Verwandte Videos:
Der Justizministerium der Vereinigten Staaten und das FBI führten gestern eine gerichtlich genehmigte technische Operation zur Zerschlagung eines Netzwerks von kompromittierten Heimroutern, das von der russischen Militärintelligenz kontrolliert wurde, in mehr als 23 Bundesstaaten des Landes durch, was die Behörden als Operation Masquerade bezeichneten.
Die Aktion neutralisierte die Spionageinfrastruktur der Militärischen Einheit 26165 des Hauptdirektorats für Intelligenz des Russischen Generalstabs (GRU), auch bekannt als APT28, Fancy Bear oder Forest Blizzard, deren Kampagne seit mindestens 2024 auf dem amerikanischen Territorium aktiv war.
Seit diesem Jahr nutzten die Agenten des GRU bekannte Schwachstellen in Tausenden von Routern der Marke TP-Link, die in Haushalten und kleinen Büros installiert sind, um ihre DNS-Konfiguration zu manipulieren – das System, das Domainnamen in numerische Adressen umwandelt – und die Anfragen der Benutzer an Server umzuleiten, die unter russischer Kontrolle stehen.
Der Angriff erfolgte in zwei Phasen: Zunächst kompromittierten sie massenhaft und indiskriminiert so viele Geräte wie möglich; danach setzten sie automatische Filter ein, um interessante Verbindungen zu identifizieren und die aktive Überwachung ausgewählter Ziele zu aktivieren. Für diese Ziele gaben sich die Server des GRU als legitime Dienste wie Microsoft Outlook Web Access aus, um Passwörter, Authentifizierungs-Token und E-Mails zu erfassen, ohne dass die Opfer es bemerkten.
Microsoft, das mit dem FBI zusammenarbeitete, identifizierte mehr als 200 betroffene Organisationen und 5.000 Geräte. Black Lotus Labs von Lumen Technologies entdeckte Opfer in den Vereinigten Staaten, Europa, Afghanistan, Nordafrika, Mittelamerika und Südostasien, mit Schwerpunkt auf Regierungsbehörden, Außenministerien und Sicherheitsorganen.
Die Operation wurde von der FBI-Stelle in Boston geleitet, unterstützt von der Filialstelle in Philadelphia, der Cyber-Division und der Staatsanwaltschaft des Eastern District of Pennsylvania, wo die Gerichtsakten freigegeben wurden. Die Aktion umfaste zudem Partner in 15 Ländern; das Nationale Cyber-Sicherheitszentrum von Großbritannien und Deutschland gaben am selben Tag koordinierte Warnungen heraus.
Das FBI entwickelte eine Reihe von Befehlen, die direkt an die kompromittierten Router gesendet wurden, um Beweise zu sammeln, die legitime DNS-Konfiguration wiederherzustellen und den unbefugten Zugang des GRU zu blockieren, ohne den normalen Betrieb der Geräte zu beeinträchtigen oder Nutzerinhalte zu sammeln. Die Eigentümer können die Änderungen jederzeit durch einen Werksreset rückgängig machen.
Archiviert unter: