SchwachstellenHackerangriffeDatenschutz

Russische Spione kapern Router massenhaft für Microsoft-Spionage

Russische Spione kapern Router massenhaft für Microsoft-Spionage
Zusammenfassung

Russische Geheimdienste haben eine groß angelegte Spionagekampagne durchgeführt, bei der sie bekannte Sicherheitslücken in veralteten Internet-Routern ausnutzten, um Authentifizierungstoken von Microsoft-Office-Nutzern zu stehlen. Die der russischen Militäraufklärung GRU zugeordnete Hackergruppe „Forest Blizzard" infiltrierte auf ihrem Höhepunkt im Dezember 2025 über 18.000 Router, hauptsächlich ältere Geräte von Mikrotik und TP-Link, ohne dabei Malware einzuschleusen. Stattdessen manipulierten die Angreifer die DNS-Einstellungen der Router, um Benutzer auf kontrollierte Server umzuleiten und so OAuth-Authentifizierungstoken abzufangen. Mehr als 200 Organisationen und 5.000 Privatgeräte waren betroffen, wobei Regierungsbehörden, Außenministerien und Strafverfolgungsbehörden im Fokus standen. Für deutsche Nutzer und Unternehmen ist dies besonders besorgniserregend, da die Methode auch bei heimischen Netzwerken funktioniert und Sicherheitsexperten warnen, dass viele kleine und mittlere Betriebe sowie Privatpersonen noch veraltete Router ohne aktuelle Sicherheitsupdates nutzen. Das Verfahren ist besonders tückisch, da es keine verdächtige Malware-Aktivität hinterlässt und Nutzer auch nach erfolgreicher Zwei-Faktor-Authentifizierung kompromittiert werden können.

Die Sicherheitsforscher von Black Lotus Labs, einer Sparte des Internet-Infrastrukturanbieters Lumen, haben die Kampagne analysiert und ein beunruhigendes Muster offengelegt. Die russischen Angreifer nutzten bekannte Schwachstellen in veralteten Routern, um deren DNS-Einstellungen zu manipulieren – ohne dabei Malware zu installieren. Dies ist ein klassisches, aber extrem effektives Vorgehen.

Der Angriffsmechanismus funktioniert elegant: Die Hacker änderten die DNS-Einstellungen der kompromittierten Router so, dass diese auf von ihnen kontrollierte DNS-Server zeigen. Jeder Nutzer im betroffenen Netzwerk würde dann unwissentlich diese manipulierten Server nutzen. Wenn Benutzer sich in Microsoft Outlook im Web anmelden, werden ihre Authentifizierungstokens – speziell OAuth-Token – über diese kontrollierten DNS-Server geleitet. Die Angreifer können so direkt auf die Benutzerkonten zugreifen, ohne dass sie Passwörter phishen oder Zwei-Faktor-Authentifizierung umgehen müssen.

Ryan English, Security Engineer bei Black Lotus Labs, betont in Bezug auf die Arbeitsweise: “Alle schauen nach ausgefeilter Malware. Diese Leute verwendeten keine Malware. Sie arbeiteten auf altmodische, bewährte Weise – nichts Spektakuläres, aber es funktioniert.”

Besonders bemerkenswert ist die Tatsache, dass Forest Blizzard ihre Taktiken schnell anpasst. Nach einem NCSC-Bericht im August 2025 hatten die Hacker zunächst Malware zur Kontrolle von Routern eingesetzt. Unmittelbar nach der Veröffentlichung des Berichts schalteten sie jedoch um – auf diese massive, DNS-basierte Kampagne ohne Malware. Dies zeigt ein hochadaptives Vorgehen.

Die Hauptziele waren Regierungsbehörden, darunter Außenministerien und Strafverfolgungsbehörden sowie Email-Provider von Drittanbietern. Deutschland sollte dies ernst nehmen: Viele Unternehmen und Behörden nutzen ältere SOHO-Router (Small Office/Home Office), die nicht regelmäßig aktualisiert werden. Eine Überprüfung der Router-Firmware und deren Austausch sollte zur Priorität werden.

Microsoft hat in einem Blog-Post ausdrücklich vor dieser Kampagne gewarnt und die technischen Details der Angriffe veröffentlicht. Für Nutzer bedeutet dies: Regelmäßige Sicherheitsupdates für alle Netzwerkgeräte sind nicht optional – sie sind essentiell. Die Kampagne zeigt, dass auch “altmodische” Angriffsmethoden gegen moderne Systeme hocheffektiv sein können.

Ähnliche Artikel