HackerangriffeSchwachstellenDatenschutz

Internationale Operation zerschlägt FrostArmada: APT28 nutzte Router-Hacking für Microsoft-365-Diebstahl

Internationale Operation zerschlägt FrostArmada: APT28 nutzte Router-Hacking für Microsoft-365-Diebstahl
Zusammenfassung

Die russische Hackergruppe APT28, die mit dem russischen Geheimdienst GRU verbunden ist, hat in der FrostArmada-Kampagne Router von Privatnutzern und Büros manipuliert, um Anmeldedaten für Microsoft 365 zu stehlen. Durch die Kompromittierung von häufig eingesetzten Routern wie MikroTik und TP-Link änderten die Angreifer die DNS-Einstellungen ab und leiteten Datenverkehr auf eigene Server um. Dies ermöglichte ihnen, Authentifizierungsdaten abzufangen und Microsoft-Konten sowie OAuth-Token zu entwenden. Auf ihrem Höhepunkt im Dezember 2025 infizierte FrostArmada etwa 18.000 Geräte in 120 Ländern, hauptsächlich Behörden, IT-Dienstleister und Organisationen mit eigenen Servern. Eine internationale Sicherheitsoperation unter Beteiligung des FBI, Microsoft und polnischer Behörden hat die Angriffsinfrastruktur nun stillgelegt. Für deutsche Nutzer und Unternehmen ist dies relevant, da auch Organisationen hierzulande betroffen sein könnten. Besonders gefährdet sind Institutionen mit internetgestützten Routern, die nicht regelmäßig aktualisiert werden. Sicherheitsexperten empfehlen daher dringend, alle Netzwerkgeräte zu patchen, End-of-Life-Produkte auszutauschen und Sicherheitsmaßnahmen wie Zertifikatsprüfung zu implementieren.

Die russische Hackergruppe APT28, auch bekannt als Fancy Bear oder Forest Blizzard, ist eng mit Russlands Geheimdienst GRU verbunden und gilt als einer der gefährlichsten Cyberakteure weltweit. Die nun aufgedeckte FrostArmada-Kampagne offenbart eine besonders tückische Angriffsmethode: Statt einzelne Computer direkt anzugreifen, manipulierten die Hacker die DNS-Einstellungen von Routern in Büros und Heimen. Dadurch umgingen sie zentrale Sicherheitsmechanismen und konnten alle Netzwerk-Geräte hinter dem Router kontrollieren.

Die technische Raffinesse liegt in der Ausnutzung von DNS-Hijacking. Nachdem APT28 Zugang zu einem Router erhielt, änderte die Gruppe die Domain-Name-System-Einstellungen so ab, dass diese auf eigene Server verwiesen. Diese Umleitung wurde dann automatisch über DHCP an alle internen Geräte weitergegeben. Als Nutzer sich in Microsoft Outlook oder anderen Diensten anmelden wollten, wurden sie auf eine gefälschte Seite weitergeleitet. Ein ungültiges Zertifikat warnte die Nutzer, doch wer diese Warnung ignorierte, gab den Angreifern direkten Zugriff auf die Authentifizierungsdaten und OAuth-Token.

Die Kampagne lief offenbar in zwei separaten Teams ab: Ein Team war für die initiale Kompromittierung der Router zuständig, das andere für die tatsächliche Authentifizierungsabfrage und Datensammlung. Dies deutet auf eine hochprofessionelle, arbeitsteilige Struktur hin. Besonders besorgniserregend: Neben Microsoft 365 wurden auch Behörden und nationale Identitätsplattformen in Europa sowie Regierungseinrichtungen in Afrika, Zentralamerika und Südostasien angegriffen.

Experten empfehlen Unternehmen nun mehrere Schutzmaßnahmen: Zertifikat-Pinning für Unternehmensgeräte, regelmäßiges Patching veralteter Hardware, und eine Minimierung der nach außen hin erreichbaren Netzwerkkomponenten. Besonders wichtig ist die Aktualisierung von MikroTik- und TP-Link-Routern sowie älteren Fortinet-Firewalls, die die Hackergruppe bevorzugt ausnutzte. Auch Nethesis-Firewall-Produkte waren betroffen. Die Sicherheitsbehörden haben umfangreiche Indikatoren zur Detektion veröffentlicht, die Administratoren zur Überprüfung ihrer Netzwerke nutzen können.

Ähnliche Artikel