APT28 startet globale DNS-Hijacking-Kampagne

Die mit dem russischen Staat verbundene Hackergruppe APT28, auch bekannt als Forest Blizzard, hat eine neue Cyberangriffskampagne gestartet. Diese Kampagne zielt auf unsichere MikroTik- und TP-Link-Router ab und hat deren Einstellungen manipuliert, um sie in eine bösartige Infrastruktur zu verwandeln. Die Aktivitäten wurden seit mindestens Mai 2025 dokumentiert und sind Teil einer umfassenden Cyber-Spionage-Operation. Die Angriffe nutzen Schwachstellen in den Routern aus, um die DNS-Einstellungen zu ändern. Dadurch können die Angreifer den Internetverkehr umleiten und sensible Daten abfangen.

Diese Technik wird als DNS-Hijacking bezeichnet und ermöglicht es den Angreifern, Benutzer auf gefälschte Websites zu leiten, die zur Datensammlung oder zur Verbreitung von Malware dienen. Die Sicherheitsforscher haben festgestellt, dass die Angriffe auf eine Vielzahl von Geräten abzielen, die in Haushalten und kleinen Büros weit verbreitet sind. MikroTik und TP-Link sind zwei der am häufigsten verwendeten Marken in diesem Segment. Die Schwachstellen in diesen Geräten sind besonders besorgniserregend, da sie oft nicht ausreichend gesichert sind und viele Benutzer die Standardpasswörter nicht ändern. Die Kampagne von APT28 ist nicht die erste ihrer Art, jedoch ist die aktuelle Ausweitung der Angriffe auf SOHO-Router (Small Office/Home Office) bemerkenswert.

Sicherheitsanalysen zeigen, dass solche Geräte häufig übersehen werden, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Die Angreifer nutzen diese Schwachstellen, um ein Netzwerk von kompromittierten Geräten aufzubauen, das für weitere Angriffe verwendet werden kann. Die Entdeckung dieser Kampagne hat zu einer erhöhten Alarmbereitschaft unter IT-Sicherheitsexperten geführt. Unternehmen und Privatpersonen werden dringend aufgefordert, ihre Router zu überprüfen und sicherzustellen, dass sie mit den neuesten Firmware-Updates ausgestattet sind. Viele Hersteller haben bereits Patches veröffentlicht, um die identifizierten Schwachstellen zu beheben.

Zusätzlich zu den technischen Maßnahmen ist es wichtig, dass Benutzer ihre Zugangsdaten regelmäßig ändern und starke Passwörter verwenden. Die Verwendung von Standardpasswörtern ist eine der häufigsten Ursachen für Sicherheitsvorfälle in SOHO-Umgebungen. Experten empfehlen, Passwörter zu verwenden, die aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen bestehen. Die Auswirkungen dieser Angriffe könnten weitreichend sein, insbesondere wenn sie nicht schnell genug eingedämmt werden. Die Möglichkeit, dass persönliche Daten und Unternehmensinformationen abgefangen werden, stellt ein erhebliches Risiko dar.

Sicherheitsforscher warnen, dass die Angreifer möglicherweise auch versuchen könnten, weitere Schwachstellen in anderen Geräten auszunutzen, um ihre Kontrolle über Netzwerke zu erweitern. Die Kampagne von APT28 ist ein Beispiel für die zunehmende Komplexität und Raffinesse moderner Cyberangriffe. Die Gruppe hat sich in der Vergangenheit durch ihre Fähigkeit ausgezeichnet, gezielte Angriffe auf Regierungs- und Unternehmensnetzwerke durchzuführen. Die aktuelle Strategie, SOHO-Router zu kompromittieren, könnte darauf hindeuten, dass die Gruppe ihre Taktiken an die sich verändernde Bedrohungslandschaft anpasst. Die Sicherheitslücke, die in dieser Kampagne ausgenutzt wird, ist noch nicht vollständig identifiziert, aber Experten arbeiten daran, die genauen Techniken und Taktiken zu analysieren, die von APT28 verwendet werden.

Die Bedrohung durch solche Gruppen bleibt hoch, und die Notwendigkeit für robuste Sicherheitsmaßnahmen ist dringender denn je. Die Kampagne von APT28 hat bereits zu einer Vielzahl von Sicherheitswarnungen weltweit geführt. Die betroffenen Unternehmen und Benutzer werden aufgefordert, wachsam zu bleiben und ihre Systeme regelmäßig auf Anzeichen von Kompromittierung zu überprüfen. Sicherheitsanalysen zeigen, dass die Gruppe in der Lage ist, ihre Angriffe schnell zu skalieren und anzupassen, was die Reaktion auf solche Bedrohungen erschwert. Die Sicherheitsbehörden in mehreren Ländern haben bereits Maßnahmen ergriffen, um die Auswirkungen dieser Angriffe zu minimieren.

Zusammenarbeit zwischen den verschiedenen Sicherheitsorganisationen wird als entscheidend angesehen, um die Bedrohung durch APT28 und ähnliche Gruppen zu bekämpfen. Die internationale Gemeinschaft ist gefordert, um die Cyber-Sicherheit zu stärken und die Infrastruktur gegen solche Angriffe zu schützen. Die Kampagne von APT28 verdeutlicht die anhaltende Bedrohung durch staatlich unterstützte Hackergruppen. Die Notwendigkeit für Unternehmen und Einzelpersonen, sich proaktiv mit Cyber-Sicherheitsmaßnahmen auseinanderzusetzen, ist unerlässlich. Laut aktuellen Schätzungen sind weltweit über 1,5 Millionen MikroTik- und TP-Link-Router potenziell anfällig für diese Art von Angriffen.