Seit Anfang 2024 warnen Sicherheitsbehörden verstärkt vor einer neuen Angriffswelle auf Heim- und Bürorouter. Im Zentrum der aktuellen Warnungen stehen Geräte des chinesischen Herstellers TP-Link, die von der russischen Hackergruppe APT28 – auch bekannt als Fancy Bear – systematisch angegriffen und kompromittiert werden. Wie das britische National Cyber Security Centre (NCSC) am Dienstag mitteilte, überschreiben die Angreifer die Netzwerkeinstellungen der Router und leiten den Internetverkehr unbemerkt über Server unter ihrer Kontrolle. Ihr Ziel: das Abgreifen von Passwörtern und Authentifizierungstokens, insbesondere für Microsoft Outlook-Konten.
Die APT28-Gruppe wird dem russischen Militärgeheimdienst GRU zugeordnet und ist für mehrere groß angelegte Cyberangriffe in der Vergangenheit bekannt, unter anderem auf den Deutschen Bundestag im Jahr 2015. Die aktuelle Offensive, so die Einschätzung der britischen Experten, erfolgt opportunistisch: Die Hacker durchforsten massenhaft das Internet nach verwundbaren Geräten und wählen anschließend gezielt Opfer aus, die von nachrichtendienstlichem Interesse sind (Tom’s Hardware).
So funktioniert die Router-Kompromittierung
Nach Angaben des NCSC nutzen die Angreifer Schwachstellen in den Routern, um ohne Authentifizierung Zugang zu deren Verwaltungsoberfläche zu erhalten. Besonders betroffen ist das Modell TP-Link WR841N, bei dem ein bekanntes Sicherheitsleck (CVE-2023-50224) ausgenutzt wird. Nach erfolgreichem Zugriff ändern die Hacker die DNS-Einstellungen des Routers. Dadurch werden zukünftige Anfragen aller Geräte im Heimnetzwerk automatisch an DNS-Server der Angreifer weitergeleitet.
Insbesondere für Dienste wie Outlook ist diese Umleitung fatal: Versucht ein Nutzer, sich etwa bei outlook.live.com oder outlook.office.com anzumelden, landet die Anfrage zunächst auf einer gefälschten Login-Seite. Die Angreifer sind dann in der Lage, Zugangsdaten und Sitzungstokens abzufangen – sowohl aus Webbrowsern als auch aus Desktop-Anwendungen. Anfragen zu anderen, nicht im Fokus stehenden Domains, werden weiterhin regulär weitergeleitet, wodurch der Angriff lange unbemerkt bleibt.
Die Liste der betroffenen TP-Link-Geräte ist lang: Neben dem WR841N werden unter anderem die Modelle Archer C5 und C7, WDR3500, WDR3600, WDR4300, WR1043ND, MR3420, MR6400 sowie mehrere Varianten der Serien WR740N, WR840N, WR841N, WR842N, WR845N und WR941ND genannt. Laut NCSC werden auch Router anderer Hersteller, wie beispielsweise MikroTik, in ähnlicher Weise kompromittiert. Besonders häufig werden dabei Geräte genutzt, die veraltet oder nicht regelmäßig mit Sicherheitsupdates versorgt werden (PCMag).
Empfohlene Schutzmaßnahmen und Ausblick
Die britischen Behörden empfehlen Besitzern betroffener Router, die Firmware ihrer Geräte regelmäßig zu aktualisieren und die Zugangsdaten zu ändern. Die Verwaltungsoberfläche von Routern sollte niemals aus dem Internet erreichbar sein. Darüber hinaus raten Experten dringend dazu, für alle sensiblen Online-Dienste – wie E-Mail-Konten – die Zwei-Faktor-Authentifizierung zu aktivieren.
Die groß angelegte Kampagne der russischen Gruppe zeigt, wie verwundbar viele Heimnetzwerke sind. Gerade ältere Router, die nicht mehr mit Updates versorgt werden, bieten Angreifern ein leichtes Ziel. Neben dem Diebstahl von Zugangsdaten besteht auch die Gefahr, dass kompromittierte Router als Sprungbrett für weitere Angriffe auf interne Netzwerke genutzt werden. Organisationen und Privatanwender sollten sich der Risiken bewusst sein und ihre Netzwerkinfrastruktur regelmäßig überprüfen (TechRadar).
Abschließend bleibt festzuhalten: Der aktuelle Fall verdeutlicht einmal mehr, wie wichtig Sicherheitsbewusstsein im digitalen Alltag ist. Die Angriffe auf TP-Link-Router werden die Debatte um Standards und den Lebenszyklus von Heimnetzgeräten weiter befeuern. Es ist zu erwarten, dass sowohl Hersteller als auch Nutzer künftig mehr Verantwortung übernehmen müssen, um derartige Bedrohungen einzudämmen.
