Internationale Sicherheitsbehörden warnen vor massiver Cyberattacke auf Router
In einer beispiellosen gemeinsamen Aktion haben das FBI, der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) eine ernste Warnung an Besitzer von TP-Link-Routern und WLAN-Verstärkern herausgegeben. Seit Mitte März erhalten deutsche IT-Firmen, Gastronomiebetriebe und Privatpersonen ungewöhnliche Post vom Verfassungsschutz, die eine brisante Mitteilung enthält: Russische Staatshacker haben weltweit Tausende dieser Alltagsgeräte infiltriert.
Fancy Bear hinter den Angriffen
Die Sicherheitsbehörden machen die berüchtigte Hackerformation Fancy Bear, auch bekannt als APT 28, für die Attacken verantwortlich. Diese Gruppe wird dem russischen Militärgeheimdienst GRU zugeschrieben und war bereits für spektakuläre Cyberangriffe wie den Bundestags-Hack 2015 und die Einflussnahme auf den US-Wahlkampf 2016 verantwortlich. In der aktuellen Kampagne nutzen die Hacker eine seit 2024 bekannte Sicherheitslücke in TP-Link-Geräten, die durch Firmware-Updates behoben werden kann, jedoch oft von Anwendern ignoriert wird.
Konkret handelt es sich um DNS-Hijacking, bei dem die Router-Einstellungen so manipuliert werden, dass Webseiten-Aufrufe auf von den Angreifern kontrollierte Seiten umgeleitet werden. Dies ermöglicht den Diebstahl von Passwörtern, Authentifizierungs-Token, E-Mails und Browser-Suchhistorien. Die Täter filtern ihre Opfer nach Relevanz und suchen insbesondere nach militärischen, politischen und kritischen Infrastruktur-Informationen.
Deutschland und weltweit betroffen
Laut den Behörden sind weltweit Tausende Geräte kompromittiert, in Deutschland wurden bislang 30 verwundbare Router identifiziert. In einigen Fällen konnte die erfolgreiche Infiltration durch APT 28 bereits bestätigt werden. Betroffene Gerätebetreiber haben ihre Router daraufhin außer Betrieb genommen und ausgetauscht, während Experten forensische Untersuchungen zur Analyse der Hacker-Methoden durchführen.
Die Angriffe dauern seit mindestens 2024 an und haben auch Router anderer Hersteller wie MikroTik erfasst. Das britische National Cyber Security Centre hat eine Liste verdächtiger IP-Adressen und Gegenmaßnahmen veröffentlicht. Die Tonalität der Warnungen hat sich verschärft, wobei das BfV betont, aktiv gegen diesen Cyberakteur vorzugehen, um seinen Handlungsspielraum zu begrenzen.
Hintergrund und Reaktionen
TP-Link, ursprünglich ein chinesisches Unternehmen, das später in amerikanische und chinesische Teile aufgegliedert wurde, steht bereits unter Druck. Im Februar warf der US-Bundesstaat Texas der Firma vor, chinesischen Stellen Zugriff auf Endgeräte amerikanischer Kunden zu ermöglichen, was das Unternehmen bestritt. Erst vor kurzem verbot die US-Telekommunikationsaufsicht FCC den Import im Ausland hergestellter Router, da sie ein unannehmbares Risiko für die nationale Sicherheit darstellen.
Die gemeinsame Sicherheitswarnung unterstreicht die wachsende Bedrohung durch staatliche Cyberoperationen und die Notwendigkeit, Router regelmäßig zu aktualisieren. Betroffene werden aufgefordert, ihre Geräte zu überprüfen und umgehend Sicherheitsupdates zu installieren, um weitere Schäden zu verhindern.
