Ohne Wissen der Eigentümer: US-Justizministerium entfernt russische Malware von Routern

Im Januar 2024 führte das US-Justizministerium eine geheime, vom Gericht genehmigte Operation mit dem Codenamen Dying Ember durch, um Malware von Ubiquiti-Routern in US-Haushalten und Unternehmen mit Ubiquiti Edge OS zu löschen. Doch nicht nur in den USA waren Router betroffen.

Die Malware wurde nach Angaben des Ministeriums von der russischen Hackergruppe APT 28 alias Fancy Bear alias Einheit 26165 auf Routern des Herstellers Ubiquiti verwendet, um ein Botnetz für Spionage zu etablieren. Fancy Bear gehört laut Justizministerium zum russischen Militärgeheimdienst GRU.

Die Botnet-Malware, bekannt als Moobot, wurde zuvor von Cyberkriminellen, die nicht zum GRU gehören, auf den Routern platziert. GRU-Agenten der Einheit 26165 installierten dann der Darstellung der USA nach zusätzliche Skripte, um die kompromittierten Geräte zu kontrollieren, so das DOJ. Der GRU nutzte also die von Kriminellen geschaffene Infrastruktur und baute sie nicht selbst auf.

Durch die Infiltrierung der Router konnte der GRU Straftaten wie Spearphishing verüben. Der Zugriff ermöglichte eine umfassende Überwachung der Nutzer und Unternehmen und Behörden, die die Router einsetzen. Über den Inhalt der Angriffe oder konkrete Opfer ist nichts bekannt.

Gegenhack der US-Behörden

Um die Malware zu entfernen, kopierte das FBI die Botnet-Dateien zur Analyse durch die NSA. Dann änderte es die Firewall-Einstellungen auf den Routern, beendete den Fernzugriff und löschte Moobot und andere Malware. Die vom Gericht genehmigte Operation sammelte kurzzeitig Daten von Routern, um mögliche Störungen ihrer Aktion zu überwachen, hörte die Nutzer aber nicht ab, so das US-Justizministerium.

Beamte des DOJ sagten, sie würden die betroffenen Ubiquiti-Kunden über ihre Provider benachrichtigen. Welche Hardware genau betroffen ist, bleibt offen. Wie dies genau geschieht, ist unklar. Die Behörde rät ihnen, die Router auf die Werkseinstellungen zurückzusetzen, die Firmware zu aktualisieren und die Standardpasswörter zu ändern.

Die Aktion ist das zweite Mal innerhalb von zwei Monaten, dass das DOJ staatliche Hacker gestoppt hat, indem es Malware von Routern entfernte, so die stellvertretende Generalstaatsanwältin Lisa Monaco.

Generalstaatsanwalt Merrick B. Garland sagte dazu: "In diesem Fall wandte sich der russische Geheimdienst an kriminelle Gruppen, die ihm dabei helfen sollten, Router in Privathaushalten und Büros anzugreifen, aber das Justizministerium hat ihr Vorhaben verhindert. Wir werden weiterhin die bösartigen Cyber-Tools der russischen Regierung, die die Sicherheit der Vereinigten Staaten und unserer Verbündeten gefährden, stören und zerschlagen".

Nach einer Meldung der DPA haben deutsche Sicherheitsbehörden dazu beigetragen, das russische Computer-Spionagenetz auszuschalten.

Ob die Router-Gegenhacks nur bei Geräten auf dem Gebiet der USA vorgenommen worden sind und von wem, ist nicht ganz klar. So sagte die zuständige Special Agent Jodi Cohen vom FBI Boston Field Office: "Die Operation Dying Ember war eine internationale Anstrengung unter der Leitung des FBI Boston zur Beseitigung von über tausend kompromittierten Routern, die ahnungslosen Opfern in den Vereinigten Staaten und auf der ganzen Welt gehörten und die von heimtückischen, nationalstaatlichen Akteuren in Russland ins Visier genommen wurden, um ihre strategische Informationsgewinnung zu erleichtern"