Liebe Community,
aktuelle Nachrichten aus der Welt der Cybersicherheit geben Anlass zur Sorge und unterstreichen einmal mehr die Bedeutung unserer Mission. Internationale Sicherheitsbehörden, darunter das britische National Cyber Security Center (NCSC)(Link: https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations), das amerikanische Federal Bureau of Investigation (FBI)(Link: https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-dns-hijacking-network-controlled) und auch der deutsche Verfassungsschutz (Link: https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2026/2026-04-07-joint-cybersecurity-advisory.html), warnen vor einer großangelegten Angriffswelle auf private und geschäftliche Internetrouter.
Mutmaßlich russische Staatshacker, die der Gruppe APT28 (auch als „Fancy Bear“ oder „Forest Blizzard“ bekannt) zugeordnet werden, haben es geschafft, tausende Geräte der Marken TP-Link und MikroTik zu kapern.
Was ist passiert und wie funktioniert der Angriff?
Die Angreifer nutzen bekannte Sicherheitslücken in der Firmware der Router aus, um die Kontrolle über die Geräte zu erlangen. Insbesondere Modelle wie der TP-Link WR841N waren betroffen. Sobald die Hacker Zugriff haben, manipulieren sie die DNS-Einstellungen der Router. Das kann man sich wie das Umleiten von Post vorstellen: Anstatt die Datenpakete an die korrekte Web-Adresse zu senden, werden sie über Server der Angreifer umgeleitet.
Diese Methode, bekannt als DNS-Hijacking, ermöglicht es den Angreifern, den gesamten Traffic mitzulesen und sogenannte „Adversary-in-the-Middle“-Angriffe durchzuführen. Das Ziel ist der Diebstahl von sensiblen Daten wie Passwörtern, Zugangs-Tokens für E-Mail-Konten und andere private Informationen. Die Angriffe scheinen breit gestreut zu sein, um eine große Anzahl potenzieller Opfer zu erreichen und dann gezielt nach relevanten Informationen zu filtern.
Das Problem mit proprietärer Firmware
Dieser Vorfall zeigt einmal mehr die Schwächen von proprietärer, also herstellereigener, Software auf Netzwerkgeräten.
Hersteller kommerzieller Router veröffentlichen Sicherheitsupdates oft langsam und für ältere Geräte oft nicht mehr. Für ältere Geräte kann das bedeuten, dass bekannte Sicherheitslücken nicht mehr vom Hersteller geschlossen werden. Bei noch unterstützten Geräten kann das Ausrollen der Sicherheitsupdates lange dauern und somit die Sicherheitslücke bis zur Installation der neuen Updates aktiv ausgenutzt werden. Das spielt natürlich auch Angreifern gewissermassen in die Karten, da diese mehr Zeit für ihre Angriffe haben. Ebenso ist es bei „Closed-Source“-Software schwer möglich die Software selbst nach Sicherheitslücken zu untersuchen. Hierfür ist, wenn überhaupt, tief technisches Wissen und Skills im Reverse Engineering notwendig. Zudem bewegen wir uns dann in einer Grauzone, da das Reverse Engineering oft durch AGBs nicht erlaubt ist. Auch können wir uns nicht sicher sein, ob der Hersteller selbst Backdoors in seine Firmware gebaut hat, die es ihm ermöglichen Daten abzufischen oder Änderungen an Konfigurationen vorzunehmen.
Warum Open Source die bessere Antwort ist
Genau hier setzt unsere Philosophie an und zeigt, warum freie und offene Software die robustere Alternative ist. Projekte wie OpenWrt, die Grundlage für unsere Freifunk-Firmware, bietet entscheidende Vorteile. Der Quellcode unserer Basis, also OpenWrt ist offen für jeden einsehbar und kann nach belieben angepasst werden. Auch ist es so einfacher möglich, Schwachstellen zu finden und zu beheben. Die aktive Community um Freifunk und OpenWrt ermöglicht schnelle Beseitigungen von Sicherheitslücken und transparente Update-Zyklen. Ist ein Gerät beim Hersteller end-of-life, kann es durch uns als Community noch weiter sicher betrieben werden. Der, meiner Meinung nach, größte Vorteil in der Nutzung von freier Firmware ist allderdings, dass wir selbst entscheiden können welche Dienste auf unseren Geräten betrieben werden sollen. Wir können individuell die Firmware auf unsere Bedürfnisse anpassen und so Services, die wir nicht benötigen deaktivieren. Die Deaktivierung, bzw. Deinstallation von Services, die nicht benötigt werden reduziert die Angriffsvektoren potentieller Angreifer.
Ein Aufruf an Euch!
Die aktuellen Ereignisse sind ein Warnschuss an uns alle. Jetzt ist ein geeigneter Zeitpunkt, Freunde, Familie und Nachbarn über die Vorteile von freier Router-Firmware aufzuklären.
- Informiert euch und andere: Sprecht über die Risiken von veralteter Hersteller-Firmware.
- Flasht alte Geräte: Helft Einsteigern dabei, ihre alten Router mit OpenWrt oder direkt mit unserer Freifunk-Firmware neues Leben einzuhauchen.
- Bleibt aktiv: Beteiligt euch an der Weiterentwicklung und meldet Fehler. Das unterstützt unsere Community. Jeder Beitrag zählt!
Lasst uns gemeinsam für ein freies, offenes und vor allem sicheres Netz einsetzen. Der Bedarf an Alternativen zu propreritärer Firmware ist größer denn je.
Euer Beitrag für ein sicheres Netz,
Philipp
Quellen:
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations