Russische Hackergruppe APT28 Verfassungsschutz warnt vor Angriffen auf TP-Link-Router

Anbieter zum Thema

FAST LTA GmbH

FTAPI Software GmbH

Onapsis Europe GmbH

Die russische Hackergruppe APT28 konnte tausende Router von TP-Link weltweit infiltrieren. Der deutsche Verfassungsschutz warnt vor Spionage, um Daten von Militär, Regierung und kritischer Infrastruktur zu erbeuten. So können Sie sich schützen.

Mitte März begann das Bundesamt für Verfassungsschutz (BfV) Warnungen an Unternehmen und Privatpersonen in Deutschland zu verschicken. Die Empfänger haben eins gemeinsam: Sie nutzen Router von TP-Link. Am 7. April 2026 veröffentlichte das Bundesamt eine entsprechende öffentliche Meldung, in der es vor der russischen Gruppe „APT28“ warnt, die anfällige In­ter­net­router des Herstellers infiltriert. Das Ziel der Hacker sei es, militärische Informationen, Re­gierungsinformationen oder Informationen über kritische Infrastruktur (KRITIS) zu erhalten.

Hackergruppe Qilin unter Verdacht

Cyberangriff auf die Linke

Tausende Geräte weltweit betroffen

Laut Verfassungsschutz hat APT28, auch bekannt unter den Namen „Fancy Bear“ und „Forest Blizzard“, mehrere Tausend öffentlich auffindbare TP-Link-Router angegriffen. In Deutschland gibt es rund 30 verwundbare Geräte. Die Betreiber der angegriffenen Router hat das BfV ab dem 13. März 2026 informiert und für die Risiken sensibilisiert. In einzelnen Fällen konnte bereits eine Kompromittierung durch die Hacker festgestellt werden. Die Betroffenen erhielten Hand­lungsempfehlungen, viele der betroffenen Router wurden bereits ausgetauscht.

Der Verfassungsschutz, der seine Warnung gemeinsam mit nationalen und internationalen Partnerdiensten wie dem BND und dem FBI veröffentlicht hat, schreibt die Angriffe eindeutig APT28 zu. Die Hackergruppe wird vom russischen Staat unterstützt und ist dem Militär­nach­richtendienst GRU zuzuordnen. Dem US-Justizministerium und dem FBI war es gelungen, ein GRU-Netzwerk kompromittierter Router in Homeoffices zu zerschlagen, das für DNS-Hi­jack­ing-Operationen genutzt wurde. Privatpersonen wie IT-Experten in Unternehmen sind dazu aufgerufen, Schutzmaßnahmen zu ergreifen und Schwachstellen zu schließen, um ihre An­griffsfläche zu minimieren.

Teil einer russischen Angriffskampagne

Zero-Day-Schwachstelle in Commvaults Azure-App wird aktiv ausgenutzt

So greift APT28 die Router aus

Der Warnung des Verfassungsschutzes nach sammeln die Akteure, die hinter APT28 stecken seit mindestens 2024 Zugangsdaten und nutzen weltweit Sicherheitslücken in Routern aus. Geräte von TP-Link würden sie mithilfe der Schwachstelle EUVD-2023-55046 / CVE-2023­50224 (CVSS-Score 6.5, EPSS-Score^* 1.46) angreifen. Dabei ändern die Hacker die DHCP- und DNS-Einstellungen der Geräte, um von ihnen kontrollierte DNS-Resolver einzuführen. Ange­schlossene Geräte, wie Laptops und Smartphones, übernehmen diese geänderten Einstel­lun­gen. Die von den Akteuren kontrollierte Infrastruktur löst daraufhin Anfragen für alle Do­main­namen auf und erfasst diese. Parallel stellt der GRU gefälschte DNS-Antworten für bestimmte Domains und Dienste bereit, darunter Microsoft Outlook Web Access, und ermög­licht so Ad­ver­sary-in-the-Middle-Angriffe (AitM) auf verschlüsselten Datenverkehr, wenn Benutzer eine Zertifikatsfehlerwarnung ignorieren. Diese AitM-Angriffe ermöglichen es den Akteuren, den Datenverkehr unverschlüsselt einzusehen. So konnten die Akteure Passwörter, Authen­ti­fi­zierungstoken und sensible Informationen erbeuten, einschließlich E-Mails und Webbrowser-Daten, die normalerweise durch SSL- und TLS-Verschlüsselung geschützt sind. Mithilfe dieser Taktik hat der russische Geheimdienst der Meldung zufolge bereits wahllos eine große Anzahl von Opfern weltweit kompromittiert. Besonders wurde auf Informationen im Zusammenhang mit Militär, Regierung und kritischen Infrastrukturen abgezielt.

Kurz vor Olympia

Italien wehrt russische Hackerangriffe ab

Russischer Geheimdienst greift auch Deutschland an

APT28 hatte bereits 2015 den Deutschen Bundestag angegriffen, 2023 die Parteizentrale der SPD und 2024 die Deutsche Flugsicherung. Im Mai 2025 hat die CISA eine explizite Warnmeldung vor dem russischen Geheimdienst veröffentlicht, da dieser gezielt westliche Logistik- und Tech­no­logieunternehmen ins Visier nahm. Auch das BSI hatte zur selben Zeit vor GRU und APT-An­griffen gewarnt.

TTP-Analyse und Empfehlungen

BSI warnt vor russischem Geheimdienst

Schutz vor APT28

Folgende Handlungsempfehlungen gehen aus der geteilten Warnmeldung hervor:

• Personen, die mit Routern vom Homeoffice aus arbeiten, sollten Geräte, deren Support ausläuft, ersetzen. Es sollte immer die neueste Firmware-Version installiert sein.

• Ändern Sie Standardbenutzernamen und -passwörter.

• Deaktivieren Sie die Fernverwaltungsschnittstellen über das Internet.

• Alle Nutzer sollten Zertifikatswarnungen in Webbrowsern und E-Mail-Clients sorgfältig beachten.

• Organisationen, die mobiles Arbeiten ermöglichen, sollten ihre Richtlinien zum Zugriff von Mitarbeitern auf sensible Daten überprüfen, zum Beispiel hinsichtlich der Verwendung von VPNs und gehärteten Anwendungskonfigurationen.

• Darüber hinaus haben das FBI und seine Partner entsprechende Leitlinien und technische Indikatoren veröffentlicht, darunter die Cybersicherheitswarnung des NCSC-UK „APT28-Schwachstellen nutzen Router für DNS-Hijacking aus“ und die Webseite der CISA zur Edge-Gerätesicherheit.

DDoS-Angriff

Hacker attackieren Vergabeportal für öffentliche Aufträge

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50808928)