Cybersicherheit

FBI unterbricht russisches GRU-DNS-Hijacking-Routernetzwerk

8. April 20264 Min. Lesezeit

FBI und DOJ zerschlagen Routernetzwerk des russischen Militärgeheimdienstes

Das US-Justizministerium und das FBI gaben am 7. April 2026 bekannt, dass sie eine gerichtlich genehmigte Operation abgeschlossen hatten, um ein Netzwerk kompromittierter Router zu zerschlagen, das von einer Einheit innerhalb des russischen Hauptnachrichtendienstes, besser bekannt als GRU, genutzt wurde. Die Operation richtete sich gegen Tausende von Routern für kleine Büros und Heimanwendungen (SOHO-Router), die heimlich gekapert worden waren, um DNS-Hijacking-Angriffe gegen Einzelpersonen und Organisationen in den Bereichen Militär, Regierung und kritische Infrastruktur durchzuführen.

Das Ausmaß und die Methode der Operation geben einen klaren Einblick darin, wie staatlich geförderte Akteure übersehene Verbraucherhardware ausnutzen, um ausgefeilte Geheimdienstkampagnen durchzuführen.

Wie der DNS-Hijacking-Angriff funktionierte

Die GRU-Einheit nutzte bekannte Schwachstellen in TP-Link-Routern aus, einer Marke, die weltweit häufig in Privathaushalten und kleinen Unternehmen zu finden ist. Sobald die Angreifer in ein Gerät eingedrungen waren, manipulierten sie dessen DNS-Einstellungen. DNS, oder Domain Name System, ist der Prozess, der eine Website-Adresse wie „beispiel.de" in die numerische IP-Adresse übersetzt, die Computer für die Verbindung verwenden. Es funktioniert im Wesentlichen wie das Adressbuch des Internets.

Durch die Änderung der DNS-Einstellungen auf kompromittierten Routern war der GRU in der Lage, den Datenverkehr über von ihm kontrollierte Server umzuleiten, ohne dass der Gerätebesitzer dies jemals bemerkte. Diese Technik ist als Actor-in-the-Middle-Angriff bekannt. Wenn Opfer versuchten, legitime Websites zu besuchen oder sich in ihre Konten einzuloggen, wurden ihre Anfragen unbemerkt umgeleitet. Da ein Großteil dieses Datenverkehrs unverschlüsselt war, konnten die Angreifer Passwörter, Authentifizierungstoken und E-Mail-Inhalte im Klartext abfangen.

Die Opfer taten dabei nicht notwendigerweise etwas falsch. Sie nutzten ihre normalen Router und besuchten normale Websites. Der Angriff fand auf der Infrastrukturebene statt, unterhalb der Sichtbarkeit der meisten Benutzer und sogar vieler IT-Teams.

Warum SOHO-Router ein dauerhaftes Angriffsziel sind

Small-Office- und Home-Office-Router sind aus mehreren Gründen zu einem bevorzugten Einfallstor für anspruchsvolle Bedrohungsakteure geworden. Sie sind zahlreich vorhanden, werden oft schlecht gewartet und selten überwacht. Firmware-Updates für Consumer-Router sind selten, und viele Benutzer ändern nach der Ersteinrichtung weder die Standardanmeldedaten noch überprüfen sie die Geräteeinstellungen.

Es ist nicht das erste Mal, dass das FBI eingreifen musste, um kompromittierte Routernetzwerke zu bereinigen. Ähnliche Operationen hatten in den vergangenen Jahren Botnet-Infrastrukturen ins Visier genommen, die Hardware verschiedener Hersteller umfassten. Die Beständigkeit dieses Angriffsvektors spiegelt ein strukturelles Problem wider: Router befinden sich an der Grenze jedes Netzwerks, erhalten jedoch weit weniger Sicherheitsaufmerksamkeit als die Geräte dahinter.

Die gerichtlich genehmigte Operation des Justizministeriums umfasste die Fernmodifikation der kompromittierten Router, um den GRU-Zugang zu unterbrechen und schädliche Konfigurationen zu entfernen. Diese Art von Eingriff ist selten und erfordert eine richterliche Genehmigung, was zeigt, wie ernst die US-Behörden die Bedrohung einschätzten.

Was das für Sie bedeutet

Wenn Sie zu Hause oder in einem kleinen Büro einen Consumer-Router verwenden, ist diese Operation ein unmissverständliches Signal, dass Ihre Hardware ohne Ihr Wissen oder Ihre Beteiligung Teil einer Geheimdienstoperation werden kann. Der Angriff erforderte nicht, dass die Opfer auf einen schädlichen Link klickten oder etwas herunterluden. Es war lediglich erforderlich, dass ihr Router eine anfällige Firmware ausführte und ihr Internetverkehr unverschlüsselt darüber floss.

Als Reaktion auf diese Nachrichten sind konkrete Maßnahmen empfehlenswert.

Überprüfen Sie zunächst, ob für Ihren Router Firmware-Updates verfügbar sind, und installieren Sie diese. Router-Hersteller beheben regelmäßig bekannte Schwachstellen, aber diese Patches sind nur nützlich, wenn sie auch installiert werden. Viele Router ermöglichen die Aktivierung automatischer Updates über ihre Einstellungsoberfläche.

Ändern Sie zweitens die Standard-Anmeldedaten Ihres Routers. Eine große Anzahl kompromittierter Geräte bei Operationen wie dieser wird mithilfe von werkseitigen Standard-Benutzernamen und -Passwörtern zugänglich gemacht, die öffentlich dokumentiert sind.

Überlegen Sie drittens, wie Ihr Internetverkehr aussieht, wenn er Ihren Router verlässt. Unverschlüsselter Datenverkehr – ob HTTP-Verbindungen, bestimmte E-Mail-Protokolle oder bestimmte App-Kommunikationen – kann gelesen werden, wenn Ihr DNS umgeleitet wird. Die Verwendung verschlüsselter DNS-Protokolle wie DNS-over-HTTPS (DoH) oder DNS-over-TLS (DoT) stellt sicher, dass Ihre DNS-Abfragen selbst nicht von einem kompromittierten Router oder einem Server, über den er den Datenverkehr leitet, abgefangen oder manipuliert werden können.

Viertens kann ein VPN eine zusätzliche Schutzschicht bieten, indem es den Datenverkehr zwischen Ihrem Gerät und einem vertrauenswürdigen Server verschlüsselt, bevor er überhaupt Ihren Router oder Ihren Internetdienstanbieter erreicht. Das bedeutet, dass selbst wenn der DNS Ihres Routers manipuliert wurde, der Inhalt Ihres Datenverkehrs für jeden, der zwischen Ihnen und Ihrem Ziel positioniert ist, unlesbar bleibt.

Keine dieser Maßnahmen ist komplex oder kostspielig, aber die GRU-Operation zeigt deutlich, dass unverschlüsselter Datenverkehr und ungepatchte Hardware ein reales Risiko für echte Menschen darstellen – und nicht nur ein abstraktes.

Der Eingriff des FBI hat dieses spezielle Netzwerk zerschlagen, aber die zugrundeliegenden Schwachstellen in Consumer-Router-Hardware bleiben bestehen. Informiert zu bleiben und grundlegende Schutzmaßnahmen zu ergreifen, ist die praktischste Reaktion auf eine Angriffsfläche, die so schnell nicht verschwinden wird.

// FAQ

Welche Router waren Ziel der DNS-Hijacking-Operation des GRU?

Die GRU-Einheit nutzte bekannte Schwachstellen speziell in TP-Link-Routern aus, einer Marke, die weltweit häufig in Privathaushalten und kleinen Unternehmen zu finden ist.

Was ist ein Actor-in-the-Middle-Angriff?

Ein Actor-in-the-Middle-Angriff ist eine Technik, bei der Angreifer den Internetverkehr der Opfer ohne Wissen des Gerätebesitzers über von ihnen kontrollierte Server umleiten und so unverschlüsselte Daten wie Passwörter und E-Mail-Inhalte abfangen können.

Wer waren die Ziele der DNS-Hijacking-Angriffe?

Die Angriffe richteten sich gegen Einzelpersonen und Organisationen in den Bereichen Militär, Regierung und kritische Infrastruktur.

Wie haben FBI und DOJ das Routernetzwerk des GRU zerschlagen?

Das Justizministerium führte eine gerichtlich genehmigte Operation durch, bei der die kompromittierten Router aus der Ferne modifiziert wurden, um den GRU-Zugang zu unterbrechen und schädliche Konfigurationen zu entfernen.

Warum gelten SOHO-Router als attraktives Ziel für Bedrohungsakteure?

SOHO-Router sind zahlreich vorhanden, werden selten überwacht und oft schlecht gewartet, mit unregelmäßigen Firmware-Updates, und viele Benutzer ändern nach der Ersteinrichtung nie ihre Standardanmeldedaten.

FBI und DOJ zerschlagen Routernetzwerk des russischen Militärgeheimdienstes

Wie der DNS-Hijacking-Angriff funktionierte

Warum SOHO-Router ein dauerhaftes Angriffsziel sind

Was das für Sie bedeutet

// FAQ

// Verwandt