Nieuws

Russische hackersgroep richt zich op routers in woningen en kleine kantoren om gebruikers te bespioneren

door Pieter Arntz | 8 april 2026
voorpaneel van een router

Britse veiligheidsfunctionarissen hebben ontdekt dat een groep die banden heeft met het Russische leger gebruikers van gehackte SOHO-routers (Small Office/Home Office) bespioneert in het kader van een grootschalige cyberspionagecampagne. In een blog van Microsoft worden de technische details van deze aanvallen toegelicht.

De groep, die we hierna APT28 zullen noemen, maar die ook bekendstaat onder namen als Fancy Bear, BlueDelta en Forest Blizzard, wijzigt de DNS-instellingen van gehackte routers zodat hun dataverkeer via servers onder hun controle wordt geleid, waardoor APT28 gebruikers kan bespioneren.

Het Domain Name System (DNS) is het systeem waarmee internetdomeinnamen worden gelokaliseerd en omgezet in IP-adressen. Apparaten halen hun netwerkinstellingen doorgaans op van routers via het Dynamic Host Configuration Protocol (DHCP).

Als een aanvaller de DNS-instellingen van de router kan manipuleren, kan hij ongemerkt verkeer omleiden via infrastructuur die hij beheert, inloggegevens verzamelen en zich in sommige gevallen tussen de gebruiker en de echte dienst plaatsen. Daarom kan deze campagne leiden tot diefstal van inloggegevens en zelfs tot het gericht onderscheppen van Microsoft 365- en ander cloudverkeer.

Volgens een publieke mededeling van de FBI is APT28:

“…heeft wachtwoorden, authenticatietokens en gevoelige gegevens verzameld, waaronder e-mails en gegevens over internetgebruik die normaal gesproken worden beschermd door SSL- (Secure Socket Layer) en TLS- (Transport Layer Security) versleuteling.”

Volgens de FBI heeft de groep eerst een breed net uitgeworpen in de VS en wereldwijd, om vervolgens hun slachtoffers te beperken tot personen die toegang hebben tot informatie over het leger, de overheid en kritieke infrastructuur.

In het advies van het NCSC wordt specifiek gewezen op één model van TP-Link (WR841N) met een bekende kwetsbaarheid waardoor een niet-geauthenticeerde aanvaller via speciaal vervaardigde HTTP GET-verzoeken informatie zoals gebruikersnamen en wachtwoorden kan bemachtigen. Dit routermodel wordt op grote schaal verkocht aan consumenten en kleine bedrijven en wordt doorgaans niet als standaardapparatuur gebruikt door grote internetproviders. Het artikel bevat ook een lange, maar niet uitputtende lijst van andere TP-Link-routermodellen die het doelwit zijn van APT28.

Volgens Microsoft Threat Intelligence zijn er meer dan 200 organisaties en 5.000 consumentenapparaten geïdentificeerd die zijn getroffen door de kwaadaardige DNS-infrastructuur van Forest Blizzard.

Het debat over het verbod op routers

Enkele weken geleden hebben we gereageerd op het besluit van de FCC om de invoer van in het buitenland geproduceerde routers in feite te verbieden, tenzij de fabrikanten daarvan een ontheffing krijgen, vanwege watde FCCeen „onaanvaardbaar risico voor de nationale veiligheid van de Verenigde Staten of de veiligheid en beveiliging van Amerikaanse burgers“noemde.

De acties van APT28 laten zien welk soort risico de FCC probeert te voorkomen, maar ze onderstrepen ook ons standpunt: hoewel het debat over routerverboden en beperkingen in de toeleveringsketen vaak draait om de land van herkomst, is de grotere vraag of de apparaten in de praktijk wel veilig zijn. Als een router wordt geleverd met zwakke standaardinstellingen, slechte ondersteuning voor updates of een verwarrend installatieproces, wordt deze een doelwit, ongeacht waar hij is gemaakt. Aanvallers hebben geen perfectie nodig. Ze hebben alleen genoeg kwetsbare apparaten nodig om een grote, onopvallende infrastructuur op te bouwen voor spionage en omleiding.

Wat je kunt doen

Om te controleren of je instellingen in orde zijn, kunnen we alleen algemene aanwijzingen geven, aangezien deze soms erg apparaatspecifiek zijn. Maar deze methode werkt meestal:

Hoe controleer je of de DHCP-instellingen van je router overeenkomen met de instellingen die je internetprovider heeft opgegeven:

  1. Controleer de huidige DHCP-gegevens op een apparaat.
    Open op een pc of telefoon die is aangesloten op uw thuisnetwerk de netwerkgegevens en noteer het IP-adres, het subnetmasker, de standaardgateway en de DNS-servers die uw apparaat gebruikt.
  2. Log in op uw router en ga naar de WAN-/internetinstellingen.
    Kijk in de webinterface van de router op de pagina ‘Status’ of ‘Internet’ om te zien welk adres de router van de internetprovider heeft ontvangen en welke DNS-servers zijn geconfigureerd.
  3. Vergelijk dit met wat je internetprovider in zijn documentatie vermeldt of je vertelt.
    Raadpleeg de ondersteuningspagina’s van je internetprovider of neem contact op met de helpdesk om te controleren wat zij verwachten: of je verbinding via DHCP of PPPoE moet werken, uit welk bereik je openbare IP-adres moet komen en welke DNS-servers zij doorgaans aanbieden. Grote afwijkingen (bijvoorbeeld DNS-servers in een ander land of van een onbekende organisatie) zijn een reden om dit nader te onderzoeken.
  4. Als u aangepaste DNS-instellingen gebruikt, leg dit dan vast.
    Als u bewust alternatieve DNS-servers gebruikt (bijvoorbeeld een resolver die de privacy of veiligheid waarborgt), noteer dit dan en controleer regelmatig of uw router en clients nog steeds de door u gekozen adressen gebruiken.

Overige maatregelen

Als je het je kunt veroorloven en dat nog niet hebt gedaan, schakel dan over opWi-Fi 7om je installatie toekomstbestendig te maken, nu de huidige modellen nog in de winkels liggen.

Je moet op zijn minst:

  • Wijzig de standaardgebruikersnamen en wachtwoorden van je router in iets dat minder gemakkelijk te raden is.
  • Kijk op de website van de leverancier voor updates, controleer de EOL-datum en update naar de nieuwste firmwareversies.
  • Schakel waar mogelijk interfaces voor beheer op afstand via internet uit.
  • Alle gebruikers moeten certificaatwaarschuwingen in webbrowsers en e-mailprogramma’s zorgvuldig in overweging nemen, omdat deze aangeven dat er iets mis is met de beveiligde verbinding en erop kunnen wijzen dat u niet met de echte website communiceert.

Voor technisch onderlegde gebruikers kan het vervangen van de fabrieksfirmware door open-sourcealternatieven zoalsOpenWrtofDD-WRTde veilige levensduur van een router verlengen. Hieraan zijn echter risico’s verbonden, zoals het vervallen van de garantie of het mogelijk onbruikbaar maken van je apparaat. Je moet dit alleen doen, of laten doen, als je vertrouwd bent met het oplossen van problemen.

Als een Amerikaans staatsburger vermoedt dat hij of zij het doelwit is geworden van of slachtoffer is geworden van een Russische cyberaanval, wordt hij of zij verzocht dit te melden bij hetplaatselijke FBI-kantoorof een klacht in te dienen bij hetIC3. Geef daarbij zeker gedetailleerde informatie over de getroffen router, waaronder het type apparaat en de DHCP-instellingen.

Surf alsof niemand kijkt. 

Malwarebytes Privacy VPN je verbinding en houdt nooit bij wat je doet, zodat het volgende artikel dat je leest niet als iets persoonlijks hoeft te voelen.Probeer het gratis → 

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
JDownloader-logo

Aanvallers hebben de downloads van het installatieprogramma van JDownloader vervangen door malware

Mei 15, 2026

De website van JDownloader is gehackt en via de downloadlinks voor het installatieprogramma is er enkele dagen lang malware verspreid.

AI
Instagram tussen WhatsApp en Instagram

Meta’s verwarrende nieuwe aanpak van chatprivacy

Mei 15, 2026

WhatsApp biedt nu verdwijnende AI-chats aan waarvan Meta zegt dat het ze niet kan lezen. Terwijl Instagram de functie heeft verwijderd die ervoor zorgde dat Meta je berichten niet kon lezen.

Privacy
Yahoo Mail-logo

Waarom Malwarebytes bepaalde omleidingen van Yahoo Mail Malwarebytes

Mei 14, 2026

Sommige gebruikers van Yahoo Mail krijgen mogelijk herhaaldelijk Malwarebytes te zien als gevolg van verbindingen op de achtergrond met verdachte domeinen van derden. Dit is de reden daarvoor.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting