Eine mit dem russischen Militärgeheimdienst GRU in Verbindung gebrachte Hackergruppe hat Router in Privathaushalten und kleinen Büros in mindestens 120 Ländern kompromittiert – mit dem Ziel, Zugangsdaten abzugreifen und als unsichtbare Sprungbasis in Unternehmensnetzwerke einzudringen.
Russisches Militär kompromittiert tausende Router weltweit – Zugangsdaten im Visier
Angriffsmethode und Ausmaß
Nach Informationen von Ars Technica nutzen die Angreifer bekannte Schwachstellen in Consumer-Routern, um DNS-Einstellungen zu manipulieren und Netzwerkverkehr umzuleiten. Durch diese sogenannte DNS-Hijacking-Technik lassen sich Login-Daten für Online-Dienste, VPNs und Unternehmensportale abfangen, ohne dass Nutzer davon Kenntnis erlangen.
Die Kampagne richtet sich nicht ausschließlich gegen Regierungsstellen oder kritische Infrastruktur – die breite geografische Streuung über 120 Länder deutet auf eine opportunistische Vorgehensweise hin, bei der möglichst viele Zugangspunkte gesichert werden sollen.
Verbindung zu staatlichen Akteuren
Sicherheitsforscher ordnen die Aktivitäten einer Gruppe zu, die dem russischen Militärgeheimdienst GRU zugerechnet wird. Derartige Akteure setzen häufig auf kompromittierte Heimnetzwerke als Zwischenstufe – sogenannte Proxy-Infrastrukturen –, um die eigentliche Herkunft von Angriffen zu verschleiern.
Indem legitime Consumer-Geräte als Relay-Punkte genutzt werden, erschwert sich die Attribution erheblich, und Blocking-Maßnahmen auf Basis von IP-Adressen verlieren an Wirksamkeit.
End-of-Life-Hardware als strukturelles Risiko
Ein zentrales Problem ist die weitverbreitete Nutzung veralteter Netzwerkhardware. Viele der betroffenen Router befinden sich offiziell am Ende ihres Support-Lebenszyklus – sie erhalten keine Patches mehr von den Herstellern.
Für Unternehmen mit Remote-Work-Strukturen entsteht durch private Heimrouter ein kaum kontrollierbarer Angriffspfad direkt in sensible Unternehmensressourcen.
In Privathaushalten und kleinen Büros werden solche Geräte häufig über Jahre hinaus betrieben, ohne dass ein Austausch stattfindet – ein strukturelles Risiko, das durch die zunehmende Verbreitung hybrider Arbeitsmodelle weiter wächst.
Zugangsdaten als eigentliches Ziel
Im Mittelpunkt dieser Kampagne stehen gestohlene Credentials. Gelangen Angreifer in den Besitz von VPN-Zugängen, Single-Sign-On-Tokens oder Passwörtern für Kollaborationsplattformen, können sie sich in einem zweiten Schritt lateral durch Unternehmensnetzwerke bewegen – auch wenn die initiale Kompromittierung über einen privaten Heimrouter erfolgte.
Die Angriffskette beginnt also außerhalb des Unternehmensnetzwerks, endet aber potenziell innerhalb sensibler Systeme.
Einordnung und Handlungsempfehlungen für deutsche Unternehmen
Für Unternehmen in Deutschland, die hybride Arbeitsmodelle betreiben, unterstreicht dieser Vorfall eine oft unterschätzte Schwachstelle: die Netzwerksicherheit am Endpunkt der Mitarbeiter. IT-Abteilungen haben in der Regel keine direkte Kontrolle über Heimrouter.
Sinnvolle Gegenmaßnahmen umfassen:
- Unternehmens-VPNs mit Multi-Faktor-Authentifizierung verpflichtend einsetzen
- Hardware-Anforderungen in Remote-Work-Richtlinien verankern und regelmäßig prüfen
- Sensibilisierungsmaßnahmen einführen, die Mitarbeiter zum Austausch veralteter Netzwerkhardware anhalten
- Anomalie-Erkennung für ungewöhnliche Login-Muster bei VPN- und Cloud-Zugängen priorisieren
Angesichts der Aktivitäten staatlicher Angreifer sollten Sicherheitsverantwortliche die Erkennung kompromittierter Zugangsdaten als strategische Priorität behandeln – nicht als nachgelagerte Maßnahme.
Quelle: Ars Technica – Russia’s military hacks thousands of consumer routers to steal credentials
Leave a Reply