Das britische National Cyber Security Centre (NCSC) hat kürzlich eine wichtige Warnung veröffentlicht, in der hervorgehoben wird, dass die vom russischen Staat unterstützte Hackergruppe APT28 aktiv versucht, Schwachstellen in anfälligen Büro- und Heimroutern auszunutzen, um Passwörter und Anmeldedaten zu erlangen, vor allem um auf die in Outlook verwendeten Mailserver zuzugreifen, aber auch um andere Anmeldedaten als Teil ihrer Operationen zu erhalten.

Der Prozess soll seit 2024 andauern und basiert auf der Ausnutzung von Schwachstellen, um Zugang zur Administrationsoberfläche des Routers zu erhalten, wo sie dann DHCP- und DNS-Einstellungen ändern, um den lokalen Netzwerkverkehr zu DNS-Servern unter ihrer Kontrolle umzuleiten, um Benutzeridentifikations-Tokens für den Zugang zu verschiedenen Web- und E-Mail-Diensten zu erhalten. Nach Angaben der Briten steht APT28 mit ziemlicher Sicherheit mit dem russischen Geheimdienst in Verbindung, d. h. sie sind beim 85. Hauptsonderdienstzentrum des russischen General Intelligence Directorate (GRU) in Form der Military Intelligence Unit 26616 beschäftigt.

Im Rahmen der von den Hackern geänderten DHCP-Einstellungen wird der Datenverkehr im lokalen Netzwerk automatisch über bösartige, von den Hackern kontrollierte Namensauflösungsserver geleitet, wo sie dann in einer Art Abhörangriff versuchen, wertvolle Daten aus dem von verschiedenen Geräten kommenden Datenverkehr zu extrahieren. Der Verkehr wird nach verschiedenen Domänen gefiltert, und wenn der Verkehr an diese Domänen gesendet wird, versuchen sie, Passwörter, Benutzer-IDs oder Token zu extrahieren, um auf den Inhalt des Webdienstes zuzugreifen. Zu den beobachteten Domänen gehören u. a. autodiscover-s.outlook.com, imap-mail.outlook.com, outlook.live.com, outlook.office.com und outlook.office365.com, d. h. sie haben es hauptsächlich auf Benutzer-IDs, Kennwörter oder Token für den Outlook-Dienst abgesehen.

Im Rahmen des Angriffs werden Schwachstellen ausgenutzt, wie z. B. die im Router TP-Link WR841N identifizierte Schwachstelle CVE-2023-50224, bei der auf die mit dem Router verbundenen Benutzerdaten ohne Identifizierung des Benutzers zugegriffen werden kann, indem einfach eine entsprechende http-GET-Anfrage geschrieben wird. Wenn die Benutzerdaten erfolgreich extrahiert wurden, wird eine zweite Verbindung zum primären DNS-Server hergestellt, der mit dem DHCP-Dienst verbunden ist, und der Zugang wird auf die Adresse des DNS-Servers umgeschrieben, so dass sie den Datenverkehr analysieren und die wichtigen Daten extrahieren können. Neben dem oben erwähnten Router sind nach Angaben des Vereinigten Königreichs auch die folgenden TP-Link-Router gefährdet:

Liste der betroffenen TP-Link-Router:

Den Experten zufolge werden gleichzeitig auch einige MikroTik-Router angegriffen, aber das Einsatzgebiet ist hauptsächlich auf die Ukraine beschränkt und es sind weniger Modelle von der Schwachstelle betroffen. Nach Angaben des Vereinigten Königreichs erfasst APT28 Daten über ein weitmaschiges Netzwerk, aus dem sie später die gewünschten Inhalte extrahieren können, je nachdem, welche IP-Adressbereiche für sie von Interesse sein könnten.

Die Angriffsfläche kann erheblich reduziert werden, indem die Software des Routers auf dem neuesten Stand gehalten wird, die Webadministrationsschnittstelle nicht für das Internet zugänglich gemacht wird, ein anderes Kennwort und ein anderer Benutzername als der werkseitig eingestellte verwendet werden und die Zwei-Faktor-Benutzerauthentifizierung für verschiedene Webdienste aktiviert wird. Wenn es nicht möglich ist, die Software des Routers zu aktualisieren, weil der Hersteller keine Lösung für den bekannten Fehler zur Verfügung gestellt hat, lohnt es sich, auf einen moderneren Router mit aktiver Produktunterstützung umzusteigen, der auch von unabhängiger Seite auf seine Eignung geprüft wurde.

APT28 ist kein unbekanntes Team, sie sind schon seit langem im Online-Bereich aktiv und haben in der Vergangenheit unter verschiedenen Namen gearbeitet, darunter Fancy Bear, Forest Blizzard und Sofacy.