Tschechischer Militärnachrichtendienst beteiligt sich an FBI-Operation gegen russische Hackergruppe
Der tschechische Militärnachrichtendienst (VZ) hat im März an einer internationalen Geheimdienstoperation gegen die russische Hackergruppe APT28 teilgenommen. Die Aktion wurde vom US-amerikanischen FBI koordiniert.
Über nicht hinreichend gesicherte WLAN-Router erhielten die Hacker der Gruppe APT28 Zugang zu den Servern ihrer Opfer. Dies waren mehrere staatliche Organisationen in Tschechien. Die Hackergruppe, die nach Einschätzung westlicher Geheimdienste vom Kreml finanziert wird, konnte etwa Passwörter und Zugangsdaten abgreifen sowie E-Mails und chiffrierte Online-Kommunikation mitlesen. Laut Einschätzung des Militärnachrichtendienstes wurden vor allem strategische Daten gesammelt, die gegen militärische und staatliche Ziele in Tschechien und im Ausland verwendet werden sollten. Betroffen seien dabei auch Partner in der Nato und der EU.
Tomáš Krejčí ist der stellvertretende Direktor des tschechischen Amtes für Cyber- und Informationssicherheit (NÚKIB). In den Inlandssendungen des Tschechischen Rundfunks schilderte er das Vorgehen der Hacker:
„Sie haben die Router komplett unter ihre Kontrolle gebracht. Anschließend konnten sie sehen, wer welche Websites besucht. Und die Gruppe konnte die Rechenleistung der Router verwenden, damit es etwa so aussieht, dass der Angriff direkt vom entsprechenden Gerät stammt.“
Bei den kompromittierten Modellen handelte es sich um Router vom chinesischen Hersteller TP-Link, bei denen die herstellerseitig eingestellten Passwörter nicht geändert wurden. Die betroffenen Modelle werden vor allem in kleinen Büros eingesetzt, Produkte der Marke TP-Link nutzen aber auch viele Privathaushalte. Laut Tomáš Krejčí besteht für diese aber keine Gefahr.
„Zum einen handelte es sich nicht um ganz einfache Router. Zum anderen verwendet man im Falle einer Interverbindung zuhause einen privaten Router und hat keine öffentliche IP-Adresse, die für alle einfach so sichtbar ist. Es sind deshalb nicht alle Internetnutzer davon betroffen.“
Dennoch forderte der tschechische Militärnachrichtendienst am Mittwoch auch Privatnutzer dazu auf, als Präventivmaßnahme die Sicherheitseinstellungen ihrer Heimelektronik zu überprüfen. Geräte sollten regelmäßig aktualisiert werden, zudem müsse man starke Passwörter verwenden, hieß es.
Durch die Geheimdienstoperation unter Federführung des FBI konnte den Hackern der Zugang zu den betroffenen Servern entzogen werden. Jan Pejšek, Sprecher des tschechischen Militärnachrichtendienstes, teilte dem Tschechischen Rundfunk mit:
„Der Kern der internationalen Aktion war es, den Angreifern den Zugang zu den infizierten Geräten zu verwehren und einen weiteren Missbrauch zu verhindern.“
Die Gruppe APT28, die auch unter anderen Namen auftritt, ist den Sicherheitsbehörden laut dem Cybersicherheitsexperten Tomáš Flídr gut bekannt:
„Mitunter wissen wir bei Cyberangriffen nicht, wer dahintersteckt. Diese Gruppierung ist aber eine Ausnahme. Sie agiert sehr professionell und ist seit vielen Jahren aktiv. Wir wissen, dass es sich um eine Einheit handelt, die zum russischen Militär und dessen Nachrichtendienst GRU gehört.“
Laut Einschätzung des FBI fanden die Cyberangriffe von APT28 mindestens seit 2024 statt. Insgesamt waren 16 Länder an der Geheimdienstaktion gegen die Hacker beteiligt, darunter neben Tschechien auch Kanada, Dänemark, Norwegen oder die Ukraine. Der deutsche Verfassungsschutz teilte in einer Aussendung mit, insgesamt habe es Angriffe auf mehrere Tausend öffentlich auffindbare TP-Link-Geräte gegeben. Rund 30 verwundbare Geräte seien auch in Deutschland festgestellt worden, hieß es.
