Am 27. Februar 2024 veröffentlichten das Federal Bureau of Investigation (FBI), die National Security Agency (NSA), das US Cyber Command mit mehreren internationalen Partnern ein gemeinsames Cybersecurity Advisory (CSA), um vor der weltweiten Nutzung kompromittierter Ubiquiti EdgeRouter (EdgeRouter) durch staatliche, russische Cyber-Akteure für weitere Cyber-Operationen zu warnen.
Die beteiligten Behörden, darunter auch das Bundesamt für Verfassungsschutz sowie das Bundeskriminalamt, schreiben die Angriffe nach umfangreichen Ermittlungen der Gruppierung APT28, auch bekannt als Fancy Bear oder Forst Blizzard (Strontium) zu. Diese ist dem russischen Militärgeheimdienst GRU untergeordnet. Die Angreifer nutzen seit 2022 unter anderem bereits zuvor durch das sogenannte Moobot-Botnetz infizierte EdgeRouter zur Sammlung von Zugangsdaten und NTLMv2-Digests. Darüber hinaus wurden die Geräte ohne Wissen der Besitzer auch zum Hosting von Landingpages für Spear-Phishing-Kampagnen, zur Weiterleitung von Netzwerkverkehr sowie zum Hosting von Malware verwendet.
Bereits im Januar wurde in einer internationalen Aktion ein von APT28 genutztes Botnetz, bestehend aus den genannten Routern, zerschlagen. Auch in Deutschland wurden Geräte durch APT28 missbräuchlich verwendet und konnten unschädlich gemacht werden.
Die Cyberabwehr im Landesamt für Verfassungsschutz empfiehlt daher dringend, beim Einsatz entsprechender Geräte die in der CSA empfohlenen Mitigations- und Detektionsmaßnahmen umzusetzen.