Datenschutz & Sicherheit
TP-Link-Angriff: Microsoft im Visier, Deutschland im Glück
Bei der am Dienstag vom britischen National Cyber Security Center (NCSC) bekannt gemachten Angriffsserie auf Router und Access Points des Herstellers TP-Link hatten Angreifer offenbar die Microsoft Cloud im Visier. Deutschland ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aber nur in geringem Ausmaß betroffen. Zuvor hatten Bundesnachrichtendienst und Verfassungsschutz aktiv vor Angriffen gewarnt und Kompromittierungs-Indikatoren zur Verfügung gestellt.
Weiterlesen nach der Anzeige
Die Gruppierung APT-28, die dem russischen Militärgeheimdienst GRU zugerechnet wird, habe bei ihrem Angriff eine 2024 bekannt gewordene Zero-Day-Lücke (CVE-2023-50224) ausgenutzt, bestätigen die Sicherheitsbehörden. Ziel der Attacken, bei denen die DNS-Anfragen auf von den Angreifern kontrollierte Server geleitet wurden, soll die Übernahme von eigentlich wirksam verschlüsselten Sessions zu Microsofts Clouddiensten gewesen sein, berichtet die Firma in einer umfangreichen Stellungnahme.
Deutschland hat Glück gehabt
„Glücklicherweise gehen wir mit Blick auf die nun erfolgreich gestörte Angriffskampagne von einer sehr geringen Betroffenenanzahl in Deutschland aus“, sagt BSI-Präsidentin Claudia Plattner auf Anfrage von heise online. Das Bundesamt für Verfassungsschutz hatte in einer ersten Einordnung die Zahl von 30 betroffenen Geräten genannt. Auf identifizierte Betroffene sind die Verfassungsschutzbehörden der Länder individuell zugegangen – was angesichts der überschaubaren Zahl möglich war.
Die meisten der betroffenen Geräte von TP-Link sind einige Jahre, teils weit über ein Jahrzehnt alt. „Auch und gerade Netzwerkgeräte wie Router können zum Einfallstor für Angriffe werden – regelmäßige Härtungsmaßnahmen, insbesondere das Schließen bekannter Sicherheitslücken, sind essentiell“, mahnt Plattner. „Wenn es Angreifern gelingt, in den Router einzudringen, können sie nicht nur das Gerät selbst, sondern potentiell auch alle angeschlossenen Geräte kompromittieren.“ In Sicherheitskreisen wird das im März von der US-Regulierungsbehörde FCC verhängte Importverbot für Router in engem Zusammenhang mit der Entdeckung der GRU-Kampagne gesehen.
Für viele der betroffenen Modelle (vollständige Liste des NCSC) gibt es jedoch längst keine Sicherheitsupdates vom Hersteller mehr. Für einige davon ist aber zumindest alternative Software aus dem OpenWRT-Projekt abrufbar. Diese Versionen sind laut OpenWRT-Aktiven im aktuellen Fall nicht kompromittiert. Stichproben von heise online haben derweil gezeigt, dass manche der betroffenen Modelle hierzulande auch weiterhin in Elektronikmärkten verkauft werden.
(mho)