MediaKojo MVP

Tag: Cybersicherheit

  • Russisches Militär kompromittiert tausende Router weltweit – Zugangsdaten im Visier

    Russisches Militär kompromittiert tausende Router weltweit – Zugangsdaten im Visier

    Eine mit dem russischen Militärgeheimdienst GRU in Verbindung gebrachte Hackergruppe hat Router in Privathaushalten und kleinen Büros in mindestens 120 Ländern kompromittiert – mit dem Ziel, Zugangsdaten abzugreifen und als unsichtbare Sprungbasis in Unternehmensnetzwerke einzudringen.

    Russisches Militär kompromittiert tausende Router weltweit – Zugangsdaten im Visier

    Angriffsmethode und Ausmaß

    Nach Informationen von Ars Technica nutzen die Angreifer bekannte Schwachstellen in Consumer-Routern, um DNS-Einstellungen zu manipulieren und Netzwerkverkehr umzuleiten. Durch diese sogenannte DNS-Hijacking-Technik lassen sich Login-Daten für Online-Dienste, VPNs und Unternehmensportale abfangen, ohne dass Nutzer davon Kenntnis erlangen.

    Die Kampagne richtet sich nicht ausschließlich gegen Regierungsstellen oder kritische Infrastruktur – die breite geografische Streuung über 120 Länder deutet auf eine opportunistische Vorgehensweise hin, bei der möglichst viele Zugangspunkte gesichert werden sollen.

    Verbindung zu staatlichen Akteuren

    Sicherheitsforscher ordnen die Aktivitäten einer Gruppe zu, die dem russischen Militärgeheimdienst GRU zugerechnet wird. Derartige Akteure setzen häufig auf kompromittierte Heimnetzwerke als Zwischenstufe – sogenannte Proxy-Infrastrukturen –, um die eigentliche Herkunft von Angriffen zu verschleiern.

    Indem legitime Consumer-Geräte als Relay-Punkte genutzt werden, erschwert sich die Attribution erheblich, und Blocking-Maßnahmen auf Basis von IP-Adressen verlieren an Wirksamkeit.

    End-of-Life-Hardware als strukturelles Risiko

    Ein zentrales Problem ist die weitverbreitete Nutzung veralteter Netzwerkhardware. Viele der betroffenen Router befinden sich offiziell am Ende ihres Support-Lebenszyklus – sie erhalten keine Patches mehr von den Herstellern.

    Für Unternehmen mit Remote-Work-Strukturen entsteht durch private Heimrouter ein kaum kontrollierbarer Angriffspfad direkt in sensible Unternehmensressourcen.

    In Privathaushalten und kleinen Büros werden solche Geräte häufig über Jahre hinaus betrieben, ohne dass ein Austausch stattfindet – ein strukturelles Risiko, das durch die zunehmende Verbreitung hybrider Arbeitsmodelle weiter wächst.

    Zugangsdaten als eigentliches Ziel

    Im Mittelpunkt dieser Kampagne stehen gestohlene Credentials. Gelangen Angreifer in den Besitz von VPN-Zugängen, Single-Sign-On-Tokens oder Passwörtern für Kollaborationsplattformen, können sie sich in einem zweiten Schritt lateral durch Unternehmensnetzwerke bewegen – auch wenn die initiale Kompromittierung über einen privaten Heimrouter erfolgte.

    Die Angriffskette beginnt also außerhalb des Unternehmensnetzwerks, endet aber potenziell innerhalb sensibler Systeme.

    Einordnung und Handlungsempfehlungen für deutsche Unternehmen

    Für Unternehmen in Deutschland, die hybride Arbeitsmodelle betreiben, unterstreicht dieser Vorfall eine oft unterschätzte Schwachstelle: die Netzwerksicherheit am Endpunkt der Mitarbeiter. IT-Abteilungen haben in der Regel keine direkte Kontrolle über Heimrouter.

    Sinnvolle Gegenmaßnahmen umfassen:

    • Unternehmens-VPNs mit Multi-Faktor-Authentifizierung verpflichtend einsetzen
    • Hardware-Anforderungen in Remote-Work-Richtlinien verankern und regelmäßig prüfen
    • Sensibilisierungsmaßnahmen einführen, die Mitarbeiter zum Austausch veralteter Netzwerkhardware anhalten
    • Anomalie-Erkennung für ungewöhnliche Login-Muster bei VPN- und Cloud-Zugängen priorisieren

    Angesichts der Aktivitäten staatlicher Angreifer sollten Sicherheitsverantwortliche die Erkennung kompromittierter Zugangsdaten als strategische Priorität behandeln – nicht als nachgelagerte Maßnahme.

    Quelle: Ars Technica – Russia’s military hacks thousands of consumer routers to steal credentials

  • Iranische Hackergruppen intensivieren Angriffe auf kritische Infrastruktur

    Iranische Hackergruppen intensivieren Angriffe auf kritische Infrastruktur

    Ich wähle eine neue, noch nicht verwendete ID:

    Iranische Cyberangriffe auf kritische Infrastruktur

    Staatlich gelenkte Hackergruppen aus dem Iran verschärfen ihre Angriffe auf Energie-, Wasser- und Kommunikationsinfrastruktur in westlichen Ländern. Was zunächst wie klassische Spionage aussah, entwickelt sich zunehmend zu einer ernsthaften Sabotage-Bedrohung – mit weitreichenden Konsequenzen auch für Deutschland.

    Iranische Hackergruppen intensivieren Angriffe auf kritische Infrastruktur

    Eskalation mit Methode

    Iranische Hackergruppen, darunter bekannte Akteure wie APT33 und Charming Kitten, haben ihre Aktivitäten gegen industrielle Steuerungssysteme und Operational Technology (OT) in den vergangenen Monaten spürbar ausgeweitet. Im Fokus stehen Sektoren, deren Ausfall unmittelbare gesellschaftliche Konsequenzen hätte: Stromversorgung, Wasseraufbereitung und Telekommunikation.

    Die Angriffsmuster deuten auf eine strategische Verschiebung hin – weg von reiner Spionage, hin zu Szenarien, die aktive Sabotage ermöglichen würden.

    Behörden wie die CISA (Cybersecurity and Infrastructure Security Agency) und das FBI haben bereits mehrfach gemeinsame Warnmeldungen herausgegeben. Darin beschreiben sie konkrete Taktiken, Techniken und Verfahren (TTPs), die iranische Gruppen einsetzen:

    • Spear-Phishing-Kampagnen gegen Mitarbeiter in Schlüsselpositionen
    • Ausnutzen ungepatchter Schwachstellen in Fernwartungssoftware
    • Living-off-the-Land-Techniken, um herkömmliche Sicherheitslösungen zu umgehen

    Industrielle Steuerungssysteme als bevorzugtes Ziel

    Besonders beunruhigend ist die zunehmende Kompetenz iranischer Akteure im Bereich industrieller Steuerungssysteme. Systeme wie SCADA und programmierbare Logikcontroller (PLCs) sind in vielen Anlagen schlecht gegen externe Zugriffe abgesichert – häufig, weil sie ursprünglich für isolierte Netzwerke konzipiert wurden und nun zunehmend mit dem Internet verbunden sind.

    In einigen dokumentierten Fällen gelangten Angreifer bis in operative Netzwerkebenen vor, ohne sofortige Gegenmaßnahmen auszulösen.

    Der geopolitische Kontext spielt dabei eine erhebliche Rolle: Verschärfte Sanktionen und regionale Spannungen im Nahen Osten haben dazu beigetragen, dass staatlich beauftragte Gruppen Cyberoperationen als kostengünstiges Mittel der Machtprojektion einsetzen – mit vergleichsweise niedrigem Eskalationsrisiko gegenüber konventionellen militärischen Mitteln.

    Keine rein amerikanische Bedrohungslage

    Auch wenn aktuelle Berichte primär auf US-amerikanische Ziele fokussiert sind, wäre es ein Fehler, die Lage als geographisch begrenzt einzustufen. Europäische Industrieanlagen – insbesondere in Deutschland – zählen ebenfalls zu potenziellen Zielgruppen: sei es als direkte Angriffsziele oder als Einstiegspunkte über international vernetzte Lieferketten.

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinen jüngsten Lageberichten wiederholt auf die wachsende Bedrohung kritischer Infrastruktur durch staatliche Akteure hingewiesen.

    Einordnung und Handlungsbedarf für deutsche Unternehmen

    Für Unternehmen in Deutschland mit Bezug zu kritischer Infrastruktur – etwa Energieversorger, Wasserwerke, Logistikdienstleister oder Zulieferer öffentlicher Stellen – ergibt sich konkreter Handlungsbedarf. Grundlegende Maßnahmen umfassen:

    • Segmentierung von IT- und OT-Netzwerken
    • Regelmäßige Penetrationstests auch in industriellen Umgebungen
    • Strukturiertes Patch-Management für alle vernetzten Systeme

    Unternehmen, die unter den KRITIS-Regulierungsrahmen fallen, sollten zudem prüfen, ob ihre Meldepflichten und Notfallpläne dem aktuellen Stand der Technik entsprechen. Angesichts des veränderten Bedrohungsbildes sind diese Maßnahmen keine optionale Aufgabe mehr.

    Quelle: CNET News – Iranian Hackers Escalate Attacks on US Critical Infrastructure