Russische hackers stelen Microsoft Office-toegang via kwetsbare routers

Een nieuwe cyberaanval, toegeschreven aan de Russische hackergroep Forest Blizzard (ook bekend als APT28 of Fancy Bear), maakt gebruik van zwakke plekken in verouderde routers om Microsoft Office-toegangstokens te stelen. Volgens beveiligingsexperts van Black Lotus Labs zijn meer dan 200 organisaties en 5.000 consumentenapparaten getroffen door deze spionagecampagne.

De aanvallers, gelieerd aan de Russische militaire inlichtingendienst GRU, wisten zonder malware te installeren toegang te krijgen tot routers van gebruikers. Zij wijzigden de DNS-instellingen van de routers om deze te laten verwijzen naar door hen gecontroleerde servers. Hierdoor konden ze OAuth-toegangstokens onderscheppen die gebruikers verzenden na een succesvolle inlogpoging, inclusief tweestapsverificatie.

Doelwitten: overheden en derdepartij-emailproviders

De hackers richtten zich voornamelijk op overheidsinstanties, zoals ministeries van Buitenlandse Zaken en wetshandhaving, evenals derdepartij-emailproviders. De getroffen routers waren veelal oudere modellen van merken als MikroTik en TP-Link, vaak niet meer ondersteund of met achterstallige beveiligingsupdates.

Volgens Ryan English, beveiligingsingenieur bij Black Lotus Labs, was de aanval opmerkelijk eenvoudig maar effectief. "Iedereen zoekt naar geavanceerde malware om apparaten te infecteren, maar deze hackers gebruikten een oude methode die niet spectaculair is, maar wel werkt," aldus English.

Hoe de aanval werkt

De hackers maakten gebruik van bekende kwetsbaarheden in routers om de DNS-instellingen te wijzigen. DNS (Domain Name System) zorgt ervoor dat gebruikers websites kunnen bereiken via herkenbare adressen in plaats van IP-nummers. Door deze instellingen te wijzigen, konden de aanvallers gebruikers stiekem doorverwijzen naar malafide servers die OAuth-toegangstokens onderschepten.

Eenmaal gewijzigd, verspreidden de kwaadaardige DNS-instellingen zich automatisch naar alle apparaten op hetzelfde netwerk. Hierdoor konden de hackers toegang krijgen tot accounts zonder dat gebruikers hun inloggegevens hoefden te delen via phishing of andere methoden.

Reactie van Microsoft en Britse cyberautoriteiten

Microsoft waarschuwde in een blogpost dat de aanval al sinds 2024 actief is en in december 2025 een piek bereikte met meer dan 18.000 getroffen routers. De Britse National Cyber Security Centre (NCSC) publiceerde een waarschuwing waarin wordt benadrukt hoe Russische cyberactoren routers compromitteren om toegang te krijgen tot gevoelige informatie.

"Deze aanval toont aan dat cybercriminelen steeds vaker kiezen voor eenvoudige, maar effectieve methoden om toegang te krijgen tot systemen. Het is cruciaal dat organisaties hun routers regelmatig updaten en verouderde apparatuur vervangen," aldus een woordvoerder van NCSC.

Wat kunnen gebruikers doen?

• Update routers regelmatig: Zorg dat firmware-updates worden geïnstalleerd om bekende kwetsbaarheden te dichten.
• Vervang verouderde apparatuur: Oudere routers die geen updates meer ontvangen, vormen een groot risico.
• Controleer DNS-instellingen: Zorg dat de DNS-instellingen van je router niet zijn gewijzigd zonder jouw medeweten.
• Gebruik tweestapsverificatie: Hoewel OAuth-tokens worden onderschept, blijft tweestapsverificatie een extra beveiligingslaag.
• Monitor netwerkverkeer: Ongebruikelijke DNS-verzoeken kunnen wijzen op een compromittering.