Die Attacken konzentrieren sich auf kleine und mittlere Netzwerk-Infrastrukturen, die aufgrund von Sicherheitsmängeln oder veraltetem Softwarestand anfällig sind. Die Hacker nutzen dabei gezielt das Simple Network Management Protocol (SNMP) aus – ein Verwaltungsprotokoll, das bei vielen Routern mit schwachen Standard-Zugangsdaten konfiguriert ist. Besonders problematisch: Viele dieser Geräte nutzen noch SNMP Version 2, die keine Verschlüsselung bietet und es Angreifern ermöglicht, Authentifizierungsdaten abzufangen und ferngesteuert Befehle einzuschleusen.
Einmal im Netzwerk eingedrungen, verschaffen sich die Angreifer einen umfassenden Überblick über verbundene Geräte und kartographieren das Netzwerk, um weitere Ziele zu identifizieren. Der nächste Schritt ist entscheidend: Sie manipulieren DNS-Einstellungen (Domain Name System), die normalerweise Internetadressen in IP-Adressen übersetzen. Dies ermöglicht sogenannte “Man-in-the-Middle”-Attacken, bei denen Hacker alle Datenübertragungen abfangen können – einschließlich Anmeldedaten, Authentifizierungstoken und persönlicher Informationen. Nutzer können zudem auf gefälschte Websites umgeleitet werden, ohne es zu bemerken.
Die Kampagne folgt einem zweistufigen Muster: Zunächst scannen die Angreifer massiv nach anfälligen Geräten. Dann konzentrieren sie sich auf Ziele von strategischem Interesse für russische Geheimdienste. Dieses Vorgehen deutet auf eine langfristige, systematische Operation hin. Die britischen Geheimdienste ordnen APT28 bereits mehrere hochkarätiges Operationen zu: Cyberangriffe gegen das deutsche Bundestagsnetzwerk 2015 und eine versuchte Infiltration der OPCW (Organisation zum Verbot von Chemiewaffen) 2018 im Zusammenhang mit dem Nowitschok-Anschlag auf britischem Boden.
Paul Chichester, Operationsdirektor des NCSC, warnt vor dem strategischen Risiko: “Diese Aktivitäten zeigen, wie Schwachstellen in weit verbreiteten Geräten von staatlichen Akteuren ausgenutzt werden können.” Das NCSC empfiehlt Organisationen dringend, Management-Interfaces zu sichern, SNMP zu deaktivieren oder zu restriktiveren Versionen zu upgarden und regelmäßige Sicherheitsupdates einzuspielen. Für deutsche Nutzer und Unternehmen sind diese Warnungen unmittelbar relevant – viele TP-Link-Router mit den beschriebenen Schwachstellen sind hier im Einsatz. Die fortlaufende Warnung der westlichen Geheimdienste zeigt: Russische Cyberoperationen gegen Ukraine-Unterstützer und deren kritische Infrastruktur bleiben eine anhaltende Bedrohung.