HackerangriffeSchwachstellenCyberkriminalität

APT28 nutzt Router-Schwachstellen für massive DNS-Hijacking-Kampagne

APT28 nutzt Router-Schwachstellen für massive DNS-Hijacking-Kampagne
Zusammenfassung

Die russische Hackergruppe APT28, auch unter dem Namen Forest Blizzard bekannt, hat eine massive globale Kampagne durchgeführt, bei der tausende unsichere SOHO-Router kompromittiert wurden, um DNS-Traffic zu manipulieren und Anmeldedaten zu stehlen. Seit mindestens Mai 2025 nutzte die staatlich unterstützte Gruppe MikroTik- und TP-Link-Router als Bestandteil einer koordinierten Cyber-Spionage-Operation, um Regierungsbehörden, Justizeinrichtungen und Cloud-Service-Provider weltweit ins Visier zu nehmen. Durch die Änderung der DNS-Einstellungen auf kompromittierten Routern leiteten die Angreifer den Datenverkehr zu eigenen Systemen um und bauten damit Man-in-the-Middle-Angriffe auf, um Passwörter, OAuth-Tokens und andere kritische Zugangsdaten zu erbeuten. Auf dem Höhepunkt der Kampagne im Dezember 2025 kommunizierten über 18.000 IP-Adressen aus mindestens 120 Ländern mit der APT28-Infrastruktur. Für Deutschland und europäische Länder ist diese Kampagne besonders besorgniserregend, da auch europäische Behörden und Organisationen betroffen waren. Die Infrastruktur wurde inzwischen durch eine internationale Zusammenarbeit von US-Behörden und internationalen Partnern zerschlagen, doch verdeutlicht der Fall die anhaltende Gefahr für private Nutzer, kleine Unternehmen und Behörden, die ihre Router-Geräte nicht regelmäßig aktualisieren oder sichern.

Die Cyberespionage-Kampagne “FrostArmada” offenbart eine neue Dimension der Bedrohung durch staatlich unterstützte Hackergruppen. APT28, auch unter dem Namen “Forest Blizzard” bekannt, nutzte Sicherheitslücken in weit verbreiteten Router-Modellen, um eine passive Überwachungsinfrastruktur aufzubauen, die es dem russischen Geheimdienst ermöglichte, gezielt Regierungsstellen und Unternehmen auszuspionieren.

Die technische Herangehensweise der Angreifer ist bemerkenswert subtil. Nach dem Zugriff auf die Router änderten sie die DNS-Konfiguration, sodass Anfragen zu gefälschten DNS-Servern unter ihrer Kontrolle weitergeleitet wurden. Wenn Nutzer dann versuchten, sich bei Diensten wie Microsoft Outlook anzumelden, wurden sie auf manipulierte Websites dirigiert. Dort konnten die Angreifer ihre Anmeldedaten abfangen — ein klassischer Attacker-in-the-Middle-Angriff (AitM).

Besonders brisant ist, dass APT28 für die Kompromittierung von TP-Link WR841N Routern wahrscheinlich die Schwachstelle CVE-2023-50224 ausnutzte, ein Authentication-Bypass mit CVSS-Score 6.5. Dies zeigt, dass die Gruppe gezielt nach bekannten, aber vielfach ungepatchten Sicherheitslücken sucht.

Die Ausdehnung der Kampagne unterstreicht die Effektivität dieser Methode. Im August 2025 eskalierte die Aktivität, und im Dezember war der Höhepunkt erreicht. Mehr als 200 Organisationen und 5.000 private Endgeräte waren betroffen. Besonders beunruhigend: Microsoft beobachtete AitM-Aktivitäten gegen mindestens drei afrikanische Regierungsorganisationen, doch auch europäische Länder waren im Fadenkreuz.

Das Modus Operandi verdeutlicht Microsofts Einschätzung: APT28 sucht bewusst nach “weniger überwachten oder verwalteten” Geräten, um in größere Unternehmensumgebungen einzudringen. Ein Router ist oft das schwächste Glied in der Sicherheitskette.

Die Infrastruktur wurde mittlerweile durch eine internationale Kooperationsoperation unter Beteiligung des US-amerikanischen Department of Justice und FBI zerschlagen. Dennoch zeigt die Kampagne ein Muster: Während APT28 hier nur Daten sammelten, könnten solche Positionen auch für Malware-Verbreitung oder Denial-of-Service-Attacken missbraucht werden. Das Risiko bleibt bestehen, solange ungesicherte Router in Betrieb sind.

Ähnliche Artikel