FBI warnt: Router-Botnet bleibt gefährlich – trotz erfolgreicher Aktion

Trotz einer spektakulären Zerschlagungsaktion im Frühjahr 2026 sind Millionen Router weiterhin verwundbar. Die US-Behörden fordern Nutzer zum sofortigen Handeln auf.

Der Kampf gegen staatliche Hacker ist noch lange nicht gewonnen. Das FBI und die NSA haben heute eine erneute Warnung herausgegeben: Die im April erfolgreich unterbrochene Verbindung zwischen tausenden Routern und russischen Geheimdienstservern bietet keinen dauerhaften Schutz. Die Geräte selbst bleiben anfällig – und ohne manuelle Eingriffe der Besitzer droht eine erneute Übernahme.

Ob Router oder Smartphone – veraltete Software ist das Haupteinfallstor für Hacker, wie die aktuellen Angriffe auf DNS-Einstellungen zeigen. In diesem kostenlosen Report erfahren Sie, wie Sie Sicherheitslücken schließen und Ihre Geräte dauerhaft vor Malware schützen. 5 einfache Schritte für Ihr Android-Sicherheitsupdate

Operation Masquerade: Wie das FBI gegen russische Hacker vorging

Hintergrund der aktuellen Warnung ist die Operation Masquerade, die Anfang April 2025 durch ein Gericht genehmigt wurde. Das FBI-Büro in Boston führte die Aktion gegen ein weltweites Spionagenetzwerk der russischen Militäraufklärung GRU, genauer gesagt der Einheit Militäreinheit 26165. Diese Gruppe, in der Branche auch als APT28, Fancy Bear oder Forest Blizzard bekannt, hatte nachweislich mehr als 18.000 Router in kleinen Büros und Privathaushalten weltweit kompromittiert.

Brett Leatherman, stellvertretender Direktor der Cyber-Abteilung des FBI, beschrieb, wie die GRU die Geräte für ein nahezu unsichtbares Spionagenetz nutzte. Allein in den USA wurden infizierte Geräte in mindestens 23 Bundesstaaten identifiziert. Rund 200 Organisationen und tausende Privathaushalte waren betroffen.

Im April erhielt das FBI gerichtliche Anordnungen, um direkt Befehle an die infizierten Router zu senden. Diese Befehle setzten die schädlichen Konfigurationen zurück und trennten die Verbindung zur russischen Infrastruktur – ohne persönliche Daten der Nutzer zu sammeln. Doch die Behörden stellten klar: Diese Aktion war nur eine vorübergehende Lösung. Die zugrunde liegenden Software-Schwachstellen bestehen weiter.

DNS-Entführung: Die perfide Methode der Angreifer

Die GRU manipulierte die DNS-Einstellungen der Router. Dadurch konnten sie den gesamten Datenverkehr aller angeschlossenen Geräte – Laptops, Smartphones, Tablets – über ihre eigenen Server umleiten. Diese Technik ermöglichte sogenannte „Actor-in-the-Middle“-Angriffe.

Ein Beispiel: Die Hacker erstellten gefälschte DNS-Einträge für bekannte Dienste wie Microsoft Outlook Web Access. Wollte ein Nutzer sein E-Mail-Konto aufrufen, landete er auf einer täuschend echten Nachbildung der Anmeldeseite. Dort wurden Passwörter, Authentifizierungstoken und vertrauliche Kommunikation abgegriffen.

Besonders effektiv waren die Angreifer bei älteren Geräten. Viele der betroffenen Router stammten von TP-Link und waren nicht auf dem neuesten Sicherheitsstand. Zwar zwang die FBI-Aktion die Geräte zurück zu den legitimen DNS-Servern der Internetanbieter. Doch die Ermittler warnen: Bleiben die Standard-Zugangsdaten erhalten oder die Firmware ungepatcht, können die Angreifer jederzeit zurückkehren.

Wenn Hacker den Datenverkehr über manipulierte Router umleiten, sind Banking-Apps und Messenger auf dem Smartphone besonders gefährdet. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie mit fünf einfachen Maßnahmen Ihre mobilen Daten wirksam vor Spionage schützen. GRATIS-Sicherheitspaket für Ihr Smartphone anfordern

End-of-Life-Hardware: Ein Dauerproblem

Die aktuelle Warnung adressiert ein grundlegendes Problem: veraltete Hardware. Bereits im Mai 2025 warnte das FBI vor der „TheMoon“-Schadsoftware, die gezielt Router attackierte, die keine Sicherheitsupdates mehr erhielten.

Die Liste der verwundbaren Geräte umfasst Dutzende Modelle, die zwischen 2009 und 2011 produziert wurden. Darunter mehrere Linksys-Modelle wie der E1200, E2500, E1000, E4200 und WRT320N. Sicherheitsexperten betonen: Da diese Geräte keine Patches mehr erhalten, bleiben sie dauerhaft angreifbar.

Die Behörden empfehlen daher dringend:
- Firmware aktualisieren: Sofort die neueste Version installieren
- Standard-Zugangsdaten ändern: Einzigartige, komplexe Passwörter vergeben
- Remote-Verwaltung deaktivieren: Diese Funktion in den Router-Einstellungen ausschalten
- Router neu starten: Nach allen Änderungen einen Neustart durchführen

Ein neuer Ansatz in der Cyber-Abwehr

Die Aktionen von April und Mai 2025 markieren einen Strategiewechsel der US-Behörden. Statt nur zu warnen, greifen FBI und NSA zunehmend aktiv in die Infrastruktur der Angreifer ein. Ziel ist es, feindliche Akteure mit rechtlichen Mitteln aus den heimischen Netzwerken zu vertreiben.

Der Kampf um die Router-Sicherheit beschränkt sich nicht auf Russland. Ende April veröffentlichten FBI und CISA eine gemeinsam Warnung vor China-nahen Akteuren, die ähnliche „verdeckte Netzwerke“ aus kompromittierten Routern aufbauen. Gruppen wie Volt Typhoon nutzen diese Geräte als Sprungbrett, um in kritische Infrastrukturen einzudringen.

Die internationale Dimension des Problems führte zu einer koordinierten Aktion mit 15 Partnerländern. Alle betonten: Die „räuberische Nutzung“ privater Netzwerke bleibt eine permanente Bedrohung für die nationale Sicherheit.

Ausblick: Der Router als Sicherheitsrisiko

Stand Mitte Mai 2025 überwachen die Ermittler die 18.000 betroffenen Geräte weiterhin auf Anzeichen einer erneuten Infektion. Die Zerschlagung des russischen DNS-Netzwerks war ein bedeutender Erfolg. Doch die Behörden warnen: Solange unsichere Geräte im Umlauf sind, wird der Kreislauf der Angriffe weitergehen.

Das FBI arbeitet mit Internetanbietern zusammen, um betroffene Nutzer zu informieren. Doch die Verantwortung liegt letztlich bei jedem Einzelnen. Der Router ist kein Gerät zum „Einrichten und Vergessen“. Er ist ein kritisches Sicherheitselement – und ohne regelmäßige Pflege ein offenes Tor für staatliche Hacker.

de | wissenschaft | 69301703 |