FBI zerschlägt GRU-Spionagenetzwerk: Router-Sicherheit dringend empfohlen

Aktualisiert:
4 Min. Lesezeit
AI-Generated
Human-verified
Teilen:

Keine Anlageberatung • Nur zu Informationszwecken

Das FBI und das US-Justizministerium haben kürzlich eine gerichtlich genehmigte Operation durchgeführt, um einen Teil eines von russischen Geheimdiensten kompromittierten Router-Netzwerks in den USA zu neutralisieren. Diese Aktion unterstreicht die anhaltende Bedrohung durch Cyberspionage und die dringende Notwendigkeit für Haushalte und kleine Büros, ihre Internet-Router proaktiv zu sichern. Die Behörden geben umfassende Empfehlungen, um Nutzer vor ähnlichen Angriffen zu schützen.

FBI zerschlägt russisches Spionagenetzwerk

Das FBI und das Justizministerium gaben letzte Woche bekannt, dass sie eine gerichtlich genehmigte Operation durchgeführt haben, um einen US-Teil eines Netzwerks von Small Office/Home Office (SOHO)-Routern zu neutralisieren. Diese Router waren von einer Einheit innerhalb der Hauptverwaltung für Aufklärung des Generalstabs (GRU) des russischen Militärs, Militäreinheit 26165, kompromittiert worden. Diese Einheit ist auch unter den Namen APT28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear und Sednit bekannt.

Brett Leatherman, stellvertretender Direktor der Cyber Division des FBI, erklärte gegenüber FOX Business: „Das FBI hat festgestellt, dass russische GRU-Cyberakteure anfällige Router in den USA und auf der ganzen Welt kompromittiert und für Spionagezwecke missbraucht haben.“ Er fügte hinzu, dass ahnungslose Amerikaner in mindestens 23 Bundesstaaten Router besaßen, die von der russischen Militärintelligenz ausgenutzt wurden. Angesichts des Ausmaßes dieser Bedrohung führte das FBI eine gerichtlich genehmigte Operation durch, um den Zugang der GRU zu kompromittierten Geräten innerhalb der USA zu unterbrechen.

Die Taktik der GRU: DNS-Hijacking

Die GRU nutzte die kompromittierten Router, um bösartige Domain Name System (DNS)-Hijacking-Operationen gegen weltweite Ziele von nachrichtendienstlichem Interesse für die russische Regierung durchzuführen. Dazu gehörten Personen im Militär, in der Regierung und in kritischen Infrastruktursektoren. Seit mindestens 2024 nutzten GRU-Akteure bekannte Schwachstellen, um Anmeldeinformationen für Tausende von TP-Link-Routern zu stehlen.

Sie manipulierten die Einstellungen dieser Router, um DNS-Anfragen an GRU-kontrollierte Server umzuleiten. Durch diese „Actor-in-the-Middle“-Angriffe konnten die GRU-Akteure unverschlüsselte Passwörter, Authentifizierungstoken, E-Mails und andere sensible Informationen von Geräten im selben Netzwerk wie die kompromittierten TP-Link-Router abgreifen. John A. Eisenberg, stellvertretender Generalstaatsanwalt für nationale Sicherheit, betonte, dass der „räuberische Einsatz von Netzwerken in amerikanischen Haushalten und Unternehmen durch die GRU für ihre bösartigen Cyberoperationen eine ernste und anhaltende Bedrohung bleibt.“

Operation Masquerade: Die Reaktion der US-Behörden

Die Operation, intern als „Operation Masquerade“ bezeichnet, umfasste das Sammeln von Beweismitteln von den kompromittierten Routern und das Zurücksetzen ihrer DNS-Einstellungen. Dies stellte sicher, dass die Anfragen nicht mehr an die DNS-Resolver der GRU weitergeleitet wurden und verhinderte, dass Russland die ursprünglichen Zugangsmittel weiter ausnutzen konnte. Die Regierung versicherte in Gerichtsdokumenten, dass sie die Operation ausgiebig an Firmware und Hardware der betroffenen TP-Link-Router getestet hat. Abgesehen von der Blockierung des GRU-Zugangs beeinträchtigte sie weder die normale Funktionalität der Router noch sammelte sie Inhaltsinformationen der legitimen Nutzer.

Im Mai 2025 veröffentlichten die National Security Agency (NSA) und ausländische Geheimdienste eine Cybersicherheitswarnung, die auf eine russische staatlich geförderte Cyberkampagne aufmerksam machte. Diese zielte auf westliche Regierungsorganisationen und Technologieunternehmen ab, einschließlich derer, die der Ukraine Hilfe leisten.

Dringende Sicherheitsempfehlungen für Router-Nutzer

Angesichts der anhaltenden Bedrohung haben das FBI, die NSA und internationale Partner aus 15 Ländern eine Public Service Announcement (PSA) mit technischen Informationen und Schutzmaßnahmen veröffentlicht. Brett Leatherman warnte: „Ein Neustart Ihres Routers kann einige Bedrohungen mindern, aber diese nicht beheben.“

Die PSA empfiehlt Nutzern von SOHO-Geräten folgende Schritte:

  • End-of-Life-Geräte ersetzen: Router, deren Lebenszyklus oder Support-Zeitraum abgelaufen ist, sollten ersetzt werden.
  • Firmware aktualisieren: Auf die neueste verfügbare Firmware-Version aktualisieren.
  • DNS-Resolver überprüfen: Die Authentizität der in den Router-Einstellungen aufgeführten DNS-Resolver überprüfen.
  • Firewall-Einstellungen anpassen: Firewall-Einstellungen überprüfen und implementieren, um die unerwünschte Offenlegung von Remote-Management-Systemen zu verhindern.
  • Standard-Anmeldedaten ändern: Standard-Benutzernamen und -Passwörter ändern.
  • Remote-Management deaktivieren: Remote-Management-Schnittstellen aus dem Internet deaktivieren.
  • Zertifikatswarnungen beachten: Auf Zertifikatswarnungen in Webbrowsern und E-Mail-Clients achten.
  • TP-Link-Dokumentation prüfen: Die offizielle TP-Link-Website besuchen und die Dokumentation im Download-Center für betroffene Geräte überprüfen, um sich über korrekte Konfigurationen zu informieren.

Warum Router-Sicherheit jetzt wichtiger ist denn je

Die jüngsten Ereignisse verdeutlichen, dass Router nicht nur einfache Internetzugangspunkte sind, sondern potenzielle Einfallstore für Cyberspionage und Datendiebstahl. Die GRU-Akteure waren wahllos bei der anfänglichen Kompromittierung und Manipulation von Routern, bevor sie einen automatisierten Filterprozess implementierten, um interessante DNS-Anfragen abzufangen.

David Metcalf, US-Staatsanwalt für den östlichen Bezirk von Pennsylvania, betonte: „Die russische Militärintelligenz hat erneut die Hardware von Amerikanern gekapert, um kritische Daten zu erbeuten.“ Er fügte hinzu, dass die US-Regierung angesichts der anhaltenden Aggression von Nationalstaaten ebenso aggressiv reagieren werde. Das FBI fordert alle Nutzer auf, die in der PSA beschriebenen Schritte zur Behebung zu unternehmen, denn „die Verteidigung unserer Netzwerke erfordert uns alle.“ Verdächtige Kompromittierungen sollten den lokalen FBI-Büros oder dem Internet Crime Complaint Center gemeldet werden.

Erwähnte Persönlichkeiten

BL

Brett Leatherman

Stellvertretender Direktor Der Cyber Division Des Fbi