Sicherheitsforscher und Regierungsbehörden haben eine massive, langjährige Cyberangriffskampagne aufgedeckt, bei der Tausende von Routern für Privatanwender und kleine Unternehmen gekapert wurden. Die mit der russischen staatlich geförderten Gruppe Fancy Bear (APT 28) verbundene Operation sollte den Internetverkehr abfangen und Passwörter und Zugriffstoken von ahnungslosen Benutzern auf der ganzen Welt stehlen.
Die Mechanismen des Angriffs: Wie Router zur Spyware werden
Die Hacker hatten es nicht direkt auf einzelne Computer abgesehen; Stattdessen haben sie den Einstiegspunkt des Netzwerks kompromittiert: den Router. Durch die Ausnutzung ungepatchter Schwachstellen in Geräten der Hersteller MikroTik und TP-Link erlangten die Angreifer die Kontrolle über die Hardware selbst.
Sobald ein Router kompromittiert wurde, änderten die Hacker seine Einstellungen, um eine „Man-in-the-Middle“-Umleitung durchzuführen. Dieser Vorgang funktioniert wie folgt:
1. Verkehrsumleitung: Die legitimen Internetanfragen des Opfers werden heimlich über die von den Hackern kontrollierte Infrastruktur weitergeleitet.
2. Spoofing: Benutzer werden auf gefälschte Versionen legitimer Websites (z. B. E-Mail-Anbieter oder Bankportale) weitergeleitet.
3. Anmeldedatendiebstahl: Wenn Benutzer ihre Anmeldedaten eingeben, erbeuten die Hacker ihre Passwörter und Sitzungstokens.
Warum das wichtig ist: Durch den Diebstahl von Sitzungstoken können Hacker die Zwei-Faktor-Authentifizierung (2FA) umgehen. Dies ermöglicht es ihnen, aktive Online-Konten zu kapern, ohne jemals den sekundären Sicherheitscode des Opfers zu benötigen, was eine der häufigsten modernen Abwehrmaßnahmen wirkungslos macht.
Eine globale Skala: Von Haushalten bis hin zu Regierungsbehörden
Der Umfang der Operation ist riesig und zeichnet sich durch einen von Experten als „opportunistischen“ Ansatz bezeichneten Ansatz aus. Anstatt von Anfang an bestimmte Personen ins Visier zu nehmen, werfen die Hacker ein weites Netz aus, um so viele Geräte wie möglich zu infizieren, und filtern später die Daten, um hochwertige Ziele zu finden.
Daten verschiedener Forschungseinrichtungen verdeutlichen das Ausmaß der Infektion:
– Black Lotus Labs (Lumen): Identifizierte mindestens 18.000 Opfer in etwa 120 Ländern, darunter Strafverfolgungsbehörden, Regierungsbehörden und E-Mail-Anbieter in Nordafrika, Mittelamerika und Südostasien.
– Microsoft: Berichten zufolge sind über 200 Organisationen und 5.000 Verbrauchergeräte betroffen, darunter mindestens drei Regierungsstellen in Afrika.
Die Akteure hinter der Kampagne
Bei der als Täter identifizierten Gruppe handelt es sich um Fancy Bear, auch bekannt als APT 28. Es wird allgemein angenommen, dass diese Gruppe mit dem russischen Militärgeheimdienst GRU verbunden ist.
Fancy Bear kann auf eine dokumentierte Geschichte hochriskanter Spionage- und Störoperationen zurückblicken, insbesondere:
* Der Verstoß gegen das Democratic National Committee (DNC) im Jahr 2016 in den Vereinigten Staaten.
* Der zerstörerische Hack im Jahr 2022 gegen den Satellitenanbieter Viasat.
Gegenmaßnahmen und Störungen
Als Reaktion auf die Kampagne hat eine globale Koalition aus FBI und Lumen Schritte unternommen, um die Infrastruktur der Hacker zu zerstören. Diese Bemühungen umfassten die Offlineschaltung eines großen Botnetzes und die Unterbrechung mehrerer Domänen, die zur Erleichterung der Angriffe genutzt wurden.
Die wichtigste Erkenntnis für Benutzer ist die entscheidende Bedeutung der Hardwarewartung. Da sich die Angreifer auf veraltete Software und ungepatchte Schwachstellen verließen, blieben viele dieser Geräte jahrelang ohne Wissen der Besitzer angreifbar.
Fazit: Diese Kampagne zeigt, wie Angreifer zunehmend auf die Netzwerkinfrastruktur und nicht auf Endbenutzergeräte abzielen, um moderne Sicherheitsebenen wie 2FA zu umgehen. Die Aktualisierung der Firmware aller mit dem Internet verbundenen Hardware bleibt ein wichtiger Schutz gegen solche hochentwickelten, staatlich geförderten Bedrohungen.
