Eine internationale Behördenoperation hat ein Cyberspionagenetzwerk gestört, das mit dem militärischen Geheimdienst Russlands in Verbindung steht. Die Operation wurde vom amerikanischen FBI geleitet und in Zusammenarbeit mit dem finnischen Schutzpolizei (SUPO) und dem Cybersicherheitszentrum der Behörde Traficom durchgeführt. Dies teilt die finnische Schutzpolizei in einer Pressemitteilung mit.
Die Operation richtete sich gegen ein globales Netzwerk gekaperter internetverbundener Geräte, hauptsächlich Heimrouter, die für Spionageaktivitäten genutzt worden sein sollen. Laut den Behörden hat ein Cyberakteur mit Verbindung zum russischen Militärgeheimdienst GRU (Hauptnachrichtendirektion) schlecht gesicherte Router ausgenutzt, um Informationen zu sammeln und seinen Datenverkehr zu verschleiern.
Besonders anfällig sollen bestimmte Router des Herstellers TP-Link gewesen sein. Durch eine bekannte Sicherheitslücke konnten Angreifer auf gespeicherte Anmeldedaten zugreifen und anschließend die Kontrolle über die Geräte übernehmen.
– Ein mit dem GRU verbundener Cyberbedrohungsakteur, der auch unter den Namen APT28, Fancy Bear und Forest Blizzard bekannt ist, hat in den vergangenen Jahren insbesondere schlecht gesicherte Heimrouter als Teil seiner globalen Cyberspionageinfrastruktur ausgenutzt. Diese Schwachstelle ermöglicht es dem Angreifer, gespeicherte Anmeldedaten durch eine Informationsanfrage offenzulegen und sie durch Kapern des Geräts für die Zwecke des Angreifers zu nutzen, schreibt die Schutzpolizei in der Pressemitteilung.
Sobald ein Router gekapert wurde, konnte er dazu verwendet werden, den Internetverkehr umzuleiten und sogenannte Man-in-the-Middle-Angriffe durchzuführen. Auf diese Weise können Angreifer in bestimmten Fällen den Datenverkehr abhören oder manipulieren. Die Geräte können auch als Zwischenglieder in größeren Cyberoperationen eingesetzt werden, was die Aktivitäten schwerer erkennbar und nachverfolgbar macht.
Laut den Behörden richteten sich die Aktivitäten unter anderem gegen Informationen im Zusammenhang mit militärischen Aktivitäten, staatlicher Verwaltung und kritischer Infrastruktur.
Die Schutzpolizei und das Cybersicherheitszentrum geben an, dass sie gefährdete Router in Finnland identifizierten, deren Eigentümer informierten und Maßnahmen ergriffen, um weiteren Zugriff zu verhindern. Gleichzeitig betonen die Behörden, dass die Bedrohung durch russische Nachrichten- und Cyberaktivitäten langfristiger Natur ist.
– Während der gemeinsamen Operation informierten die Behörden die Eigentümer der gefährdeten Router, bereinigten die Geräte, in die der GRU eindringen konnte, und hinderten den GRU daran, in Zusammenarbeit mit deren Eigentümern auf die Geräte zuzugreifen. Die russischen Geheimdienste stellen jedoch eine kontinuierliche und langanhaltende Nachrichten- und Cyberbedrohung für Finnland dar, und die Auflösung eines einzelnen Gerätenetzwerks beseitigt die Bedrohung nicht, schreibt die Schutzpolizei in der Pressemitteilung.
Die Behörden fordern auch Privatpersonen auf, die Sicherheit ihrer Heimnetzwerke zu verbessern, beispielsweise durch das Aktualisieren von Routern und die Verwendung starker Passwörter. Dies kann das Risiko verringern, dass Geräte für Cyberangriffe oder Spionage missbraucht werden.

