigt, dass verschiedene nordkoreanische APTs das Atomprogramm und die Spionageaktivitäten ihres Landes mit gestohlener Kryptowährung finanzieren, während russische APTs russischsprachige Ransomware und Hacktivistengruppen als Proxys nutzen, um ihre Ziele zu erreichen. Nationalstaaten lagern ihre Cyberspionage-Aktivitäten auch häufig an Gruppen aus, die schwer als reine APTs oder finanziell motiviert zu identifizieren sind. Diese Drittparteien nutzen bekannte Angriffsvektoren, damit Länder teure, schwer zu entdeckende Schwachstellen geheim halten können.
APT41 aus China ist ein Beispiel für diese Überschneidung, denn die Gruppe hat es auf öffentliche und private Organisationen abgesehen, unter anderem im Gesundheitswesen, in der Hightech- und Telekommunikationsbranche. Kürzlich haben die Forscher des Lookout Threat Labs ihre Threat Advisory Service-Analyse von zwei mobilen Malware-Familien mit den Namen WyrmSpy und DragonEgg veröffentlicht, die Aufschluss über die mobilen Fähigkeiten der Gruppe geben.
Es ist wichtig zu verstehen, dass APTs und organisierte Cyberkriminalität ähnliche Techniken für ihre Angriffe verwenden. Ob es sich um finanziell motivierte Bedrohungsakteure handelt, die es auf das Bankkonto eines Opfers abgesehen haben, oder um APT-Gruppen, die Aufklärungsarbeit betreiben, um weitere Angriffe zu ermöglichen - viele Angriffe zielen zunächst auf mobile Geräte ab, da diese in der Regel nicht geschützt sind und Social-Engineering-Maßnahmen relativ einfach durchgeführt werden können. Wenn Sie die wachsende Reichweite von APT-Aktivitäten verstehen, können Sie die Risiken, die diese für Ihr Unternehmen darstellen, verringern.
Was sind APT-Angriffe und wie wirken sie sich auf Unternehmen aus?
APTs sind hochentwickelte Cyber-Gruppen, die oft von Nationalstaaten kontrolliert oder gesponsert werden. Sie setzen in der Regel verschiedene Techniken wie maßgeschneiderte Malware, Social Engineering, Zero- oder N-Day-Exploits und mehr für Cyberspionagezwecke ein. Ihre Ziele reichen vom unbefugten Zugriff auf das Netzwerk eines Unternehmens über den Diebstahl wertvoller Informationen oder geistigen Eigentums, die Einschleusung von Schadcode in das Produkt eines Unternehmens bis hin zur gezielten Überwachung von Personen. Es hat jedoch auch Fälle gegeben, in denen APTs Organisationen aus finanziellen Gründen ins Visier genommen haben.
Ein bekanntes Beispiel ist die bereits erwähnte APT41, deren Mitglieder im Jahr 2020 von der US-Regierung angeklagt wurden, weil sie über 100 Organisationen und Einzelpersonen im öffentlichen und privaten Sektor kompromittiert hatten. In den folgenden Jahren führte APT41 weiterhin finanziell motivierte Angriffe durch, wie z. B. den Diebstahl von COVID-Hilfsgeldern in Höhe von 20 Millionen US-Dollar von US-Bundesstaaten.
Es ist auffällig, dass dieselben Methoden, die zur finanziellen Bereicherung eingesetzt werden, auch bei Aktivitäten im Zusammenhang mit Chinas nationalen Interessen beobachtet wurden. Dies veranschaulicht, wie APT-Gruppen wie APT41 mit mehreren Zielen operieren können, und verdeutlicht die Komplexität ihrer Motivationen und Aktionen in der Cyberlandschaft.
Auswirkungen von APT-Angriffen auf den privaten Sektor
Wirtschaftliche Auswirkungen
APT-Angriffe können verschiedene Formen annehmen, darunter den Diebstahl sensibler Daten, operative Störungen und den Diebstahl geistigen Eigentums. Privatunternehmen sind häufig Ziel von nationalstaatlichen Akteuren, da sie über Daten verfügen, die von ausländischen Stellen begehrt werden, darunter wertvolle Geschäftsgeheimnisse oder operative Geschäftspläne.
Rufschädigung
Rufschädigung ist eine der Hauptfolgen erfolgreicher APT-Angriffe, da der Ruf einer Organisation dadurch erheblich beeinträchtigt werden kann. Viele Organisationen werden gezielt wegen der Daten angegriffen, die sie über Kunden und Nutzer ihrer Dienste besitzen. Solche Angriffe können das Vertrauen der Kunden untergraben und die Beziehungen schädigen.
Risiken in der Lieferkette
Bei Angriffen auf Lieferketten werden Schwachstellen innerhalb der Lieferkette ausgenutzt, um weitere Angriffe zu ermöglichen, die auf Systeme abzielen und das Vertrauen der Kunden gefährden. Die Kompromittierung einer dritten Partei innerhalb der Lieferkette kann weitreichende Folgen haben und sich auf mehrere mit der Kette verbundene Organisationen auswirken.
Gesetzliche Vorschriften
Ein unzureichender Schutz sensibler Daten kann rechtliche Konsequenzen und behördliche Strafen nach sich ziehen. Die Nichteinhaltung von Vorschriften zum Datenschutz und zur Datensicherheit setzt Unternehmen finanziellen Verpflichtungen und Reputationsschäden aus.
Wie können sich Unternehmen gegen mobile APT-Kampagnen schützen?
Mobile Geräte verfügen oft nicht über das gleiche Maß an Sicherheitskontrollen wie traditionelle Endgeräte, was sie zunehmend zu anfälligen Zielen für APT-Angriffe macht. Wie bei den Einsätzen von WyrmSpy und DragonEgg von APT41 zu sehen ist, ermöglichen mobile Geräte Bedrohungsakteuren ausgefeilte Überwachungsfunktionen und den Zugriff auf sensible Daten.
Um sicherzustellen, dass Ihre Sicherheitsabläufe nicht blind gegenüber mobilitätsspezifischen Angriffen sind, benötigen Sie eine intelligenzbasierte Verteidigung, die sowohl die Fähigkeit zur Bedrohungssuche innerhalb Ihrer Unternehmensumgebung als auch konsistente und aktuelle Bedrohungsdaten über die sich entwickelnde Landschaft kombiniert.
Unternehmen verfügen häufig über diese Funktionen für traditionelle Endgeräte, aber wir beobachten, dass mobile Geräte in aktuellen Angriffen immer häufiger als erster Zugriffsvektor genutzt werden. Dies ist zum Teil auf ihre zunehmende Rolle als Quelle für die Authentifizierung der Benutzeridentität zurückzuführen. Mobile Geräte werden auch zunehmend für den Zugriff auf wertvolle Daten genutzt, einschließlich solcher mit Compliance-Anforderungen.
Um sicherzustellen, dass Mobilgeräte Bestandteil Ihrer IT-gestützten Abwehr sind, sollten Sie die folgenden Schritte berücksichtigen:
- Beziehen Sie mobile Geräte in Ihre Bedrohungsanalyse ein: Durch das Sammeln und Analysieren von Bedrohungsdaten, die sich speziell auf mobile Bedrohungen beziehen, einschließlich Kompromittierungsindikatoren (Indicators of Compromise, IOCs) und neue Angriffstechniken, können Unternehmen Muster erkennen, das Risikoniveau einschätzen und Prioritäten für ihre Sicherheitsmaßnahmen setzen. Lookout-Forscher stellen bei der Analyse von APT-Kampagnen häufig Überschneidungen zwischen mobilen und Desktop-Angriffen fest, was zeigt, wie wichtig es ist, beide Vektoren zu verstehen.
- Implementierung proaktiver mobiler Abwehrmaßnahmen: Nutzen Sie die Erkenntnisse aus der Analyse mobiler Bedrohungen, um proaktiv Sicherheitskontrollen und Gegenmaßnahmen für mobile Geräte zu implementieren. Dies kann den Einsatz mobilspezifischer Erkennungs- und Reaktionssysteme beinhalten, die mobilspezifische Benutzer- und Geräteanalysen, Playbooks für die Sicherheitsorchestrierung und die Aufnahme mobiler Geräte im Rahmen des Risikomanagements umfassen.
- Berücksichtigung von Mobilgeräten bei der Incident Response: Eine erkenntnisgestützte Verteidigung ermöglicht es Sicherheitsteams, die Art eines mobilen Angriffs zu verstehen, seinen Ursprung zurückzuverfolgen und geeignete Maßnahmen zu ergreifen, um die Auswirkungen zu minimieren und künftige Vorfälle auf mobilen Plattformen zu verhindern. Durch die Einbeziehung von Bedrohungsdaten aus dem mobilen Bereich kann die Reaktion auf Vorfälle dazu beitragen, den Ursprung eines Angriffs zu bestätigen oder zu widerlegen. Dazu gehören auch mobile Endpunkt- und Reaktionsfähigkeiten (EDR), damit Ihre Sicherheitsteams Angriffe von APT-Gruppen, die mobile Geräte für ihre TTPs nutzen, minimieren oder abschwächen können.
- Informationsaustausch und Zusammenarbeit: Führen Sie einen proaktiven Informationsaustausch und eine Zusammenarbeit mit anderen Organisationen, Industriepartnern und Regierungsbehörden durch, um die kollektive Verteidigung gegen mobile Bedrohungen zu stärken. Durch den Austausch von Informationen über mobile Bedrohungen können Unternehmen ihre Fähigkeit verbessern, fortschrittliche Angriffe zu erkennen, sich proaktiv gegen mobile Bedrohungen zu verteidigen und bei Sicherheitsvorfällen effektiv zu reagieren.
Bessere Verteidigung gegen APT-Angriffe in der heutigen Bedrohungslandschaft
Der Schutz Ihres Unternehmens vor APT-Angriffen und deren mobilen Kampagnen ist in der heutigen Bedrohungslandschaft unerlässlich. APT-Angriffe, einschließlich derer, die von Gruppen wie APT41 inszeniert werden, zeigen, dass sie bereit sind, andere Nationen und Privatunternehmen anzugreifen.
Mobile Geräte werden zunehmend sowohl von APTs als auch von finanziell motivierten Bedrohungsakteuren ausgenutzt. Es reicht nicht mehr aus, traditionelle Endpunkte und Bedrohungsvektoren abzudecken.
Wenn Sie Fragen zu APTs oder zum Schutz vor mobilen Bedrohungen haben, kontaktieren Sie uns gerne.