APT29, auch Cozy Bear genannt, ist eine der am besten organisierten und technisch versiertesten Hackergruppen. Sie operiert seit mindestens 2008, wird der russischen Regierung zugeordnet und mit Angriffen auf Westeuropäische Regierungen und außenpolitische Lobbygruppen in Verbindung gebracht. Kurz: Niemand möchte auf der Zielliste der APT29 landen.
Genau dieses worst case Szenario war jedoch das Testsetting für die jüngste MITRE ATT&CK Evaluation.[1] 21 geladene Hersteller wurden von der amerikanischen Non-Profit-Organisation mit realen Angriffsszenarien von APT29 konfrontiert, mit dabei IKARUS Technologie-Partner FireEye.
Transparente Testprozesse und Ergebnisse
Im ersten Testszenario werden die Daten einer weit angelegten „Spray and pray“ Spearphishing Kampagne ausgeführt, gefolgt von einer schnellen „Smash and grab“ Aktion, in der spezifische Dateiarten gesammelt und exfiltriert wurden. Damit kann der potenzielle Wert des Opfersystems eingeschätzt werden und es kommt in Folge ein besser getarntes Toolkit zum Einsatz, das das Netzwerk weiter kompromittiert und durchforstet.
Das zweite Testszenario beschreibt einen gezielten, methodischen Datenzugriff. Speziell zugeschnittene Anwendungen überprüfen das Zielsystem eingehend, bevor sie ausgeführt werden. Es folgt die vorsichtige schrittweise Übernahme der gesamten Domain. Beide Testszenarien beinhalten auch zuvor etablierte Persistence Mechanismen, die nach einer definierten Zeitspanne abgerufen werden, um die Reichweite des Einbruchs zu erweitern.
Die Testergebnisse beinhalten kein Ranking und keine Bewertung. Sie sollen Usern und Herstellern vielmehr Einblicke geben, welche Techniken gute Erfolge zeigen, welche zusätzlichen Informationen gesammelt und übermittelt werden, wie kommerzielle Produkte effektiv eingesetzt werden und in welchen Bereichen optimiert werden kann.
Fokus auf Informationen statt Rankings
„FireEye erreichte von allen Teilnehmern die breiteste Abdeckung und auch die höchste Anzahl an kumulativen Erkennungen“, kommentiert Michelle Salvado, Vice President of Engineering and Endpoint GM bei FireEye, die Testergebnisse. Dank detailliertem Hintergrundwissen und der Mandiant Services konnte das Sicherheitsunternehmen, das stark auf den Bereich Threat Intelligence fokussiert, eine flächendeckende Bedrohungserkennung erreichen.[2]
In der neuen Kategorie MSSP (Managed Security Service Provider) zählt FireEye ebenso eine der höchsten Zahlen an erweiterten Alerts – ein Beweis für die hochentwickelten Jagd- und Erkennungstechniken von FireEye. „Wir wissen mehr über den Feind als andere Sicherheitsanbieter. Und je weiter sich die Angriffe entwickeln, desto relevanter wird die breite Erkennung und Absicherung, die FireEye Endpoint Security und Mandiant Managed Defense bieten können“, so Michelle Salvado.
„Die Angriffstechniken von APT29 sind State of the Art und nicht nur für regierungsnahe Organisationen relevant“, warnt Andreas Senn, Country Manager Austria bei FireEye: „Auch kritische Infrastrukturen und internationale Unternehmen tun gut daran, über die Ziele und Methoden der Gruppe informiert zu bleiben. Vor Nachahmern und breit angelegten Phishing-Kampagnen ist niemand gefeit.“
Internationale Services mit lokalem Hosting
Als FireEye Platin Partner ergänzt IKARUS Security Software das eigene technische Portfolio mit Leistungen und Services von FireEye. Der Großteil der Dienste ist ins IKARUS Rechenzentrum in Wien integriert, IKARUS kann damit exklusiv auch für FireEye-Produkte lokale Datenverarbeitung in Österreich anbieten. Als Systemintegrator und zentraler, greifbarer Ansprechpartner leistet der österreichische Security-Provider Beratung, Abstimmung und Integration sowie den technischen Support für maximale Sicherheit und besten Service.
Zusätzlich bietet IKARUS die einzigartige Möglichkeit, die preisgekrönte Anti-Spam-Lösung IKARUS mail.security mit dem kostengünstigen ATP-AddOn von FireEye zu ergänzen: E-Mails, die nach hunderten Reputation- und Content-based Checks weder als schädlich noch als harmlos eingestuft wurden, werden zusätzlich mit dem signaturlosen Sandboxing-Ansatz von FireEye überprüft. Der gezielte Einsatz dieser erweiterten Analyseverfahren ermöglicht auch kleinen und mittleren Unternehmen leistbaren Zugang zu hochprofessionellen Sicherheitsvorkehrungen und ein höchstmögliches Schutzniveau.
MITRE ATT&CK Evaluation Testergebnisse Round APT29:
https://attackevals.mitre.org/evaluations.html?round=APT29
IKARUS mail.security mit ATP-AddOn powered by FireEye:
IKARUS mail.security mit ATP-Option
FireEye Services powered by IKARUS:
FireEye Email Security (Cloud Edition)
[1] https://attackevals.mitre.org/APT29/
[2] https://www.fireeye.com/company/press-releases/2020/mitre-att-ck-evaluation-showcases-fireeye-endpoint-security-and-Mandiant-Managed-Defense.html