FBI zerschlägt russisches Netzwerk für militärische Cyberspionage

Das FBI hat am 8. April 2026 gemeinsam mit dem rumänischen SRI und Geheimdiensten aus 14 weiteren Ländern ein dauerhaftes russisches Netzwerk für Breitband-Spionage zerschlagen. Laut Mitteilungen des US-Justizministeriums und des FBI wurde die Kampagne von der GRU-Einheit 26165, auch bekannt unter Bezeichnungen wie APT28, Fancy Bear, Forest Blizzard, Sofacy Group, Pawn Storm oder Sednit, gesteuert. Die Einheit nutzte Schwachstellen in SOHO-Routern, insbesondere Geräten des Herstellers TP-Link, um sensible Daten von Militärs, Behörden und kritischen Infrastrukturen westlicher Staaten abzufangen. Der rumänische Präsident Nicușor Dan bestätigte die Beteiligung des SRI und bezeichnete die Operation als weiteren Beleg für den hybriden Krieg Russlands gegen den Westen. Zu der internationalen Koalition, die eine gemeinsame Warnung herausgab, gehörten neben dem US-Geheimdienst NSA Partner aus Deutschland, Kanada, Tschechien, Dänemark, Estland, Finnland, Italien, Lettland, Litauen, Norwegen, Polen, Portugal, Rumänien, der Slowakei und der Ukraine.

Angreifer leiteten verschlüsselten Datenverkehr über gekaperte Router um Die Akteure des GRU nutzten die Sicherheitslücke CVE-2023-50224 in TP-Link-Routern aus, um Zugriff zu erhalten und anschließend die DHCP- und DNS-Einstellungen der Geräte zu manipulieren. Dabei wurden DNS-Server unter eigener Kontrolle hinterlegt. Sobald ein Router kompromittiert war, übernahmen alle verbundenen Endgeräte – einschließlich Laptops und Mobiltelefone – die modifizierten Einstellungen ohne Wissen der Nutzer. Die von den Angreifern kontrollierte Infrastruktur konnte so sämtliche Domain-Abfragen des Geräts erfassen. Der GRU lieferte manipulierte DNS-Antworten für bestimmte Dienste wie Microsoft Outlook Web Access, was sogenannte „Adversary-in-the-Middle“-Angriffe auf verschlüsselten Datenverkehr ermöglichte. Auf diese Weise sammelten russische Hacker Passwörter, Authentifizierungs-Token, E-Mails und Browserdaten, die üblicherweise durch SSL- und TLS-Verschlüsselung geschützt sind. Der SRI gab an, dass der GRU eine Vielzahl globaler Einheiten, auch in Rumänien, kompromittiert und die Opfer gezielt nach Informationen aus dem Militär-, Regierungs- und Infrastruktursektor gefiltert habe. Laut FBI war die Operation mindestens seit 2024 aktiv.

Operation Masquerade — Wichtige Ereignisse: — ; — ; —

Rumänischer Präsident fordert Stärkung der nationalen Cybersicherheit Der rumänische Präsident Nicușor Dan, der das Amt 2025 nach seiner Zeit als Bürgermeister von Bukarest antrat, reagierte am Mittwoch in einer Stellungnahme auf Facebook auf die Bekanntgabe des FBI. Er bestätigte die Teilnahme des SRI an der multinationalen Operation und wertete den Cyberangriff als Teil eines breiteren Musters russischer Aggression gegen westliche Nationen. „Russland setzt den hybriden Krieg gegen westliche Länder fort; wer das nicht sieht, handelt böswillig. Rumänien muss seine Cybersicherheit verbessern und die Zusammenarbeit mit westlichen Partnern fortsetzen.” — Nicușor Dan via G4Media Er betonte, das zerschlagene Netzwerk habe sensible Infrastrukturen in mehreren westlichen Staaten im Visier gehabt. Laut Digi24 erfolgte die Beteiligung des SRI über das Nationale Cyberint-Zentrum. Die Äußerungen Dans fallen in eine Zeit, in der Rumänien seine Integration in westliche Sicherheitsstrukturen vertieft; die Operation unterstreicht die aktive Rolle des Landes in der kollektiven Cyberabwehr im NATO-Rahmen.

APT28, auch als Fancy Bear bekannt, wird von westlichen Geheimdiensten seit Jahren der Einheit 26165 des GRU zugeschrieben. Die Gruppe wird mit zahlreichen Angriffen auf Regierungs- und Militärorganisationen in Europa und Nordamerika in Verbindung gebracht. DNS-Hijacking ermöglicht es Angreifern, Nutzer unbemerkt auf schädliche Infrastrukturen umzuleiten, ohne die üblichen Sicherheitsalarme auszulösen, was es besonders effektiv gegen verschlüsselte Kommunikation macht.

Koalition aus 15 Ländern warnt vor Router-Schwachstellen Neben der Zerschlagung des Netzwerks gaben das FBI und seine Partner eine gemeinsame Warnung heraus. Netzwerkadministratoren und Gerätebesitzer wurden aufgefordert, Sofortmaßnahmen zur Sicherung von Netzwerkgeräten zu ergreifen. Die Warnung listet alle 15 beteiligten Nationen auf, die sich über die gesamte Ost- und Nordflanke der NATO erstrecken. 15 (Staaten) — beteiligte Nationen an der Koalition Operation Masquerade Die Behörden empfahlen spezifische Schutzmaßnahmen für Router-Nutzer, wobei detaillierte technische Anleitungen separat veröffentlicht wurden. Die Bezeichnung „Operation Masquerade“ wurde durch das US-Justizministerium bestätigt. Die Aufdeckung ergänzt die wachsende Liste dokumentierter russischer Cyberoperationen gegen westliche Infrastruktur in einer Phase, in der der Konflikt mit der Ukraine und hybride Aktivitäten gegen NATO-Mitgliedstaaten eine zentrale Sorge westlicher Regierungen bleiben.