Der deutsche Verfassungsschutz warnt vor Cyberangriffen der russischen Sofacy Group (auch „APT28“ oder „Fancy Bear“), die Schwachstellen in TP-Link-Routern ausnutzen, um Militär, Regierung und kritische Infrastruktur auszuspionieren.

Das Bundesamt für Verfassungsschutz (BfV) gab die Warnung gemeinsam mit Partnern wie dem Bundesnachrichtendienst (BND) und dem US-amerikanischen FBI heraus. Nach Angaben des BfV hat die Gruppe weltweit mehrere tausend Router angegriffen, darunter auch rund 30 Geräte mit Schwachstellen in Deutschland.

In einigen Fällen wurde eine tatsächliche Kompromittierung bestätigt, woraufhin Betreiber betroffene Router austauschten. Die Sofacy Group, auch bekannt als „Fancy Bear“, wird von westlichen Regierungen dem russischen Militärgeheimdienst GRU zugeschrieben.

Die Gruppe ist in Deutschland nicht unbekannt. Laut BfV führte sie bereits Angriffe auf den Bundestag, die SPD sowie auf Einrichtungen der Flugsicherung durch.

Auch das britische National Cyber Security Centre (NCSC) warnt, dass Fancy Bear gezielt Schwachstellen in Routern für zu Hause und kleine Büros (SOHO) ausnutzt und deren DNS-Server-Einstellungen manipuliert.

Werden die DNS-Einstellungen eines Routers verändert, übernehmen verbundene Geräte wie Laptops oder Smartphones diese automatisch und landen unbemerkt bei vom Angreifer kontrollierten Zielen.

Laut NCSC ermöglichen die so manipulierten DNS-Auflösungen „Adversary-in-the-Middle“-Angriffe, bei denen Passwörter, OAuth-Tokens und andere Zugangsdaten für Web- und E-Mail-Dienste abgegriffen werden.

In der Praxis läuft das häufig über Nutzer, die Dienste wie Outlook aufrufen wollen, aber unbemerkt auf täuschend echte Phishing-Seiten umgeleitet werden. Dort geben sie ihre echten Zugangsdaten ein, die direkt bei den Angreifern landen.

Der unabhängige Sicherheitsforscher Lukasz Olejnik beschreibt die Methode als „elegant und simpel. Sie kompromittieren den Router, ändern die DNS-Einstellungen und jedes verbundene Gerät löst Webadressen über angreiferkontrollierte Server auf. Man tippt outlook[.]com ein, landet auf einer Lookalike-Seite, gibt sein Passwort ein und schon ist es weg“, so Olejnik sinngemäß.

Besonders häufig im Visier sind Router des Herstellers TP-Link. Das NCSC führt mindestens 23 unterschiedliche TP-Link-Modelle als Ziel der Kampagne auf und weist darauf hin, dass es sich dabei vermutlich nur um einen Ausschnitt handelt.

TP-Link-Router werden weltweit massenhaft eingesetzt und sind somit ein attraktives Ziel für gezielte Angriffe durch staatliche Hacker. Mehrere US-Behörden unterstützen zudem einen Vorstoß, künftige Verkäufe bestimmter TP-Link-Geräte zu untersagen, unter anderem wegen des befürchteten Einflusses aus Peking.

Bereits im vergangenen Jahr hatte die US-Cybersicherheitsbehörde darauf hingewiesen, dass Schwachstellen in TP-Link-Routern aktiv ausgenutzt werden.

Paul Chichester, Director of Operations beim NCSC, bringt das Risiko auf den Punkt: Diese Aktivitäten zeigten, wie ausgenutzte Schwachstellen in weit verbreiteten Netzwerkgeräten von „hoch entwickelten, feindlichen Akteuren“ missbraucht werden können.

Microsoft Threat Intelligence hat nach eigenen Angaben bislang über 200 betroffene Organisationen und rund 5.000 kompromittierte Endkunden-Geräte identifiziert, die Teil der bösartigen DNS-Infrastruktur von Fancy Bear waren.

Das NCSC geht davon aus, dass es sich bei den DNS-Hijacking-Operationen um opportunistische Angriffe handelt: Die Gruppe zielt zunächst auf eine große, unspezifische Opfermenge und filtert dann schrittweise diejenigen heraus, die aus nachrichtendienstlicher Sicht besonders interessant sind, etwa Behörden, Militär oder kritische Unternehmen.

Ziel ist es, Router „upstream“ von großen Zielen zu kompromittieren, also bei vorgelagerten Dienstleistern und Partnern, um so Zugang zu Unternehmensnetzwerken zu erhalten. Microsoft hat die jüngsten Angriffe ebenfalls analysiert.

Betroffen sind nach bisherigem Stand mehr als 200 Organisationen und rund 5.000 Consumer-Geräte

Microsoft Threat Intelligence

Was Behörden und Nutzer jetzt tun sollten: Sicherheitsbehörden raten Organisationen und Admins, Management-Interfaces von Routern und Netzwerkgeräten abzusichern, keine offenen Web-Interfaces aus dem Internet erreichbar zu lassen und starke Passwörter zu verwenden.

Außerdem sollten Firmware und Software konsequent aktuell gehalten, bekannte Sicherheitslücken geschlossen und DNS-Einstellungen regelmäßig geprüft werden. Wo möglich, sollte Zwei-Faktor-Authentifizierung für kritische Dienste aktiviert werden.

Auch Privatanwender sollten Standardpasswörter auf Routern ändern, automatische Updates aktivieren und bei unerwarteten Login-Seiten, etwa für Webmail oder Office-Dienste, misstrauisch werden.

---

Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.