Het Duitse Federale Bureau voor de Bescherming van de Grondwet waarschuwde dat Russische staatshackers kwetsbaarheden in TP-Link-routers hebben misbruikt om toegang te krijgen tot gevoelige netwerken. De waarschuwing werd uitgegeven in samenwerking met de Federale Inlichtingendienst en het Federal Bureau of Investigation.
De hackgroep APT28, ook bekend als Fancy Bear, wordt toegeschreven aan de Russische militaire inlichtingendienst, de GRU. Westerse regeringen beschuldigen APT28 al jaren van het uitvoeren van cyberspionageactiviteiten.
De autoriteiten meldden dat duizenden routers wereldwijd het doelwit waren, waarvan ongeveer 30 in Duitsland. In bevestigde gevallen van inbreuken hebben sommige operators de getroffen apparaten vervangen. De cybercampagne was primair gericht op militaire, overheids- en kritieke infrastructuurnetwerken. De BfV gaf aan dat APT28 eerder verschillende Duitse instellingen heeft aangevallen, waaronder het parlement en de politieke partij SPD.
In 2024 bracht het Amerikaanse ministerie van Defensie een advies uit over Russische cyberactoren die gecompromitteerde routers gebruiken voor cyberoperaties, waarin het 85th Main Special Service Center van de GRU, bekend als APT28 of Forest Blizzard, werd gespecificeerd.
Het advies stelde dat de aanvallen hackers in staat stelden inloggegevens te stelen, NTLMv2-hashes te verzamelen, netwerkverkeer te routeren en phishing-pagina’s en hacktools te hosten.
In een verwante stap heeft de Federal Communications Commission een verbod aangekondigd op nieuwe, in het buitenland gemaakte routers in de VS. Bestaande internetinstellingen voor thuis blijven onaangetast, aangezien het verbod alleen van toepassing is op nieuwe apparaten, waarbij leveranciers vrijstellingen mogen aanvragen.
