VPN & Verschlüsselung

Russische Hacker kapern DNS-Einstellungen von Heimroutern

8. April 20264 Min. Lesezeit

Russische Militärhacker nehmen Heim- und Bürorouter ins Visier

Eine ausgeklügelte DNS-Hijacking-Kampagne, die mit dem russischen Militär in Verbindung gebracht wird, hat laut neuen Berichten von Cybersicherheitsforschern mehr als 5.000 Verbrauchergeräte und über 200 Organisationen kompromittiert. Der hinter den Angriffen stehende Bedrohungsakteur, bekannt als Forest Blizzard (auch als APT28 oder Strontium geführt), hat Verbindungen zum russischen Militärgeheimdienst und ist seit Jahren an hochkarätigen Einbrüchen beteiligt.

Die Angriffsmethode ist simpel, aber äußerst wirkungsvoll. Anstatt einzelne Computer oder Telefone direkt anzugreifen, modifiziert die Gruppe die DNS-Einstellungen von Heim- und Kleinbüroreoutern. Sobald ein Router kompromittiert ist, wird jedes damit verbundene Gerät – Laptops, Telefone, Smart-TVs, Arbeitscomputer – zu einem potenziellen Angriffsziel.

Wie DNS-Hijacking tatsächlich funktioniert

DNS, oder Domain Name System, wird manchmal als das Telefonbuch des Internets bezeichnet. Wenn Sie eine Websiteadresse in Ihren Browser eingeben, fragt Ihr Gerät einen DNS-Server ab, um die numerische IP-Adresse zu ermitteln, die für die Verbindung benötigt wird. Unter normalen Umständen wird diese Anfrage an einen vertrauenswürdigen DNS-Server gesendet, häufig an einen, der von Ihrem Internetdienstanbieter bereitgestellt wird.

Wenn Angreifer die DNS-Konfiguration eines Routers verändern, leiten sie diese Anfragen auf Server um, die sie selbst kontrollieren. Von dort aus können sie genau sehen, welche Websites Sie besuchen möchten, und in einigen Fällen den tatsächlichen Datenverkehr abfangen. Die Forscher stellten fest, dass Forest Blizzard mit dieser Methode Klartextdaten, darunter E-Mails und Anmeldedaten, von Geräten erfassen konnte, die mit den kompromittierten Routern verbunden waren.

Dies ist besonders besorgniserregend, da viele Nutzer davon ausgehen, dass ihre Kommunikation allein dadurch geschützt ist, dass sie HTTPS-Websites oder verschlüsselte E-Mail-Dienste verwenden. Doch wenn DNS auf Router-Ebene gekapert wird, erhalten Angreifer Einblick in Datenverkehrsströme und können unter bestimmten Umständen diesen Schutz aushebeln.

Wer ist Forest Blizzard?

Forest Blizzard, auch unter den Bezeichnungen APT28 und Strontium bekannt, wird weithin dem russischen militärischen Geheimdienst GRU zugeschrieben. Die Gruppe wurde mit Angriffen auf Regierungsbehörden, Rüstungsunternehmen, politische Organisationen und kritische Infrastrukturen in Europa und Nordamerika in Verbindung gebracht.

Diese Kampagne stellt eine taktische Verlagerung hin zu Verbraucherinfrastruktur dar. Heim- und Kleinbürorouter werden aus Sicherheitsperspektive häufig vernachlässigt. Sie erhalten selten Firmware-Updates, laufen oft mit Standardanmeldedaten und werden in der Regel nicht von IT-Sicherheitsteams überwacht. Das macht sie zu attraktiven Einfallstoren für eine Gruppe, die Kommunikation im großen Maßstab abfangen möchte.

Die Kompromittierung von Routern ermöglicht es Angreifern außerdem, dauerhaften Zugriff zu behalten. Selbst wenn Schadsoftware von einem einzelnen Gerät entfernt wird, leitet ein kompromittierter Router den Datenverkehr weiterhin um, bis der Router selbst bereinigt und neu konfiguriert wird.

Was das für Sie bedeutet

Wenn Sie einen herkömmlichen Heim- oder Kleinbürorouter verwenden, ist diese Kampagne unmittelbar relevant für Sie – auch wenn Sie kein Regierungsmitarbeiter oder ein wahrscheinliches Spionageziel sind. Das Ausmaß des Angriffs – mehr als 5.000 Verbrauchergeräte – deutet darauf hin, dass die Zielauswahl eher breit als chirurgisch präzise ist.

Als Reaktion auf diese Neuigkeiten sind mehrere praktische Schritte empfehlenswert.

Überprüfen Sie die DNS-Einstellungen Ihres Routers. Melden Sie sich im Admin-Panel Ihres Routers an (in der Regel unter 192.168.1.1 oder 192.168.0.1) und stellen Sie sicher, dass die aufgeführten DNS-Server solche sind, die Sie kennen und denen Sie vertrauen. Wenn Sie unbekannte IP-Adressen sehen, die Sie nicht selbst eingetragen haben, ist das ein Warnsignal.

Aktualisieren Sie die Firmware Ihres Routers. Router-Hersteller veröffentlichen regelmäßig Firmware-Updates, die Sicherheitslücken schließen. Viele Router bieten im Admin-Panel eine Option zur direkten Suche nach Updates. Wenn Ihr Router mehrere Jahre alt ist und vom Hersteller nicht mehr unterstützt wird, sollten Sie einen Ersatz in Betracht ziehen.

Ändern Sie das Standard-Administratorkennwort Ihres Routers. Standardanmeldedaten sind öffentlich bekannt und gehören zu den ersten Dingen, die Angreifer ausprobieren. Ein starkes, einzigartiges Passwort für die Admin-Oberfläche Ihres Routers erhöht die Einstiegshürde erheblich.

Verwenden Sie ein VPN mit DNS-Leckschutz. Ein VPN leitet Ihren Datenverkehr, einschließlich DNS-Anfragen, durch einen verschlüsselten Tunnel zu Servern außerhalb Ihres lokalen Netzwerks. Selbst wenn die DNS-Einstellungen Ihres Routers manipuliert wurden, stellt ein VPN mit ordnungsgemäßem DNS-Leckschutz sicher, dass Ihre Anfragen über die Server des VPN-Anbieters und nicht über die eines Angreifers aufgelöst werden. Das macht einen kompromittierten Router nicht sicher, schränkt jedoch erheblich ein, was ein Angreifer beobachten oder abfangen kann.

Erwägen Sie die unabhängige Nutzung von verschlüsseltem DNS. Dienste, die DNS over HTTPS (DoH) oder DNS over TLS (DoT) unterstützen, verschlüsseln Ihre DNS-Anfragen auch ohne VPN und machen sie dadurch schwerer abfangbar oder umleitbar.

Die Forest-Blizzard-Kampagne ist eine Erinnerung daran, dass Netzwerksicherheit beim Router beginnt. Die Geräte, die Ihr Zuhause oder Büro mit dem Internet verbinden, verdienen dieselbe Aufmerksamkeit wie die Computer und Telefone auf Ihrem Schreibtisch. Sie aktuell zu halten, ordnungsgemäß zu konfigurieren und zu überwachen ist keine Option – es ist das Fundament, auf dem alles andere aufbaut. Wenn Sie die Einstellungen Ihres Routers schon länger nicht mehr überprüft haben, ist jetzt ein guter Zeitpunkt, damit anzufangen.

// FAQ

Wer steckt hinter der DNS-Hijacking-Kampagne?

Die Angriffe werden mit Forest Blizzard in Verbindung gebracht, auch bekannt als APT28 oder Strontium – ein Bedrohungsakteur, der weithin dem russischen militärischen Geheimdienst GRU zugeschrieben wird. Die Gruppe ist seit Jahren an hochkarätigen Einbrüchen beteiligt, die sich gegen Regierungsbehörden, Rüstungsunternehmen und politische Organisationen richten.

Wie viele Geräte und Organisationen wurden kompromittiert?

Laut Cybersicherheitsforschern hat die Kampagne mehr als 5.000 Verbrauchergeräte und über 200 Organisationen kompromittiert.

Wie funktioniert DNS-Hijacking auf Router-Ebene?

Angreifer verändern die DNS-Einstellungen eines Routers so, dass Anfragen auf von ihnen kontrollierte Server umgeleitet werden. Dadurch können sie sehen, welche Websites die verbundenen Geräte besuchen, und den Datenverkehr potenziell abfangen. Jedes Gerät, das mit dem kompromittierten Router verbunden ist, wird zu einem potenziellen Angriffsziel.

Warum sind Heim- und Kleinbürorouter für diese Art von Angriff besonders anfällig?

Heim- und Kleinbürorouter erhalten selten Firmware-Updates, laufen häufig mit Standardanmeldedaten und werden in der Regel nicht von IT-Sicherheitsteams überwacht, was sie zu attraktiven Zielen macht. Diese Faktoren ermöglichen es Angreifern, sie leichter zu kompromittieren als verwaltete Unternehmensgeräte.

Schützt die Verwendung von HTTPS oder verschlüsselten E-Mails vor diesem Angriff?

Nicht unbedingt, denn wenn DNS auf Router-Ebene gekapert wird, können Angreifer Einblick in Datenverkehrsströme erhalten und diesen Schutz unter bestimmten Umständen aushebeln. Forscher stellten fest, dass Forest Blizzard in der Lage war, Klartextdaten – darunter E-Mails und Anmeldedaten – von betroffenen Geräten zu erfassen.

Russische Militärhacker nehmen Heim- und Bürorouter ins Visier

Wie DNS-Hijacking tatsächlich funktioniert

Wer ist Forest Blizzard?

Was das für Sie bedeutet

// FAQ

// Verwandt