Advanced Persistent Threat (APT)
Was ist Advanced Persistent Threat (APT)?
Advanced Persistent Threat (APT)Verdeckter, ressourcenstarker Bedrohungsakteur — meist staatlich finanziert —, der über lange Zeit unentdeckten Zugang zu einem Zielnetzwerk hält, um Daten zu stehlen oder sich für Störaktionen zu positionieren.
Der Begriff APT bezeichnet sowohl den Akteur als auch die Kampagne: hochqualifizierte Gegner, die Wochen bis Jahre in der Zielumgebung verbleiben und Tarnung sowie Persistenz über laute Smash-and-Grab-Angriffe stellen. APTs kombinieren typischerweise Spear-Phishing, Supply-Chain-Kompromittierung, maßgeschneiderte Malware, Living-off-the-Land-Techniken und Zero-Day-Exploits. Ziele sind meist Spionage (geistiges Eigentum, diplomatische Depeschen, Verteidigungsforschung), Vorpositionierung für Sabotage an kritischer Infrastruktur oder langfristiger Finanzdiebstahl.
Benannte Kampagnen veranschaulichen das Spektrum. APT29 (Cozy Bear) versah 2020 SolarWinds-Orion-Updates mit der SUNBURST-Backdoor und erreichte über einen einzigen vertrauenswürdigen Anbieter Tausende von Organisationen. Volt Typhoon, eine mit der VR China verbundene Gruppe, nutzte Living-off-the-Land-Techniken — eingebaute Werkzeuge wie wmic, netsh und PowerShell statt maßgeschneiderter Malware —, um über Kommunikations-, Energie-, Wasser- und Verkehrsnetze in den USA hinweg dauerhaften Zugang aufrechtzuerhalten; CISA, FBI und NSA warnten im gemeinsamen Advisory AA24-038A (Februar 2024) davor, dass die Absicht nicht Spionage war, sondern die Vorpositionierung für störende Angriffe während einer künftigen Krise.
Die Verteidigung erfordert mehrschichtige Kontrollen: threat-intelligence-gestützte Detektion, EDR/XDR mit Verhaltensanalytik, Netzwerksegmentierung, strenge Identitätskontrollen, erweitertes Logging von Authentifizierungs- und Kommandozeilenaktivität sowie proaktives Threat Hunting nach in MITRE ATT&CK katalogisierten TTPs.
flowchart LR A[Aufklärung] --> B[Erstzugang<br/>Spear-Phish / Supply Chain / 0-Day] B --> C[Standfuß &<br/>Persistenz] C --> D[Rechteausweitung<br/>+ Diebstahl von Zugangsdaten] D --> E[Laterale Bewegung<br/>Living off the Land] E --> F[Langfristige verdeckte<br/>Sammlung] F --> G[Exfiltration oder<br/>Vorpositionierung] F -.umgehen.-> H[EDR / Threat Hunting<br/>MITRE ATT&CK] H -.erkennen & verdrängen.-> C
● Beispiele
- 01
APT29 (Cozy Bear) und die SolarWinds-SUNBURST-Supply-Chain-Kompromittierung.
- 02
APT1 (PLA-Einheit 61398) und die von Mandiant 2013 dokumentierten Industriespionage-Kampagnen.
- 03
Volt Typhoon und die Vorpositionierung in kritischer US-Infrastruktur (CISA-Advisory AA24-038A).
● Häufige Fragen
Was ist Advanced Persistent Threat (APT)?
Verdeckter, ressourcenstarker Bedrohungsakteur — meist staatlich finanziert —, der über lange Zeit unentdeckten Zugang zu einem Zielnetzwerk hält, um Daten zu stehlen oder sich für Störaktionen zu positionieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Advanced Persistent Threat (APT)?
Verdeckter, ressourcenstarker Bedrohungsakteur — meist staatlich finanziert —, der über lange Zeit unentdeckten Zugang zu einem Zielnetzwerk hält, um Daten zu stehlen oder sich für Störaktionen zu positionieren.
Wie schützt man sich gegen Advanced Persistent Threat (APT)?
Schutzmaßnahmen gegen Advanced Persistent Threat (APT) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Advanced Persistent Threat (APT)?
Übliche alternative Bezeichnungen: Gezielter Angriff, Nation-State Actor.