vor 2 Stunden
1
Seit Mitte März erhielten manche deutsche IT-Firmen, Gastronomiebetriebe und Privatpersonen ungewöhnliche Post. Sie kam vom Verfassungsschutz und enthielt eine brisante Warnung. Es ging um die kleinen Alltagsgeräte mit den leuchtenden Dioden, die in vielen Haushalten und Unternehmen den Zugang zum Internet herstellen oder die Reichweite des WLANs erhöhen: Router und WLAN-Extender. Die beunruhigenden Schreiben gingen nur an Kunden eines Herstellers. Allerdings handelt es sich dabei um einen der größten weltweit, die Firma TP-Link.
»Ein staatlicher russischer Cyberakteur kompromittiert aktuell TP-Link-Netzwerkgeräte«, hieß es in der Mitteilung des Bundesamts für Verfassungsschutz (BfV), die dem SPIEGEL voran vorlag. Der deutsche Inlandsgeheimdienst erklärte in seiner »Handreichung« an Betroffene zudem, wie sie mögliche Infektionen ihrer Router erkennen und beheben können und bat einstweilen um Diskretion, »um auch weiteren Opfern ausreichend Zeit zur Bereinigung und Härtung ihrer Systeme zu ermöglichen«.
Weltweit Tausende Geräte betroffen
Heute warnt eine breite Allianz von internationalen Behörden und Nachrichtendiensten auch öffentlich vor der neuen Angriffsmethode. Neben der amerikanischen Bundespolizei FBI und der National Security Agency (NSA) gehören der Bundesnachrichtendienst (BND) und das BfV zu den Behörden, die weitere mögliche Betroffene sensibilisieren wollen. Sie präzisieren auch, wen sie dafür verantwortlich machen.
Demnach soll eine besonders versierte und berüchtigte offensive staatliche Hackerformation hinter den Router-Attacken stecken: »Fancy Bear« alias »APT 28«. Die Gruppe wird von internationalen Sicherheitsbehörden dem russischen Militärgeheimdienst GRU zugeschrieben und soll für einige spektakuläre und folgenreiche Cyberangriffe verantwortlich sein. Neben dem sogenannten Bundestags-Hack von 2015 gehört dazu auch die Hack-und-Leak-Kampagne zur Einflussnahme auf den US-Wahlkampf 2016 sowie der Angriff auf die SPD-Parteizentrale Ende 2022. Im vergangenen Jahr hatten westliche Geheimdienste vor einer Spionagekampagne der Gruppierung gegen Unternehmen gewarnt, die in Unterstützungsleistungen für die Ukraine eingebunden waren.
Im aktuellen Fall habe die Gruppe »weltweit anfällige Internetrouter des Herstellers TP-Link infiltriert, um militärische Informationen, Regierungsinformationen oder Informationen über kritische Infrastruktur (KRITIS) zu erhalten« heißt es in einer gemeinsamen Mitteilung der Dienste vom Montagabend. Weltweit sind demnach Tausende Geräte betroffen, in Deutschland habe man »bislang 30 verwundbare Geräte festgestellt«. In einzelnen Fällen habe man bereits die erfolgreiche Kompromittierung durch APT 28 bestätigen können. Viele der sensibilisierten Gerätebetreiber hätten diese daraufhin außer Betrieb genommen und ausgetauscht. Einzelne der Geräte würden nun von Experten forensisch untersucht, »um die Vorgehensweise von APT 28 tiefergehend zu analysieren«.
In aktuellen Mitteilungen der internationalen Behörden zu den Router-Attacken heißt es, die Angriffe gegen TP-Link-Router dauerten seit mindestens 2024 an. Die Verantwortlichen nutzten dafür unter anderem eine seit jenem Jahr bekannte und öffentlich dokumentierte Sicherheitslücke, die sich durch ein Firmware-Update beheben lässt. Erfahrungsgemäß installieren viele Anwender solche Updates nicht, weil sie entsprechende Warnungen nicht wahrnehmen oder ignorieren.
Konkret handelt es sich bei der nun entdeckten Angriffsvariante um sogenanntes »DNS-Hijacking«. Dabei gelingt es den Angreifern, die Einstellungen der Router so zu verändern, dass die darüber vermittelten Webseiten-Aufrufe nicht zu den echten Angeboten führen. Stattdessen werden sie auf Seiten umgeleitet, die von den Akteuren kontrolliert und häufig mit Schadcodes präpariert werden.
Den Behörden-Angaben zufolge ist es »Fancy Bear« gelungen, die TP-Link-Geräte zahlreicher Opfer in den USA und weltweit zu infiltrieren und so deren Passwörter, Authentifizierungs-Token sowie sensible Informationen und Inhalte wie E-Mails und Browser-Suchhistorien zu erbeuten. Die Täter haben die Opfer demzufolge nach Relevanz gefiltert und insbesondere nach Informationen mit militärischen und politischen Bezügen gesucht, sowie nach Informationen über kritische Infrastrukturen.
Das britische National Cyber Security Centre berichtet zudem über weitere betroffene Router von MikroTik und hat eine Liste verdächtiger IP-Adressen sowie Hinweise für mögliche Gegenmaßnahmen veröffentlicht .
»Unannehmbares Risiko«
Das Unternehmen TP-Link wurde ursprünglich in China gegründet, später aber in einen amerikanischen und einen chinesischen Unternehmensteil aufgegliedert. Erst im Februar hatte der US-Bundesstaat Texas der Firma vorgeworfen, chinesischen Stellen Zugriff auf dessen Endgeräte bei amerikanischen Kunden zu ermöglichen – und eine Klage gegen den Hersteller eingereicht. Das Unternehmen hatte alle Vorwürfe bestritten und angekündigt, sich »energisch verteidigen« zu wollen.
Erst vor vierzehn Tagen hatte die US-Telekommunikationsaufsicht FCC den Import im Ausland hergestellter Router für Verbraucher verboten. Die Geräte seien ein »unannehmbares Risiko für die nationale Sicherheit der Vereinigten Staaten oder die Sicherheit von US-Bürgern«, hieß es zur Begründung.
Gemeinsame Sicherheitswarnungen deutscher, amerikanischer und weiterer westlicher Dienste vor russischen offensiven Cyberoperationen haben mittlerweile Tradition, die Tonalität dieser sogenannten öffentlichen Attributierungen hat sich zuletzt verschärft. »Das BfV wird auch künftig aktiv gegen diesen Cyberakteur vorgehen, um seinen Handlungsspielraum zu begrenzen«, heißt es in der aktuellen Warnung.
English (US) ·