Im Mittelpunkt der Kampagne steht die Kompromittierung von Routern und ähnlichen Netzwerkgeräten in kleinen Büros und Heimnetzwerken. Die technische Mitteilung des NCSC nennt mehrere betroffene TP-Link-Modelle, andere Geräte werden nicht aufgeführt. Diese Modelle sind im Handel für Endverbraucher und kleine Unternehmen weit verbreitet, kommen jedoch in der Regel nicht als Standardausrüstung großer Internetanbieter zum Einsatz.

Den Zugang verschaffen sich die Angreifer dem NCSC zufolge unter anderem über Geräte, die das Simple Network Management Protocol (SNMP) mit voreingestellten oder schwachen „Community Strings“ nutzen – Zeichenfolgen, die wie Passwörter wirken. Viele Geräte setzen noch auf SNMP in der Version 2, die keine Verschlüsselung bietet, sodass Angreifer Zugangsdaten abfangen und aus der Ferne schädliche Befehle absetzen können.

Ist ein Router übernommen, sammeln die Angreifer Informationen über verbundene Geräte und kartieren Netzwerke, um weitere Ziele zu identifizieren. Anschließend verändern sie die DNS-Einstellungen, die Webadressen in IP-Adressen übersetzen, und ermöglichen so Angriffe, die Fachleute als „Adversary-in-the-Middle“ bezeichnen. Damit lassen sich sensible Daten wie Zugangsdaten und Authentifizierungs-Token abfangen oder Nutzer auf gefälschte Webseiten umleiten. Die Mitteilung verweist zudem darauf, dass die Gruppe bekannte Software-Schwachstellen in Netzwerkgeräten nutzt, um ihren Zugang zu halten und auszuweiten.

APT28 ist bereits mehrfach in den Blick westlicher Behörden geraten. Im vergangenen Jahr warf eine gemeinsame Sicherheitsmitteilung von mehr als 20 Nachrichtendiensten der Gruppe versuchte Einbrüche bei mehreren westlichen Logistikdienstleistern und Technologieunternehmen vor, die die Ukraine unterstützen. Das Vereinigte Königreich hatte die Gruppe zuvor für Cyberangriffe auf den Deutschen Bundestag im Jahr 2015 verantwortlich gemacht sowie für einen versuchten Angriff auf die Organisation für das Verbot chemischer Waffen im Jahr 2018, der mit Bemühungen in Verbindung gebracht wurde, die Analyse eines bei einem Anschlagsversuch auf britischem Boden eingesetzten Nervengifts zu stören.

Paul Chichester, Operationsdirektor des NCSC, erklärte, der Fall zeige, wie staatlich unterstützte Akteure ausgenutzte Schwachstellen in weit verbreiteten Geräten für sich nutzen könnten. Man rufe Organisationen und Netzwerkverteidiger nachdrücklich dazu auf, sich mit den beschriebenen Techniken vertraut zu machen und die Empfehlungen zur Schadensbegrenzung umzusetzen. Das NCSC werde russische Cyberaktivitäten weiterhin offenlegen und praktische Hinweise zum Schutz britischer Netze geben.