Nachrichten

Russische Hackergruppe nimmt Router in Privathaushalten und kleinen Büros ins Visier, um Nutzer auszuspionieren

von Pieter Arntz | 8. April 2026
Frontplatte eines Routers

Britische Sicherheitsbehörden haben festgestellt, dass eine mit dem russischen Militär verbundene Gruppe im Rahmen einer groß angelegten Cyberspionagekampagne Nutzer von kompromittierten SOHO-Routern (Small Office/Home Office) ausspioniert. Ein Microsoft-Blog geht auf die technischen Details dieser Angriffe ein.

Die Gruppe, die wir als APT28 bezeichnen, die aber auch unter Namen wie Fancy Bear, BlueDelta und Forest Blizzard bekannt ist, ändert die DNS-Einstellungen der kompromittierten Router, sodass deren Datenverkehr über Server unter ihrer Kontrolle geleitet wird, was es APT28 ermöglicht, die Nutzer auszuspionieren.

Das Domain Name System (DNS) dient dazu, Internet-Domainnamen zu lokalisieren und in IP-Adressen umzuwandeln. Geräte beziehen ihre Netzwerkeinstellungen in der Regel über Router mithilfe des Dynamic Host Configuration Protocol (DHCP).

Wenn ein Angreifer die DNS-Einstellungen des Routers manipulieren kann, ist er in der Lage, den Datenverkehr unbemerkt über eine von ihm kontrollierte Infrastruktur umzuleiten, Anmeldedaten abzugreifen und sich in manchen Fällen zwischen den Nutzer und den eigentlichen Dienst zu schalten. Aus diesem Grund kann die Kampagne den Diebstahl von Anmeldedaten und sogar das gezielte Abfangen von Microsoft 365- und anderem Cloud-Datenverkehr ermöglichen.

In einer öffentlichen Mitteilung des FBI heißt es, dass APT28:

„…hat Passwörter, Authentifizierungstoken und sensible Daten wie E-Mails und Informationen zum Surfverhalten im Internet abgegriffen, die normalerweise durch SSL- (Secure Socket Layer) und TLS-Verschlüsselung (Transport Layer Security) geschützt sind.“

Nach Angaben des FBI hat die Gruppe zunächst ein weites Netz in den USA und weltweit ausgeworfen, bevor sie ihre Opfer auf Personen eingrenzte, die Zugang zu Informationen über das Militär, die Regierung und kritische Infrastrukturen hatten.

In der Warnmeldung des NCSC wird ein bestimmtes Modell von TP-Link (WR841N) genannt, das eine bekannte Sicherheitslücke aufweist, durch die ein nicht authentifizierter Angreifer mittels speziell gestalteter HTTP-GET-Anfragen an Informationen wie Benutzernamen und Passwörter gelangen kann. Dieses Routermodell wird in großem Umfang an Privatkunden und kleine Unternehmen verkauft und wird in der Regel nicht als Standardausrüstung von großen Internetdienstanbietern verwendet. Der Artikel enthält zudem eine umfangreiche, wenn auch nicht vollständige Liste weiterer TP-Link-Routermodelle, die von APT28 ins Visier genommen werden.

Laut Microsoft Threat Intelligence wurden über 200 Organisationen und 5.000 Endgeräte von der bösartigen DNS-Infrastruktur von Forest Blizzard betroffen.

Die Debatte um das Router-Verbot

Vor einigen Wochen haben wir über die Entscheidung der FCC berichtet, den Import von im Ausland hergestellten Routern praktisch zu unterbinden, sofern deren Hersteller keine Ausnahmegenehmigung erhalten – und zwar aufgrund dessen, wasdie FCC als„inakzeptables Risiko für die nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Bürgern“bezeichnete.

Die Aktivitäten von APT28 verdeutlichen die Art von Risiko, die die FCC einzudämmen versucht, untermauern aber auch unseren Standpunkt: Während sich die Debatte über Router-Verbote und Beschränkungen in der Lieferkette oft auf die Herkunftsländer konzentriert, ist die wichtigere Frage, ob die Geräte in der Praxis sicher sind. Wenn ein Router mit schwachen Standardeinstellungen, mangelhaftem Update-Support oder einem verwirrenden Einrichtungsprozess ausgeliefert wird, wird er zum Ziel, unabhängig davon, wo er hergestellt wurde. Angreifer brauchen keine Perfektion. Sie brauchen nur genügend ungeschützte Geräte, um eine große, unauffällige Infrastruktur für Spionage und Umleitung aufzubauen.

Was Sie tun können

Um zu überprüfen, ob Ihre Einstellungen korrekt sind, können wir Ihnen nur allgemeine Hinweise geben, da diese manchmal sehr gerätespezifisch sind. Diese Methode funktioniert jedoch in der Regel:

So überprüfen Sie, ob die DHCP-Einstellungen Ihres Routers mit den Vorgaben Ihres Internetanbieters übereinstimmen:

  1. Überprüfen Sie die aktuellen DHCP-Einstellungen auf einem Gerät.
    Öffnen Sie auf einem PC oder Smartphone, das mit Ihrem Heimnetzwerk verbunden ist, die Netzwerkdetails und notieren Sie sich die IP-Adresse, die Subnetzmaske, das Standard-Gateway und die DNS-Server, die Ihr Gerät verwendet.
  2. Melden Sie sich bei Ihrem Router an und suchen Sie die WAN-/Internet-Einstellungen.
    Sehen Sie sich in der Weboberfläche des Routers die Seite „Status“ oder „Internet“ an, um zu überprüfen, welche Adresse der Router vom Internetanbieter erhalten hat und welche DNS-Server für die Nutzung konfiguriert sind.
  3. Vergleichen Sie dies mit den Angaben Ihres Internetanbieters.
    Sehen Sie auf den Support-Seiten Ihres Internetanbieters nach oder wenden Sie sich an den Support, um zu klären, welche Einstellungen erwartet werden: ob Ihre Verbindung DHCP oder PPPoE verwenden soll, aus welchem Bereich Ihre öffentliche IP-Adresse stammen sollte und welche DNS-Server normalerweise bereitgestellt werden. Größere Abweichungen (z. B. DNS-Server in einem anderen Land oder von einer unbekannten Organisation) sind ein Grund für weitere Nachforschungen.
  4. Wenn Sie benutzerdefinierte DNS-Einstellungen verwenden, dokumentieren Sie diese.
    Wenn Sie bewusst alternative DNS-Server nutzen (z. B. einen Datenschutz- oder Sicherheits-Resolver), notieren Sie dies und überprüfen Sie regelmäßig, ob Ihr Router und Ihre Clients weiterhin die von Ihnen gewählten Adressen verwenden.

Weitere Maßnahmen

Wenn Sie es sich leisten können und es noch nicht getan haben, sollten Sie aufWi-Fi 7umsteigen, um Ihre Ausstattung zukunftssicher zu machen, solange die aktuellen Modelle noch im Handel erhältlich sind.

Du solltest zumindest:

  • Ändern Sie die Standard-Benutzernamen und -Passwörter Ihres Routers in solche, die nicht so leicht zu erraten sind.
  • Informieren Sie sich auf der Website des Herstellers über Aktualisierungen, überprüfen Sie das EOL-Datum und aktualisieren Sie auf die neuesten Firmware-Versionen.
  • Deaktivieren Sie Fernverwaltungsschnittstellen aus dem Internet, soweit dies möglich ist.
  • Alle Nutzer sollten Zertifikatswarnungen in Webbrowsern und E-Mail-Programmen sorgfältig prüfen, da diese darauf hinweisen, dass bei der sicheren Verbindung etwas nicht stimmt, und bedeuten könnten, dass Sie nicht mit der echten Website kommunizieren.

Technisch versierte Nutzer können die Lebensdauer ihres Routers verlängern, indem sie die Hersteller-Firmware durch Open-Source-Alternativen wieOpenWrtoderDD-WRTersetzen. Dies birgt jedoch Risiken, darunter den Verlust der Garantie oder die Gefahr, dass das Gerät unbrauchbar wird. Sie sollten dies nur tun oder durchführen lassen, wenn Sie mit der Fehlerbehebung vertraut sind.

Wenn ein US-Bürger den Verdacht hat, Ziel eines russischen Cyberangriffs geworden zu sein oder Opfer eines solchen Angriffs geworden zu sein, wird er gebeten, dies derörtlichen FBI-Außenstellezu melden oder eine Beschwerde beimIC3 einzureichen. Geben Sie dabei unbedingt Einzelheiten zum betroffenen Router an, einschließlich Gerätetyp und DHCP-Konfigurationen.

Stöbern Sie, als würde niemand zusehen. 

Malwarebytes Privacy VPN Ihre Verbindung und protokolliert niemals Ihre Aktivitäten, sodass Sie sich beim Lesen des nächsten Artikels nicht persönlich angesprochen fühlen müssen.Kostenlos testen → 

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Nachrichten
JDownloader-Logo

Angreifer haben die Downloads des JDownloader-Installationsprogramms durch Malware ersetzt

Mai 15, 2026

Die Website von JDownloader wurde gehackt, und über die Download-Links für das Installationsprogramm wurde mehrere Tage lang Malware verbreitet.

AI
Instagram zwischen WhatsApp und Instagram

Metas verwirrender neuer Ansatz zum Datenschutz im Chat

Mai 15, 2026

WhatsApp bietet nun selbstlöschende KI-Chats an, die Meta laut eigenen Angaben nicht lesen kann. Instagram hingegen hat Instagram die Funktion entfernt, die Meta daran hinderte, deine Nachrichten zu lesen.

Privacy
Yahoo Mail-Logo

Warum Malwarebytes bestimmte Weiterleitungen von Yahoo Mail Malwarebytes

Mai 14, 2026

Bei einigen Yahoo Mail-Nutzern können wiederholt Malwarebytes erscheinen, die durch Hintergrundverbindungen zu verdächtigen Domains von Drittanbietern verursacht werden. Hier ist der Grund dafür.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug