Warnung aus UK: Russische Cyberkriminelle kapern Router zum Passwort-Klau

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Cyberkriminelle mit Verbindungen zur russischen Regierung kapern gängige Internetrouter, um Passwörter für E-Mail-Konten und andere Online-Dienste zu stehlen. Davor warnt Großbritanniens Nationales Zentrum für Cybersicherheit (NCSC) in einer am Dienstag veröffentlichten Studie.

Die britischen Cybersicherheitsexperten gaben bekannt, dass mutmaßliche russische Angreifer sich Zugang zu Routern von Herstellern wie MikroTik und TP-Link verschaffen, um den ausgehenden Internetverkehr über von ihnen kontrollierte Server umzuleiten. Die Betroffenen seien durch den Diebstahl von Zugangsdaten, Datenmanipulation und umfassendere Sicherheitslücken gefährdet.

Verantwortlich hält das NCSC die als Advanced Persistent Threat 28 (APT28) bezeichnete Gruppe, auch bekannt als Forest Blizzard, Fancy Bear, STRONTIUM, die Sednit-Gang und Sofacy. „Wir gehen davon aus, dass es sich bei APT28 mit hoher Wahrscheinlichkeit um die 85. Hauptabteilung für Spezialdienste (GTsSS) des russischen Generalstabsnachrichtendienstes (GRU) (…) handelt“, heißt es in der Studie. Die Gruppe soll für mehrere Cyberattacken auch in Deutschland verantwortlich sein, darunter im Jahr 2024 auf die Deutsche Flugsicherung und im vergangenen Jahr auf den Deutschen Bundestag. Das NCSC schreibt in seiner Studie der Gruppe zudem Cyberangriffe auf den Deutschen Bundestag im Jahr 2015 zu, darunter Datendiebstahl und die Störung von E-Mail-Konten von Bundestagsabgeordneten und des Vizekanzlers.

Tausende potenzielle Opfer

NCSC-Einsatzleiter Paul Chichester erklärte gegenüber der Nachrichtenagentur Bloomberg, die nun öffentlich gemachten Attacken auf Internetrouter zeigten, dass Schwachstellen in gängigen Routern von versierten Angreifern ausgenutzt werden können.

Bloomberg berichtete zudem über ebenfalls am Dienstag von Black Lotus Labs des IT-Sicherheitsanbieters Lumen Technologies veröffentlichte Forschungsergebnisse zu den Router-Angriffen durch APT28. Danach wurden Tausende potenzielle Opfer aus mindestens 120 Ländern identifiziert, die mit der Infrastruktur der Cyberkriminellen kommunizierten. „Diese Angriffe richteten sich vorwiegend gegen Regierungsbehörden – darunter Außenministerien, Strafverfolgungsbehörden und Drittanbieter von E-Mail-Diensten“, heißt es in dem Bericht, der Bloomberg vorliegt.

Die Anfälligkeit von Internetroutern für Cyberangriffe ist zuletzt verstärkt in den Fokus gerückt. Ende März verbot die US-amerikanische Regulierungsbehörde Federal Communications Commission (FCC) in einem vielbeachteten Schritt den Verkauf neuer Router für den Verbrauchermarkt, sofern sie nicht in den USA hergestellt sind. Die Behörde begründete das umfassende Verbot mit Fragen der nationalen Sicherheit.

(akn)