Russisk hackerangreb udnytter gamle routere til at stjæle Microsoft-login

Russiske hackere kaprer routere for at stjæle Microsoft-login

Hackere tilknyttet Ruslands militære efterretningstjeneste har gennemført en omfattende spionagekampagne ved at udnytte kendte sårbarheder i gamle internetroutere. Målet har været at stjæle autentifikationstokens fra Microsoft Office-brugere, oplyser cybersikkerhedseksperter.

Ifølge Microsofts seneste rapport blev mere end 200 organisationer og 5.000 forbrugerenheder ramt af det sofistikerede, men simple netværk, som blev opbygget af den russisk-støttede trusselsaktør kendt som Forest Blizzard (også kaldet APT28 eller Fancy Bear).

Forest Blizzard tilskrives den russiske militære efterretningstjeneste, GRU, og har tidligere været involveret i højtprofilerede cyberangreb, herunder kompromitteringen af Hillary Clintons kampagne og det amerikanske Demokratiske Nationalkomité i 2016.

Angrebet udnytter gamle routere

Forskerne hos Black Lotus Labs, som tilhører internetudbyderen Lumen, fandt ud af, at angrebet toppede i december 2025 med over 18.000 ramte routere. Disse routere var primært forældede modeller fra Mikrotik og TP-Link, som enten ikke længere modtog sikkerhedsopdateringer eller var langt bagud med opdateringerne.

Angriberne målrettede primært regeringsinstitutioner, herunder udenrigsministerier, retshåndhævende myndigheder og tredjeparts e-mailudbydere. Ifølge Black Lotus Labs Security Engineer Ryan English behøvede hackerne ikke installere skadelig software på de ramte routere for at gennemføre angrebet.

DNS-hijacking giver adgang til følsomme data

I stedet udnyttede de kendte sårbarheder til at ændre routerenes DNS-indstillinger, så de pegede på hackernes kontrollerede DNS-servere. DNS er den teknologi, der gør det muligt for brugere at tilgå hjemmesider via velkendte adresser i stedet for IP-adresser.

Ved at kapre DNS-serverne kunne hackerne omdirigere trafikken til falske hjemmesider designet til at stjæle loginoplysninger og andre følsomme data. Når en bruger logger ind på Microsoft Office med tofaktorautentifikation, sendes der et autentifikationstoken, som hackerne herefter kunne opsnappe.

Da disse tokens typisk sendes efter en succesfuld loginproces, kunne angriberne få direkte adgang til ofrenes konti uden at skulle phishing-besværgelser eller forsøge at gætte adgangskoder og engangskoder.

"Alle leder efter sofistikeret malware, der kan installeres på mobile enheder eller andet. Disse hackere gjorde det på gammeldags vis – uden malware, men med en simpel metode, der alligevel er effektiv," siger Ryan English.

Hvordan kan man beskytte sig?

Eksperter anbefaler følgende forholdsregler for at minimere risikoen for at blive ramt af lignende angreb:

• Opdater din router regelmæssigt – Sørg for, at din router altid kører den seneste firmware for at lukke kendte sårbarheder.
• Skift standardadgangskoder – Brug stærke, unikke adgangskoder til din router og undgå standardindstillingerne.
• Overvåg DNS-indstillinger – Tjek jævnligt, om din routers DNS-indstillinger er blevet ændret uden din viden.
• Brug VPN – Et virtuelt privat netværk kan hjælpe med at kryptere din trafik og gøre det sværere for angribere at opsnappe følsomme data.
• Vær opmærksom på mistænkelig aktivitet – Hvis du oplever uforklarlig adfærd på dine konti, kan det være tegn på, at du er blevet ramt af et angreb.

Cyberangreb som dette understreger vigtigheden af at holde sine digitale enheder opdaterede og sikre sig mod kendte trusler. Selvom angrebet er sofistikeret, er det ofte de simple metoder, der er mest effektive for hackerne.