Russische Staatshacker sollen beliebte Internetrouter infiltriert haben

Demnach soll eine besonders versierte und berüchtigte offensive staatliche Hackerformation hinter den Router-Attacken stecken: »Fancy Bear« alias »APT 28«. Die Gruppe wird von internationalen Sicherheitsbehörden dem russischen Militärgeheimdienst GRU zugeschrieben und soll für einige spektakuläre und folgenreiche Cyberangriffe verantwortlich sein. Neben dem sogenannten Bundestags-Hack von 2015 gehört dazu auch die Hack-und-Leak-Kampagne zur Einflussnahme auf den US-Wahlkampf 2016 sowie der Angriff auf die SPD-Parteizentrale Ende 2022. Im vergangenen Jahr hatten westliche Geheimdienste vor einer Spionagekampagne der Gruppierung gegen Unternehmen gewarnt, die in Unterstützungsleistungen für die Ukraine eingebunden waren.Im aktuellen Fall habe die Gruppe »weltweit anfällige Internetrouter des Herstellers TP-Link infiltriert, um militärische Informationen, Regierungsinformationen oder Informationen über kritische Infrastruktur (KRITIS) zu erhalten« heißt es in einer gemeinsamen Mitteilung der Dienste vom Montagabend. Weltweit sind demnach Tausende Geräte betroffen, in Deutschland habe man »bislang 30 verwundbare Geräte festgestellt«. In einzelnen Fällen habe man bereits die erfolgreiche Kompromittierung durch APT 28 bestätigen können. Viele der sensibilisierten Gerätebetreiber hätten diese daraufhin außer Betrieb genommen und ausgetauscht. Einzelne der Geräte würden nun von Experten forensisch untersucht, »um die Vorgehensweise von APT 28 tiefergehend zu analysieren«. In aktuellen Mitteilungen der internationalen Behörden zu den Router-Attacken heißt es, die Angriffe gegen TP-Link-Router dauerten seit mindestens 2024 an. Die Verantwortlichen nutzten dafür unter anderem eine seit jenem Jahr bekannte und öffentlich dokumentierte Sicherheitslücke, die sich durch ein Firmware-Update beheben lässt. Erfahrungsgemäß installieren viele Anwender solche Updates nicht, weil sie entsprechende Warnungen nicht wahrnehmen oder ignorieren.Konkret handelt es sich bei der nun entdeckten Angriffsvariante um sogenanntes DNS-Hijacking. Dabei gelingt es den Angreifern, die Einstellungen der Router so zu verändern, dass die darüber vermittelten Webseiten-Aufrufe nicht zu den echten Angeboten führen. Stattdessen werden sie auf Seiten umgeleitet, die von den Akteuren kontrolliert und häufig mit Schadcodes präpariert werden. Den Behördenangaben zufolge ist es »Fancy Bear« gelungen, die TP-Link-Geräte zahlreicher Opfer in den USA und weltweit zu infiltrieren und so deren Passwörter, Authentifizierungs-Token sowie sensible Informationen und Inhalte wie E-Mails und Browser-Suchhistorien zu erbeuten. Die Täter haben die Opfer demzufolge nach Relevanz gefiltert und insbesondere nach Informationen mit militärischen und politischen Bezügen gesucht, sowie nach Informationen über kritische Infrastrukturen.Das britische National Cyber Security Centre berichtet zudem über weitere betroffene Router von MikroTik und hat eine Liste verdächtiger IP-Adressen sowie Hinweise für mögliche Gegenmaßnahmen veröffentlicht . »Unannehmbares Risiko«Das Unternehmen TP-Link wurde ursprünglich in China gegründet, später aber in einen amerikanischen und einen chinesischen Unternehmensteil aufgegliedert. Erst im Februar hatte der US-Bundesstaat Texas der Firma vorgeworfen, chinesischen Stellen Zugriff auf dessen Endgeräte bei amerikanischen Kunden zu ermöglichen – und eine Klage gegen den Hersteller eingereicht. Das Unternehmen hatte alle Vorwürfe bestritten und angekündigt, sich »energisch verteidigen« zu wollen.Erst vor vierzehn Tagen hatte die US-Telekommunikationsaufsicht FCC den Import im Ausland hergestellter Router für Verbraucher verboten. Die Geräte seien ein »unannehmbares Risiko für die nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Bürgern«, hieß es zur Begründung.