Behörden warnen: Russische Hacker kapern Tausende Router für Spionage

Behörden mehrerer Länder, darunter der Bundesnachrichtendienst sowie das Bundesamt für Verfassungsschutz, haben eine gemeinsame Warnung vor infiltrierten Routern herausgegeben(öffnet im neuen Fenster) . Die Cyberaktivitäten wurden mit Spionageoperationen von APT28 in Verbindung gebracht. Dabei handelt es sich um eine dem russischen Militärgeheimdienst GRU zugeordnete Hackergruppe, die auch als Fancy Bear oder Forest Blizzard bekannt ist.

Betroffen sind den Angaben nach auch hierzulande weit verbreitete Router von TP-Link sowie solche des Herstellers Mikrotik. Einem Bericht des britischen NCSC(öffnet im neuen Fenster) zufolge überschreiben die Angreifer darauf DHCP- und DNS-Einstellungen, um den Traffic der Nutzer über eigene Server zu leiten.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Fortgeschrittene Python-Techniken in der Anwendung

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: PowerShell für Anfänger:innen - Der Einstieg in die Welt von PowerShell (E-Learning)

zum Kurs

Weltweit sollen mehrere Tausend Geräte betroffen sein. In einem Blogbeitrag der Sicherheitsforscher von Lumen(öffnet im neuen Fenster) ist von bis zu 18.000 IP-Adressen aus mindestens 120 Ländern die Rede, die zu Spitzenzeiten mit der Infrastruktur von APT28 verbunden gewesen sein sollen. In Deutschland sind laut Verfassungsschutz etwa 30 Router betroffen. Deren Betreiber sollen bereits informiert worden sein und die kompromittierten Geräte zum Großteil ersetzt haben.

Datenklau und Spionage

Ziel der Angreifer ist es den Angaben zufolge, militärische Informationen, Regierungsinformationen oder Informationen über kritische Infrastrukturen auszuspähen. Dafür sammelt APT28 im Rahmen sogenannter Adversary-in-the-Middle-Angriffe (AitM) Passwörter, OAuth-Token und andere Anmeldeinformationen ein, um sich damit Zugriff auf E-Mail-Postfächer und verschiedene Onlinedienste zu verschaffen.

Infiltriert wurden die Router wohl durch ungepatchte Sicherheitslücken. Das NCSC nennt als Beispiel die Lücke CVE-2023-50224(öffnet im neuen Fenster) , mit deren Hilfe die Angreifer durch einen speziell gestalteten HTTP-Request Zugangsdaten für das TP-Link-Modell WR841N abgreifen konnten. Im Bericht der Behörde werden aber noch viele weitere kompromittierte TP-Link-Modelle aufgelistet(öffnet im neuen Fenster) .

Wer sich für weitere Informationen zu den Angriffen interessiert, findet diese neben den bereits erwähnten Veröffentlichungen auch noch in einem Blogbeitrag von Microsoft(öffnet im neuen Fenster) sowie einer Pressemitteilung der US-Staatsanwaltschaft(öffnet im neuen Fenster) .

APT28 wurde schon mit zahlreichen prominenten Cyberoperationen in Verbindung gebracht und vor rund einem Jahr auch bei der Spionage über infiltrierte IP-Kameras erwischt .

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.