Russische Hacker nutzen Router-Schwachstellen für Spionage auf Microsoft Office Nutzer

Russische Hacker nutzen Router-Schwachstellen für Spionage

Ein von Russland unterstützter Hackerangriff nutzt bekannte Schwachstellen in älteren Internet-Routern, um Authentifizierungstokens von Microsoft Office Nutzern massenhaft abzufangen. Das geht aus einer Warnung von Sicherheitsexperten hervor. Die Spionagekampagne ermöglichte es staatlich finanzierten russischen Hackern, ohne den Einsatz von Schadsoftware Tokens von Nutzern in mehr als 18.000 Netzwerken abzuziehen.

Betroffen: Über 200 Organisationen und 5.000 Geräte

Microsoft identifizierte in einem Blogbeitrag mehr als 200 Organisationen sowie 5.000 Verbrauchergeräte, die in ein raffiniertes, aber simples Spionagenetzwerk verwickelt waren. Verantwortlich ist die Hackergruppe „Forest Blizzard“, auch bekannt als APT28 oder Fancy Bear. Diese wird der russischen Militärnachrichtendienstes GRU zugerechnet.

APT28 machte sich bereits 2016 einen Namen, als es die Kampagnen von Hillary Clinton, dem Democratic National Committee und dem Democratic Congressional Campaign Committee kompromittierte, um Einfluss auf die US-Präsidentschaftswahl zu nehmen.

Angriffe auf unsichere Router

Forscher des Sicherheitsunternehmens Black Lotus Labs, einer Abteilung des Internet-Backbone-Anbieters Lumen, entdeckten, dass die Hacker vor allem veraltete Router nutzten. Im Dezember 2025 erreichte die Kampagne ihren Höhepunkt: Mehr als 18.000 Router – meist unsupported, End-of-Life-Geräte oder stark veraltete Modelle – wurden kompromittiert. Die Angriffe richteten sich vor allem an Regierungsbehörden, darunter Außenministerien, Strafverfolgungsbehörden und Drittanbieter von E-Mail-Diensten.

DNS-Hijacking ohne Malware

Laut Ryan English, Sicherheitsexperte bei Black Lotus Labs, installierten die GRU-Hacker keine Malware auf den Routern. Stattdessen nutzten sie bekannte Schwachstellen, um die Domain Name System (DNS)-Einstellungen der Router zu ändern. Dadurch leiteten sie die Nutzer zu von den Angreifern kontrollierten DNS-Servern um.

DNS ist essenziell, um Websites über vertraute Adressen statt IP-Nummern aufzurufen. Bei einem DNS-Hijacking-Angriff manipulieren Hacker diesen Prozess, um Nutzer unbemerkt auf bösartige Websites zu leiten, die Login-Daten oder andere sensible Informationen stehlen.

Die kompromittierten Router wurden so umkonfiguriert, dass sie DNS-Server nutzten, die auf virtuelle private Server der Angreifer verwiesen. Von dort aus konnten die Hacker die bösartigen DNS-Einstellungen auf alle Nutzer im lokalen Netzwerk ausweiten und fortan OAuth-Authentifizierungstokens abfangen.

„Jeder sucht nach ausgefeilter Malware, um Schadsoftware auf Mobilgeräten zu platzieren. Diese Hacker setzten auf eine altbewährte, unauffällige Methode – und sie funktioniert.“
— Ryan English, Black Lotus Labs

OAuth-Tokens: Direkter Zugriff auf Konten

Da OAuth-Tokens in der Regel nach erfolgreicher Anmeldung und Multi-Faktor-Authentifizierung übertragen werden, konnten die Angreifer direkten Zugriff auf die Konten der Opfer erlangen – ohne Phishing-Versuche oder das Abfangen von Anmeldedaten oder Einmalpasswörtern.

Die Angriffe zeigen, wie einfach und effektiv selbst veraltete Hardware als Einfallstor für großangelegte Spionage genutzt werden kann. Experten raten Nutzern, Router regelmäßig zu aktualisieren und veraltete Geräte auszutauschen.