Das Bundesamt für Verfassungsschutz (BfV) hat zum 7. April 2026 eine Warnung vor Cyberangriffen der russischen Gruppe APT28 herausgegeben. Die Gruppe wird vom BfV dem Militärgeheimdienst GRU zugeordnet. Insgesamt hat APT28 mehrere Tausend der öffentlich auffindbaren TP-Link-Geräte angegriffen.
Ich bin über nachfolgenden Tweet auf die gemeinsame Warnung des Bundesamt für Verfassungsschutz (BfV) zusammen mit nationalen und internationalen Partnerdiensten wie dem BND und dem FBI gestoßen. Gewarnt wird vor Cyberangriffen der russischen Gruppe APT28 – auch bekannt als Fancy Bear oder Forest Blizzard – , die dem russischen Militärgeheimdienst GRU zugerechnet werden.
Die Gruppe APT28 hat weltweit anfällige Internetrouter des Herstellers TP-Link (mit veralteten Firmware-Ständen) infiltriert, um militärische Informationen, Regierungsinformationen oder Informationen über Kritische Infrastruktur (KRITIS) zu erhalten. Insgesamt hat APT28 mehrere Tausend dieser öffentlich auffindbaren TP-Link-Geräte angegriffen. In Deutschland sind circa 30 verwundbare Geräte festgestellt worden.
Das BfV hat die Betreiber der angegriffenen TP-Link-Router identifiziert und ab dem 13. März zusammen mit den Verfassungsschutzbehörden der Länder sensibilisiert. Dabei konnte bereits in einzelnen Fällen die Kompromittierung durch APT28 bestätigt werden. Die Betreiber erhielten Handlungsempfehlungen zur Härtung der verwundbaren Geräte, um sie vor weiteren Cyberangriffen zu schützen. Viele TP-Link-Router wurden ausgetauscht.
In dem jetzt veröffentlichten gemeinsamen Warnhinweis (siehe hier) wird das Vorgehen von APT28 bei den veralteten TP-Link-Routern aufgezeigt. Das BfV untersucht derzeit einzelne TP-Link-Geräte forensisch, um die Vorgehensweise von APT28 tiefergehend zu analysieren.
Die staatliche russische Hackergruppe APT28 ist dem russischen Militärnachrichtendienst GRU zuzuordnen. APT28 ist unter anderem verantwortlich für die Cyberangriffe auf den Deutschen Bundestag im Jahr 2015, die Parteizentrale der SPD Anfang 2023 und die Deutsche Flugsicherung im August 2024.
In obigem Tweet weist jemand auf diese Veröffentlichung Microsofts und das Statement hier hin, die sich ebenfalls mit der Kampagne befassen.
MVP: 2013 – 2016
Eine Liste der betroffenen Routertypen und der entsprechenden Softwareversionen wäre eigentlich bei so einer Warnung hilfreich gewesen. Aber ….
TP, D-Link. Das ist Liste genug
Moin,
OFFTOPIC: Großstörung bei der Telekom… TGIF ;)
Da fehlt mal wieder die Info, welchen Router es betrifft.
Aber wenn man sich durch die Dokumente arbeitet, dann findet man die Info.
Es ist der TP-Link TL-WR841N mit der FW-Version 3.16.9 build 200409 und die ausgenutze Schwachstelle ist CVE-2023-50224.
Also schon fast 3 Jahre alt.
Das ist ein Heimrouter, der wohl kaum bei Behörden und Firmen zum Einsatz kommen dürfte.
Wer TP Link einsetzt, der arbeitet sich weder durch Listen noch hat er irgendein Interesse an Software-Updates.
Wasser, Rhein usw.
Naja, für alle Hardwareversionen des Routers gibt es FW-Updates.
Die gibt es aber, wie bei jedem Hersteller, nur für einen begrenzten Zeitraum.
Bei Cisco z.B. wird schon lange vor dem Supportende die FW-Unterstützung eingestellt.
Haben wir bei einem alten Router erlebt:
1,5 Jahre vor dem Supportende gabs keine FW-Updates mehr, was Cisco auch offen auf der Supportseite des Geräts mitteilte.
Cisco schrieb: "Die letzte Firmware hat folgende Sicherheitslücken……… Diese Lücken werden nicht geschlossen. Steigen sie auf ein anderes Gerät um."
Sehr merkwürdige Politik bei Cisco.
Hier findet man die Liste:
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations
Und auch unvollständig.
Bei jedem Router gibt es diverse Hardwarerevisionen mit unterschiedlichen Firmwareversionen.
Beispielsweise beim TL-WR841N gibt es:
V1, V1.5, V5, V7, V8, V9, V10, V11, V12, V13, V14, V14.20
V14.20 ist die aktuelle Version, die Firmware stammt vom Dezember 2025.
Die aktuellste der V14 stammt vom März 2026.
Welche dieser Versionen ist anfällig?
Vielen Dank!
Damit kann man doch schon mal was anfangen.
Frage an die Fachleute. Soweit ich es verstanden habe wird der Router durch das Webinterface kompromittiert. Wenn dieses nicht nach außen geht, dann ist man soweit geschützt, außer der Angriff kommt von innen.
Kann so ein Angriff auch aus dem Webbrowser durch Javascript Http Angriffe kommen?
D.h. muss mein Computer schon kompromittiert sein, oder reicht es wenn ich ein Javascript auf irgendeiner Webseite laufen habe…?
TP-Link WR841N – wow, 10+ Jahre alte 20 € Plasterouter haben Sicherheitslücken. Ich bin wenig überrascht. Die v1 des Routers ist 2007 rausgekommen.
4 MB Flash/32 MB RAM -> außer für die v13 hat selbst OpenWRT die Geräte als EOL markiert.
Gibt bestimmt noch jemand der die trotzdem noch verwendet.
hmm wenn ich schaue wie lange Kabelmodems laufen, die vom Provider zur Verfügung gestellt werden…
Ich sehe ein, dass eventuell ein Speicher mal zu knapp wird, aber ich verstehe nicht – warum man alle 5 Jahre einen Router tauschen sollte… der Elektroschrott wäre verherrend… Das Ding macht doch sowieso immer das selbe. Wenn man WLAN nicht verwendet, dann sollte das nochmal weniger "alt" werden…
Es geht da jetzt gar nicht um das Geld das es kostet, sondern wirklich um Verschwendung…