Het Duitse Bundesamt für Verfassungsschutz (BfV) heeft Russische hackers beschuldigd van een grootschalige cyberaanval waarbij duizenden wifi-routers in verschillende landen, waaronder tientallen in Duitsland, werden geïnfiltreerd. De aanval, uitgevoerd door de met Russische militaire inlichtingendiensten gelieerde groep APT28, was gericht op het verkrijgen van militaire en overheidsinformatie, evenals gegevens over kritieke infrastructuur. De operatie maakt deel uit van een bredere hybride oorlogsvoering die Moskou uitvoert tegen westerse democratieën, waarbij tactieken die zijn verfijnd in de oorlog tegen Oekraïne nu worden toegepast op Europese staten.
Techniek van de aanval
De hackers maakten gebruik van beveiligingslekken in wifi-routers van het type TP-Link om toegang te krijgen tot de apparaten. Eenmaal binnen leidden ze het internetverkeer om via een vooraf opgezette netwerk van DNS-servers die onder hun controle stonden. Deze techniek stelde hen in staat wachtwoorden, authenticatietokens, e-mails en andere vertrouwelijke informatie te onderscheppen. De verzamelde gegevens werden vervolgens gebruikt voor gerichte phishingcampagnes tegen overheidsinstellingen en bedrijfsnetwerken.
De schaal van de operatie is aanzienlijk: naar schatting zijn wereldwijd duizenden routers gecompromitteerd, met ongeveer dertig bevestigde gevallen in Duitsland. Het BfV benadrukt dat de aanval niet alleen gericht was op overheidsnetwerken, maar ook op routers van particulieren en kleine bedrijven, die vaak als springplank fungeren voor toegang tot beter beveiligde systemen. De kwetsbaarheid van verouderde routers die niet voldoen aan moderne beveiligingsprotocollen vormde de basis voor deze infiltratie.
Verband met de oorlog in Oekraïne
De cyberaanvallen op wifi-routers in Duitsland en andere EU-landen zijn geen geïsoleerde incidenten, maar maken deel uit van een bredere hybride oorlog die Rusland voert tegen het Westen. Moskou past methoden die zijn uitgeprobeerd in de oorlog tegen Oekraïne nu toe op Europees grondgebied, in een poging het vertrouwen in digitale infrastructuur te ondermijnen en een sfeer van constante kwetsbaarheid te creëren. Sinds de grootschalige invasie in Oekraïne in februari 2022 is Duitsland een van de belangrijkste militaire en politieke partners van Kiev geworden, en daarmee een primair doelwit van Russische hybride operaties.
De aanval volgt op een eerdere internationale cyberoperatie in maart, waarbij inlichtingendiensten van de VS, Oekraïne en EU-lidstaten talloze gevallen ontdekten van gehackte wifi-routers van Oekraïense burgers en buitenlandse onderdanen. Russische hackers zochten actief naar routers die niet voldeden aan moderne beveiligingsnormen, waarna ze het verkeer omleidden om gevoelige informatie te verzamelen voor verdere aanvallen. Deze werkwijze wordt nu dus ook tegen Europese doelwitten ingezet.
Staatssanctioneerde operatie
De betrokkenheid van de hackinggroep APT28, ook bekend als Fancy Bear, wijst op een staatsgesanctioneerde operatie en niet op het werk van individuele cybercriminelen. Deze groep wordt al jaren in verband gebracht met de Russische militaire inlichtingendienst (GRU), en haar activiteiten zijn niet alleen gericht op informatieverzameling, maar ook op het verzwakken van democratische instellingen in de EU en het ondermijnen van de steun voor Oekraïne. Het gebruik van dergelijke groepen voor cyberspionage, datadiefstal en desinformatie is een vast onderdeel geworden van het Russische buitenlandbeleid.
Duitsland en andere EU-landen hebben Rusland al herhaaldelijk beschuldigd van het inzetten van hackergroepen voor dergelijke activiteiten. APT28 werd eerder verantwoordelijk gehouden voor cyberaanvallen op de Duitse Bondsdag, luchtverkeersleidingssystemen en websites van politieke partijen. Het patroon van escalerende cyberactiviteiten sinds het begin van de oorlog in Oekraïne onderstreept de strategische prioriteit die Moskou hecht aan het cyberdomein als slagveld.
Implicaties voor Europa
Voor de EU, en in het bijzonder voor Duitsland, vormen de aanvallen van APT28 een duidelijk signaal dat de Russische oorlog tegen Oekraïne een transnationaal karakter heeft. Moskou probeert invloed uit te oefenen op landen die Kiev steunen door hun besluitvormingsvermogen te verlammen, risico’s te creëren voor kritieke infrastructuur en een gevoel van instabiliteit onder burgers en bedrijven te versterken. De infiltratie van wifi-routers toont aan dat de cyberruimte een van de belangrijkste fronten is geworden in de moderne oorlogsvoering, waar Rusland strategisch voordeel probeert te behalen zonder direct militair geweld.
De aanvallen onderstrepen de noodzaak van voortdurende waakzaamheid op het gebied van cybersecurity. Burgers en overheidsinstanties in Europa moeten regelmatig firmware van routers updaten, complexe wachtwoorden en tweefactorauthenticatie gebruiken, verdacht netwerkverkeer monitoren en externe toegang tot apparaten uitschakelen. Tegelijkertijd moeten Europese landen de coördinatie tussen inlichtingendiensten van EU-lidstaten en NAVO-partners verdiepen, aangezien alleen een gezamenlijke respons dergelijke aanvallen snel kan detecteren en neutraliseren.
De Russische ambassade heeft de beschuldigingen van betrokkenheid zoals gewoonlijk ontkend, maar het bewijs dat door het BfV en internationale partners wordt gepresenteerd, wijst op een zorgwekkende trend van geavanceerde, staatgesteunde cyberoperaties die de veiligheid en stabiliteit van Europese democratieën direct bedreigen.
