HackerangriffeSchwachstellenDatenschutz

Russische Spionage-Operation zerschlagen: APT28 kaperte Router weltweit

Russische Spionage-Operation zerschlagen: APT28 kaperte Router weltweit
Zusammenfassung

Die US-Behörden haben eine umfangreiche russische Spionageoperation zerschlagen, bei der die Hackergruppe APT28 – auch als Forest Blizzard und Fancy Bear bekannt und dem russischen Militärgeheimdienst GRU zugeordnet – tausende SOHO-Router kompromittiert hatte. Die Angreifer nutzten bekannte Schwachstellen in TP-Link und MikroTik-Routern aus, um deren DNS- und DHCP-Einstellungen zu manipulieren und sogenannte Man-in-the-Middle-Attacken durchzuführen. Dadurch konnten sie den Datenverkehr ihrer Opfer abfangen und sensible Informationen wie Passwörter, Authentifizierungstoken und Browserdaten stehlen. Microsoft zufolge waren über 200 Organisationen und 5.000 Privatnutzer betroffen, während der Lumen-Konzern bei Spitzenaktivitäten im Dezember 2025 über 18.000 IPs aus mindestens 120 Ländern identifizierte, die mit der Infrastruktur der Hacker kommunizierten. Besonders Regierungsagenturen, Außenministerien und Strafverfolgungsbehörden waren im Visier. Für deutsche Nutzer und Unternehmen ist diese Operation eine ernsthafte Warnung: Wer TP-Link oder MikroTik-Router einsetzt, sollte diese dringend aktualisieren und auf verdächtige Netzwerkkonfigurationen überprüfen. Auch deutsche Behörden könnten betroffen sein und sollten ihre kritischen Systeme umgehend schützen.

Das beispiellose Ausmaß dieser Spionage-Kampagne wird durch die Zahlen deutlich: Zum Höhepunkt der Aktivität im Dezember 2025 registrierte Lumen Technologies über 18.000 eindeutige IP-Adressen aus mindestens 120 Ländern, die mit der Infrastruktur von Forest Blizzard kommunizierten. Die Operation trug bei Lumen die Bezeichnung FrostArmada.

Die technische Vorgehensweise offenbart eine raffinierte Methode der Datenabschöpfung. Nach dem Zugriff auf die SOHO-Router änderten die Angreifer die Netzwerkkonfigurationen, um DNS-Anfragen zu manipulieren. Dazu nutzten sie das Utility dnsmasq, ein legitimes Tool zur DNS-Auflösung und Verwaltung von DHCP-Servern. Microsoft dokumentierte, dass die meisten DNS-Anfragen transparent durch die Angreifer-Infrastruktur weitergeleitet wurden, wodurch Benutzer keinen Verdacht schöpften. In gezielteren Fällen spooften die Hacker DNS-Antworten für spezifische Domains, um Geräte zu kompromittierten Servern umzuleiten.

Die sogenannte Adversary-in-the-Middle-Attacke (AitM) funktionierte allerdings nur, wenn Benutzer Warnungen über ungültige TLS-Zertifikate ignorierten – ein kritischer Schwachpunkt, der zeigt, wie abhängig Cyber-Sicherheit auch von menschlichem Verhalten ist.

Besonders bemerkenswert ist die zeitliche Abfolge: Die Kampagne begann im August 2025, kurz nachdem Großbritannien Sanktionen gegen russische Hacker wegen der Operation “Authentic Antics” verhängte, die auf Microsoft-Cloud-Konten abzielte. Dies deutet auf eine Kontinuität russischer Cyber-Espionage-Operationen hin, die sich neuer Vektoren bedient, wenn etablierte Wege blockiert werden.

Das FBI kündigte bereits 2024 die Zerschlagung eines ähnlichen SOHO-Router-Botnetzes desselben Akteurs an. Die aktuelle Operation zeigt, dass diese Bedrohung nicht vollständig beseitigt wurde, sondern sich weiterentwickelt.

Die britische National Cyber Security Centre (NCSC) veröffentlichte Indikatoren für Kompromittierungen (IoCs) sowie Verteidigungsempfehlungen. Unternehmen und Behörden sollten ihre Router-Firmware aktualisieren, Standard-Zugangsdaten ändern und DNS-Einstellungen überwachen. Für deutsche Organisationen bleibt die Warnung aktuell: Besonderes Augenmerk liegt auf Ministerien, Behörden und Kritischer Infrastruktur.

Ähnliche Artikel