Russischer Geheimdienst kaperte zehntausende Router normaler Nutzer
Internationale Sicherheitsbehörden warnen vor einer groß angelegten Operation russischer Hacker, bei der weltweit tausende Router von Privatpersonen und kleinen Unternehmen kompromittiert wurden.
Im aktuellen Fall nutzten die Angreifer gezielt bekannte Sicherheitslücken in Routern der Hersteller Mikrotik und TP-Link, bei denen die Nutzer die Aktualisierung der Firmware nicht durchführten. Dadurch konnten sich die Hacker unbemerkt Zugriff auf die Geräte verschaffen. Laut britischem National Cyber Security Centre (NCSC) und dem Sicherheitsunternehmen Black Lotus Labs lief die Kampagne über mehrere Jahre hinweg.
Die manipulierten Router wurden so konfiguriert, dass der Datenverkehr der Nutzer über Server der Angreifer geleitet wurde. Auf diese Weise konnten Opfer auf gefälschte Webseiten umgeleitet werden, ohne Verdacht zu schöpfen. Dort eingegebene Zugangsdaten und Zugriffstoken wurden abgefangen. Mit diesen Informationen konnten sich die Täter anschließend Zugang zu Online-Konten verschaffen, teils auch dann, wenn zusätzliche Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung aktiviert waren.
Auch Microsoft bestätigte die Kampagne und sprach von mehr als 200 betroffenen Organisationen sowie tausenden privaten Geräten. In den USA griffen die Behörden inzwischen ein: Das Justizministerium teilte mit, dass kompromittierte Router im eigenen Land mit gerichtlicher Genehmigung bereinigt wurden. Dabei habe das FBI spezielle Befehle eingesetzt, um Beweise zu sichern, Einstellungen zurückzusetzen und erneute Zugriffe der Hacker zu verhindern. Zudem wurde ein Teil der Infrastruktur der Angreifer abgeschaltet.
In Deutschland sind circa 30 verwundbare Geräte festgestellt worden, teilte die Spionageabwehr des Verfassungsschutzes mit. Hier wurde direkt Kontakt mit den Betroffenen aufgenommen, die Hinweise zum Umgang mit der Situation erhielten. In mehreren Fällen wurden auch die Router ausgetauscht.
Siehe auch:
Fancy Bear sucht nach Login-Daten
Ziel der Angriffe ist es, den Internetverkehr der Opfer umzuleiten, um Passwörter und Zugriffsdaten abzugreifen. Nach Angaben von Sicherheitsexperten und Behörden steckt hinter der Aktion die seit Jahren aktive Hackergruppe "Fancy Bear", auch bekannt als APT28. Die Gruppe wird dem russischen Militärgeheimdienst GRU zugerechnet und war bereits für mehrere aufsehenerregende Angriffe verantwortlich, darunter die Attacke auf die US-Demokraten im Jahr 2016, ein Angriff auf den Deutschen Bundestag im Jahr 2017 und auf den Satellitenanbieter Viasat im Jahr 2022.Im aktuellen Fall nutzten die Angreifer gezielt bekannte Sicherheitslücken in Routern der Hersteller Mikrotik und TP-Link, bei denen die Nutzer die Aktualisierung der Firmware nicht durchführten. Dadurch konnten sich die Hacker unbemerkt Zugriff auf die Geräte verschaffen. Laut britischem National Cyber Security Centre (NCSC) und dem Sicherheitsunternehmen Black Lotus Labs lief die Kampagne über mehrere Jahre hinweg.
Die manipulierten Router wurden so konfiguriert, dass der Datenverkehr der Nutzer über Server der Angreifer geleitet wurde. Auf diese Weise konnten Opfer auf gefälschte Webseiten umgeleitet werden, ohne Verdacht zu schöpfen. Dort eingegebene Zugangsdaten und Zugriffstoken wurden abgefangen. Mit diesen Informationen konnten sich die Täter anschließend Zugang zu Online-Konten verschaffen, teils auch dann, wenn zusätzliche Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung aktiviert waren.
Verfassungsschutz wird aktiv
Die Angriffe erfolgten laut NCSC offenbar zunächst breit gestreut, um möglichst viele potenzielle Ziele zu erfassen. Erst im weiteren Verlauf konzentrierten sich die Hacker auf besonders interessante Opfer. Insgesamt sollen mindestens 18.000 Systeme in rund 120 Ländern betroffen sein, darunter auch Behörden, Strafverfolgungsorgane und E-Mail-Anbieter in Regionen wie Nordafrika, Mittelamerika und Südostasien.Auch Microsoft bestätigte die Kampagne und sprach von mehr als 200 betroffenen Organisationen sowie tausenden privaten Geräten. In den USA griffen die Behörden inzwischen ein: Das Justizministerium teilte mit, dass kompromittierte Router im eigenen Land mit gerichtlicher Genehmigung bereinigt wurden. Dabei habe das FBI spezielle Befehle eingesetzt, um Beweise zu sichern, Einstellungen zurückzusetzen und erneute Zugriffe der Hacker zu verhindern. Zudem wurde ein Teil der Infrastruktur der Angreifer abgeschaltet.
In Deutschland sind circa 30 verwundbare Geräte festgestellt worden, teilte die Spionageabwehr des Verfassungsschutzes mit. Hier wurde direkt Kontakt mit den Betroffenen aufgenommen, die Hinweise zum Umgang mit der Situation erhielten. In mehreren Fällen wurden auch die Router ausgetauscht.
Zusammenfassung
- Russische Hackergruppe APT28 kaperte weltweit zehntausende Router
- Sicherheitslücken in Routern von Mikrotik und TP-Link ausgenutzt
- Datenverkehr wurde über Server der Angreifer umgeleitet und abgefangen
- Zugangsdaten und Tokens wurden auf gefälschten Webseiten abgegriffen
- Mindestens 18.000 Systeme in rund 120 Ländern weltweit betroffen
- Das FBI bereinigte kompromittierte Router mit gerichtlicher Genehmigung
- In Deutschland wurden circa 30 verwundbare Geräte festgestellt
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen