Digital Life

USA warnen: Private Router im Visier von Russland

Bereits im April lösten Angriffe von russischen Hackern auf Router des chinesischen Herstellers TP-Link weltweit Warnungen von Sicherheitsbehörden aus. Hinter dem Angriff steckt die Hackergruppe APT28 („Fancy Bear“), die im Namen des russischen Militärgeheimdienstes GRU Router infiltriert hatte. 

Am Montag veröffentlichte die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) erneut eine Warnung, laut der russische Hackergruppen wieder verstärkt Router angreifen. Der Warnung der US-Cybersecurity-Einheit schlossen sich auch die Sicherheitsbehörden zahlreicher europäischer Staaten an, darunter Italien, Frankreich, die Tschechische Republik und Polen.

➤ Mehr lesen: Russischer Router-Hack: Was Experten empfehlen

Russischer Inlandsgeheimdienst

Derartige Angriffe finden seit Jahren statt: Russische Hacker infiltrieren unzureichend geschützte Router, um diese unbemerkt als Werkzeug für ihre Operationen zu missbrauchen. „Cyberakteure des russischen Föderalen Sicherheitsdienstes (FSB), Zentrum 16, nutzen weiterhin weltweit schlecht konfigurierte und verwundbare Netzwerkgeräte aus und kompromittieren dabei opportunistisch Netzwerke mehrerer kritischer Infrastruktursektoren“, erklärte die CISA. Dieses Mal sollen die Hackergruppen Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard und Static Tundra hinter den Angriffen stecken. Hinter all diesen Gruppen soll FSB Center 16 stehen, der russische Inlandsgeheimdienst.

Die derzeitigen Router-Angriffe sollen auf Kommunikationsdienste, die Verteidigungsindustrie, die Energieversorgung, Finanzdienste, Behörden und Gesundheitseinrichtungen abzielen. Die angegriffenen Router dienen den Hackern als Deckung: Haben die Hacker erst die Kontrolle über einen Router erlangt, nutzen sie diesen für weitere Angriffe, etwa zu Spionagezwecken

„Gekaperte Heimrouter dienen vor allem als Tarninfrastruktur: Angriffe auf Behörden, Banken oder Telekom-Anbieter werden über tausende Privatrouter umgeleitet und sehen dann aus, als kämen sie von harmlosen Haushaltsanschlüssen“, sagt der IT-Sicherheitsforscher Sebastian Schrittwieser. Das erschwert Erkennung, Blockade und Zuordnung enorm.

„Im April wurde eine konkrete Software-Schwachstelle ausgenutzt. Diesmal brauchen die Angreifer gar keine Sicherheitslücke, sie nutzen schlicht schlecht konfigurierte Geräte mit schwachen oder werksseitigen Zugangsdaten aus“, meint Schrittwieser. 

Sie durchsuchen das Internet zunächst nach Routern, die das Verwaltungsprotokoll SNMP nutzen und deren Passwörter und Zugangsdaten leicht zu erraten sind. „SNMP ist ein Protokoll zur Fernverwaltung von Netzwerkgeräten. Die alten Versionen 1 und 2 übertragen alles unverschlüsselt und sind nur durch ein einfaches Kennwort geschützt, das auf vielen Geräten noch auf der Werkseinstellung steht“, erklärt der Sicherheitsexperte. 

„Antwortet eines, lassen sie es per SNMP-Befehl seine Konfigurationsdatei an einen eigenen Server schicken. Darin stehen Passwörter, mit denen sie dann vollen Zugriff erhalten und sich dauerhaft einnisten können.“ Wenn diese Strategie nicht funktioniert, nutzen sie eine bekannte Sicherheitslücke von Cisco-Routern.

Österreich ist nicht betroffen

Österreich hat sich der aktuellen Warnung bislang nicht angeschlossen. Zuständig für die Entfernung von durch Hacker kompromittierten Routern ist in Österreich die Direktion Staatsschutz und Nachrichtendienst (DSN). „Unzureichend gesicherte Router werden in Österreich in unregelmäßigen Abständen von staatlichen sowie kriminellen Cyberakteuren infiltriert und missbraucht. Diese Geräte werden für Verschleierungszwecke im Rahmen von Cyberoperationen verwendet“, erklärte die DSN der futurezone im April

„Im aktuellen Fall bestehen keine Verbindungen zu Österreich. Allgemein gibt es in Österreich nichtsdestotrotz kompromittierte Edge Devices, bei denen die nationalen Sicherheitsbehörden bzw. CERT.at die Betroffenen kontaktiert hat, um auf die Kompromittierung hinzuweisen und um fremden Bedrohungsakteuren die Angriffsfläche zu vermindern“, teilt die DSN der futurezone zum aktuellen Fall mit. 

Schutzmaßnahmen

Die CISA und die anderen Behörden, die vor den Router-Angriffen warnen, empfehlen verstärkte Schutzmaßnahmen. Man sollte etwa die SNMP-Versionen 1 und Version 2 deaktivieren, weil diese keine Passwörter verschlüsseln. Stattdessen wird die Umstellung auf SNMP Version 3 empfohlen. Noch besser sei es, das Verwaltungsprotokoll SNMP zur Gänze zu deaktivieren, wenn man es nicht für einen bestimmten Zweck unbedingt braucht. Zum Schutz des eigenen Routers sei zudem das Deaktivieren von Cisco Smart Install auf allen Geräten zu empfehlen. 

„Die SNMP-Empfehlung richtet sich vor allem an Unternehmen und Netzbetreiber. Auf typischen Heimroutern ist SNMP in der Regel gar nicht aus dem Internet erreichbar“, sagt Schrittwieser. „Privatpersonen müssen hier meist nichts umstellen. Wichtiger und für alle machbar: Das werksseitige Router-Passwort ändern, automatische Firmware-Updates aktivieren, den Fernzugriff auf die Router-Verwaltung deaktivieren und sehr alte Geräte ohne Updates austauschen.“

„Die DSN schließt sich den im CISA Advisory erwähnten Sicherheitsempfehlungen an“, sagt die Behörde. „Über das Internet direkt anzusprechende Geräte benötigen eine erhöhte Aufmerksamkeit, für welche die Besitzerinnen und Besitzer verantwortlich sind. Des Weiteren ist es erforderlich Geräte auszutauschen, die aufgrund fehlender Wartung durch den Hersteller keine Updates mehr bekommen (End-of-Life-Geräte).“ Würde die Behörde einen Router identifizieren, bei dem eine Kontrollübernahme durch russische Hacker vermutet wird, tritt die DSN direkt in Kontakt mit den Besitzerinnen und Besitzern der gehackten Geräte. „In den vergangenen Jahren nahm die DSN mehrmals Kontakt mit Besitzerinnen und Besitzern kompromittierter Geräte auf – mit dem Ziel der Systembereinigung“, sagte die Behörde im April.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Jana Unterrainer

Interessiert sich nicht nur dafür, was Technologie kann, sondern auch was sie mit uns macht. Sie schreibt am liebsten über KI, Digitale Trends und Wissenschaft.

mehr lesen