YouTube

Mobile App

Laden im App Store
Jetzt bei Google Play

Router als GRU-Waffe: Wie der russische Geheimdienst Heimnetzwerke in eine globale Spionageplattform verwandelte

Das SBU, das FBI und EU-Partner haben die Operation „Dying Ember" aufgedeckt — der GRU nutzte über tausend gehackte Router von Kleinunternehmen und Haushalten in mehr als einem Dutzend Ländern, darunter der Ukraine, um Anmeldedaten von Regierungs- und Militärstrukturen zu stehlen. Ein Gerät in der Ecke eines Büros könnte ein Spionageknoten Moskaus gewesen sein.

23
Aktie:
Ілюстративне фото: Unsplash

Schema: Fremdverbrechen als Werkzeug des GRU

Der Angriff begann nicht mit dem GRU. Zunächst infizierte normale Cyberkriminelle Ubiquiti EdgeOS-Router mit der schädlichen Software Moobot — durch banale Werkspasswörter, die die Besitzer einfach nicht geändert hatten. Danach kam die Militäreinheit 26165 des GRU, auch bekannt als APT28, Fancy Bear oder Forest Blizzard, ins Spiel: Die Hacker übernahmen bereits infizierte Geräte und integrierten eigene Skripte, um das Botnetz in eine globale Spionageplattform umzuwandeln.

Wie das US-Justizministerium erklärte, «nutzten GRU-Hacker Moobot, um ihre eigenen Skripte und Dateien zu installieren, die das Botnetz in eine globale Cyberspionage-Plattform umwandelten». Diese Methode ermöglichte es, die echten IP-Adressen der Operatoren zu verschleiern und schädlichen Datenverkehr über Router in Wohnhäusern und kleinen Büros umzuleiten.

Was wurde gestohlen und wo

Auf den kompromittierten Geräten entdeckte das FBI ein breites Arsenal von APT28-Tools: Python-Skripte zum Sammeln von Anmeldedaten für Webmail, Programme zum Abfangen von NTLMv2-Hashes und benutzerdefinierte Routing-Regeln, die Phishing-Verkehr auf spezielle Angriffs-Infrastruktur umleiteten.

Die Ziele waren Regierungen, Militärstrukturen und Konzerne in mindestens 11 Ländern: Tschechien, Italien, Litauen, Jordanien, Montenegro, Polen, Slowakei, Türkei, Ukraine, VAE und USA. Wie in einer gemeinsamen Radarwarnung des FBI, der NSA und des US Cyber Command vermerkt, dauerten die Angriffe mindestens seit 2022 an.

«Wir vertreiben den GRU aus über tausend privaten und Büro-Routern und schließen die Tür hinter ihnen zu — wir beenden den Zugriff des GRU auf das Botnetz, das sie für Cyberangriffe gegen Länder auf der ganzen Welt nutzten».

FBI-Direktor Christopher Wray, Münchner Sicherheitskonferenz, 15. Februar 2024

Operation Dying Ember: Wie das FBI in Ihren Router eindrang, um den GRU zu vertreiben

Im Rahmen der gerichtlich genehmigten Operation Dying Ember erlangten FBI-Agenten fernen Zugriff auf infizierte Geräte und nutzten Moobot selbst, um gestohlene Daten und schädliche Dateien zu löschen. Anschließend löschten sie Moobot selbst und blockierten die Fernzugriffkanäle. Die Operation wurde vom FBI, dem US-Justizministerium, Microsoft und der Shadowserver Foundation in Zusammenarbeit mit dem SBU und Strafverfolgungsbehörden aus Belgien, Brasilien, Frankreich, Deutschland, Lettland, Litauen, Norwegen, Polen, Südkorea und Großbritannien durchgeführt.

Ein kritischer Punkt: Ein Neustart des infizierten Routers entfernt die schädliche Software nicht. Nach FBI-Empfehlungen sollten Besitzer einen vollständigen Hardware-Reset auf Werkseinstellungen durchführen und die Firmware aktualisieren — die meisten haben dies noch nicht getan.

Zivilinfrastruktur als Schlachtfeld

Diese Operation ist nicht der erste ähnliche Fall. 2022 liquidierte das FBI nach der vollständigen russischen Invasion der Ukraine ein weiteres Botnetz einer anderen GRU-Abteilung — Sandworm (Operation Cyclops Blink). Das Muster wiederholt sich: Der GRU baut keine Infrastruktur von Grund auf auf, sondern schmarotzt auf bereits von kriminellen Hackern kompromittierten Geräten gewöhnlicher Menschen.

Forscher des Oxford Internet Institute beschreiben diese Taktik als «Verwischung der Grenze zwischen militärischer und ziviler Infrastruktur»: Der Staat nutzt kriminelle Werkzeuge, um sich unter Millionen legitimer Nutzer zu verstecken — und erschwert die Zuordnung von Angriffen auf justizieller oder diplomatischer Ebene.

  • Über 1.000 Router in mehr als 10 Ländern — bestätigter Umfang des Botnetzes bei seiner Liquidation
  • Ubiquiti EdgeOS — primäres Ziel: Geräte werden nicht automatisch aktualisiert und sind weit verbreitet in kleinen Unternehmen
  • Werkspasswort — der erste Einstiegspunkt in den meisten dokumentierten Fällen
  • APT28 aktiv seit 2007 — Angriffe auf Regierungen, Armeen und Konzerne weltweit

Falls der GRU dieses Schema erneut anwendet — und frühere Fälle zeigen, dass sie mit modifizierten Werkzeugen zurückkehren — ist die Frage, ob Router-Hersteller und Regulatoren es schaffen, Werkspasswortänderungen obligatorisch einzuführen, bevor die nächste Runde kommt: Solange Ubiquiti und ähnliche Marken nicht zu erzwungener Personalisierung der Einstellungen «ab Werk» übergehen, bleiben Millionen von Geräten offene Türen für die nächste Operation.

Weltnachrichten

1
Österreich spendete Bilogorodka ein Feuerwehrfahrzeug mit Drehleiter: Wie wird sich dies auf die Sicherheit der Gemeinde auswirken?

Österreich spendete Bilogorodka ein Feuerwehrfahrzeug mit Drehleiter: Wie wird sich dies auf die Sicherheit der Gemeinde auswirken?

2
Iran der Kapitulation einen Schritt näher, russische Flotte sinkt und erster Eurorail-Zug erreicht Uschhorod: Wochenrückblick

Iran der Kapitulation einen Schritt näher, russische Flotte sinkt und erster Eurorail-Zug erreicht Uschhorod: Wochenrückblick

3
ANKA: Der Weg von der Kindheit zur großen Bühne

ANKA: Der Weg von der Kindheit zur großen Bühne

4
Authentische Traditionen, lokale Unternehmen und Wohltätigkeit: Wie Swjatopetrivsk den Frühling begrüßte

Authentische Traditionen, lokale Unternehmen und Wohltätigkeit: Wie Swjatopetrivsk den Frühling begrüßte

5
The Elliens: Keine Regeln. Keine Angst. Voller Power

The Elliens: Keine Regeln. Keine Angst. Voller Power