FBI und BKA übernehmen russisches Spionagenetz aus Routern
Ein Botnetz aus Routern des Herstellers Ubiquiti soll von russischen Geheimdiensten betrieben worden sein. Es wurde nun abgeschaltet.
Ein russisches Botnetz aus Routern wurde von FBI und BKA übernommen und abgeschaltet.
(Bild: dpa, Ole Spata/Archiv/Symbol)
Deutsche Sicherheitsbehörden haben in einer US-geleiteten Operation dazu beigetragen, ein russisches Computer-Spionagenetz auszuschalten. Die Gruppe APT 28 hatte im Auftrag des russischen Militärgeheimdiensts (GRU) Schadsoftware auf Hunderten von kleinen Routern in Büros und privaten Haushalten installiert. Das so geschaffene Netz wurde als globale Cyberspionage-Plattform genutzt, wie aus einer Mitteilung der US-Bundespolizeibehörde FBI und aus Erläuterungen eines Sprechers des Bundesinnenministeriums vom Samstag hervorgeht.
"Wir wissen, welche Instrumente Putins Verbrecher-Regime einsetzt", sagte Bundesinnenministerin Nancy Faeser (SPD). "Unser Handeln zeigt, wie ernst die Bedrohungslage durch russische Cyberangriffe ist – aber auch, wie wir uns gegen diese Bedrohungen wappnen." Betroffene Geräte könnten nun nicht weiter für Cyberspionage-Operationen missbraucht werden. Die Hackergruppe APT28 ist seit mindestens 2004 weltweit aktiv. Das Innenministerium zählt sie zu den aktivsten und gefährlichsten Cyberakteuren weltweit. Der Bundesverfassungsschutz rechnet sie dem russischen Militärnachrichtendienst GRU zu.
Ziele in EU- und NATO-Staaten im Visier
Der deutsche Ministeriumssprecher erklärte unter Berufung auf das Bundesamt für Verfassungsschutz, dass die Hackergruppe die internationale Infrastruktur in den vergangenen zwei Jahren auch für Angriffe auf deutsche Ziele verwendet habe. "Der Fokus der Angriffe lag dabei auf Informationen über die politisch-strategische Ausrichtung Deutschlands im Zusammenhang mit Russland und Unterstützungslieferungen militärischer Güter für die Ukraine." Überdies wurden demnach auch Ziele in anderen EU- und NATO-Staaten angegriffen.
Laut FBI waren Ziele der Spionageaktivitäten Regierungen, Militär, Sicherheitsbehörden und Konzerne in den USA und weiteren Staaten. "Russische Geheimdienste haben sich in diesem Fall an kriminelle Banden gewandt, damit diese ihnen helfen", heißt es in der US-Mitteilung weiter. Die Eigentümer der betroffenen Geräte seien "sehr wahrscheinlich nicht das eigentliche Ziel der Angriffe" gewesen, wie der Ministeriumssprecher weiter erläuterte. Die Geräte hätten die Hacker zur Verschleierung ihrer eigenen Angriffsstruktur verwendet.
Zuerst Router mit Standardpasswörtern
Dabei kam der US-Behörde zufolge die Malware "MooBot" zum Einsatz. Über sie wurden Router des Herstellers Ubiquiti mit dem Betriebssystem Edge OS angegriffen, welche noch mit Standardpasswörtern arbeiteten. Das soll ursprünglich durch gewöhnliche Cyberkriminelle erfolgt sein, die nicht in Verbindung mit dem GRU gestanden hätten. Dieser Geheimdienst übernahm dann die Router über Schnittstellen zur Fernwartung und installierte darauf eigene Software, um sie zu einem Spionagebotnetz zu machen.
Aus diesem wurden die Router durch das FBI dann unter anderem durch eine Änderung der Regeln für die Firewall der Geräte wieder entfernt. Während die Behörde die Kontrolle über die Geräte hatte, sammelte sie auch Informationen über das Botnetz, was die normale Funktion der Router nicht beeinträchtigt haben soll. Die gesamte Operation sei richterlich genehmigt worden, heißt es.
Besitzer der Router sollen selbst tätig werden
Laut der Beschreibung der Aktion durch das FBI sind die Änderungen an den Geräten reversibel, betroffene Nutzer sollten sie auf Werkseinstellungen zurücksetzen, die Firmware aktualisieren, die Standardpasswörter und Regeln für die Firewall zur Fernwartung ändern und erst dann wieder in Betrieb nehmen. Ob das FBI auch mit den Besitzern der kompromittierten Geräte Kontakt aufgenommen hat, geht aus der Mitteilung der Behörde nicht hervor.
(nie)
