Das Bundesamt für Verfassungsschutz warnte davor, dass russische staatsnahe Hacker Schwachstellen in TP-Link-Router ausgenutzt hätten, um auf sensible Netzwerke zuzugreifen. Die Warnung wurde in Zusammenarbeit mit dem Federal Intelligence Service und dem Federal Bureau of Investigation herausgegeben.
Die Hackergruppe APT28, auch bekannt als Fancy Bear, wird dem russischen Militärgeheimdienst GRU zugeschrieben. Westliche Regierungen werfen APT28 seit mehreren Jahren Cyberspionageaktivitäten vor.
Die Behörden berichteten, dass Tausende von Routern weltweit angegriffen wurden, etwa 30 davon in Deutschland. In bestätigten Fällen von Verstößen haben einige Betreiber betroffene Geräte ausgetauscht. Die Cyberkampagne konzentrierte sich hauptsächlich auf Militär-, Regierungs- und kritische Infrastrukturnetzwerke. Das BfV wies darauf hin, dass APT28 bereits zuvor verschiedene deutsche Institutionen angegriffen habe, darunter das Parlament und die SPD.
Im Jahr 2024 veröffentlichte das US-Verteidigungsministerium eine Warnung bezüglich russischer Cyber-Akteure, die kompromittierte Router für Cyber-Operationen nutzen, und nannte dabei das 85. Main Special Service Center der GRU, bekannt als APT28 oder Forest Blizzard.
In dem Gutachten hieß es, dass die Angriffe es Hackern ermöglichten, Zugangsdaten zu stehlen, NTLMv2-Hashes zu sammeln, Netzwerkverkehr weiterzuleiten sowie Phishing-Seiten und Hacking-Tools zu hosten.
In einem ähnlichen Schritt kündigte die Federal Communications Commission ein Verbot neuer, im Ausland hergestellter Router in den USA an. Bestehende Heim-Interneteinrichtungen bleiben davon nicht betroffen, da das Verbot nur für neue Geräte gilt und Anbieter Ausnahmen beantragen dürfen.
