Russische Hacker kaperten Tausende von Heimroutern, um Passwörter zu stehlen, sagen Forscher
Russische Regierungshacker kapern Router in umfassender Spionagekampagne
Russische Regierungshacker haben Tausende von Heim- und Kleinunternehmensroutern weltweit kompromittiert, um Passwörter und Authentifizierungstoken zu stehlen, so Sicherheitsforscher und britische Behörden.
Die Kampagne ist mit Fancy Bear, auch bekannt als APT28, verbunden, einer seit Langem aktiven Hackergruppe, von der weithin angenommen wird, dass sie unter der russischen GRU-Geheimdienstagentur operiert. Die Gruppe hat eine Geschichte hochkarätiger Angriffe, darunter der Einbruch beim Democratic National Committee im Jahr 2016 und der zerstörerische Angriff auf den Satellitenanbieter Viasat im Jahr 2022.
Forscher von Lumens Black Lotus Labs und dem National Cyber Security Centre der britischen Regierung sagten, die Hacker hätten ungepatchte MicroTik- und TP-Link-Router unter Ausnutzung zuvor offengelegter Schwachstellen angegriffen. Viele der betroffenen Geräte liefen mit veralteter Software, was es Angreifern ermöglichte, sich aus der Ferne ohne Wissen der Besitzer Zugang zu verschaffen.
Einmal eingedrungen, änderten die Hacker die Router-Einstellungen so, dass die Internetanfragen der Opfer stillschweigend über die von den Angreifern kontrollierte Infrastruktur geleitet wurden. Diese Einrichtung ermöglichte es ihnen, Benutzer auf gefälschte Websites zu lenken und Anmeldeinformationen und Token abzufangen, die zum Zugriff auf Online-Konten verwendet werden konnten, selbst ohne Zwei-Faktor-Authentifizierungscodes.
Das NCSC sagte, die Aktivität sei „wahrscheinlich opportunistischer Natur“, wobei die Angreifer ein weites Netz auswerfen, bevor sie sich auf Ziele von nachrichtendienstlichem Interesse konzentrieren. Black Lotus Labs sagte, Fancy Bear habe mindestens 18.000 Opfer in etwa 120 Ländern kompromittiert.
Zu den Betroffenen gehörten Regierungsbehörden, Strafverfolgungsbehörden und E-Mail-Anbieter in Nordafrika, Mittelamerika und Südostasien.
Die Ergebnisse ergänzen eine wachsende Zahl von Beweisen dafür, dass gewöhnliche Netzwerk-Hardware ein wertvolles Ziel für staatlich unterstützte Spionage bleibt. In diesem Fall reichte die Kompromittierung eines Routers aus, um Angreifern eine Möglichkeit zu geben, den Datenverkehr zu beobachten, Benutzer umzuleiten und die Anmeldedaten zu sammeln, die benötigt werden, um sich in andere Konten einzuhacken.
Quellen:
Privat surfen mit Doppler VPN — keine Protokolle, Verbindung mit einem Tippen.