Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 08 april 2026

APT28 valt routers aan voor DNS-kaping

De beruchte Russische hackersgroep APT28, gelieerd aan de militaire inlichtingendienst GRU, maakt op grote schaal misbruik van kwetsbare routers om internetverkeer te kapen. Volgens een gezamenlijke waarschuwing van internationale veiligheidsdiensten, waaronder het Britse NCSC, gebruikt de groep DNS-hijacking om inloggegevens en authenticatietokens buit te maken van organisaties wereldwijd.

Cybercrime Networking Rusland
APT28 valt routers aan voor DNS-kaping image

De methode: Van router naar wachtwoord

De aanvalsketen begint bij het exploiteren van bekende kwetsbaarheden in routers voor kleine kantoren en thuisgebruik (SOHO), zoals specifieke modellen van TP-Link en MikroTik. Zodra de hackers toegang hebben tot een router, overschrijven ze de DNS-instellingen (Domain Name System).

Het DNS-protocol fungeert als het telefoonboek van het internet: het vertaalt een webadres (zoals email.bedrijf.nl) naar het juiste IP-adres. Door deze instellingen aan te passen, dwingt APT28 de aangesloten apparaten — zoals laptops en smartphones — om hun zoekopdrachten via kwaadaardige servers te sturen.

'Adversary-in-the-Middle'

Wanneer een gebruiker probeert in te loggen op een e-mailaccount of een bedrijfsportaal, wordt hij door de gemanipuleerde DNS ongemerkt naar een valse server van de aanvallers geleid. Hier vindt een zogenaamde Adversary-in-the-Middle (AitM) aanval plaats:

  • Selectief filteren: De hackers sturen algemeen verkeer door naar de echte sites, maar onderscheppen specifiek verkeer naar inlogpagina's die voor hen van inlichtingenwaarde zijn.
  • Oogst van tokens: Naast wachtwoorden steelt de groep ook OAuth-tokens. Hiermee kunnen zij beveiligingsmaatregelen zoals tweestapsverificatie (MFA) omzeilen en langdurig toegang houden tot accounts zonder dat de gebruiker dit merkt.

Opportunistisch doelwit, strategische filtering

De operatie wordt omschreven als 'opportunistisch'. APT28 werpt een groot net uit door duizenden routers tegelijk te scannen op lekken (zoals CVE-2023-50224 bij TP-Link routers). Pas nadat de gegevens binnenstromen, filteren de hackers de slachtoffers uit die interessant zijn voor spionagedoeleinden.

De NCSC merkt op dat een specifiek cluster van deze infrastructuur ook direct werd ingezet voor operaties tegen MikroTik-routers in Oekraïne, wat de strategische focus van de Russische inlichtingendienst onderstreept.

Wie is APT28?

APT28 staat ook bekend onder namen als Fancy Bear en Forest Blizzard. De groep wordt direct gelinkt aan Unit 26165 van de Russische GRU. Ze werden eerder verantwoordelijk gehouden voor de hack van het Duitse parlement in 2015 en een poging tot inbraak bij de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag in 2018.

Advies en mitigatie

Veiligheidsdiensten adviseren organisaties en thuiswerkers om hun router-firmware onmiddellijk te updaten naar de laatste versie. Omdat de aanval zich op de router zelf afspeelt, merken eindgebruikers op hun apparaten vaak niets van de kaping.

Belangrijke preventieve maatregelen:

  1. Routerbeheer: Wijzig standaardwachtwoorden en schakel extern beheer (Remote Management) uit.
  2. DNS-beveiliging: Gebruik versleutelde DNS-protocollen zoals DNS-over-HTTPS (DoH) om manipulatie van buitenaf moeilijker te maken.
  3. Monitoring: Let op ongebruikelijke inlogpogingen vanuit onbekende IP-adressen, zelfs als deze over de juiste authenticatietokens beschikken.

Door deze 'onzichtbare' kaping van routers vormt APT28 een aanhoudende dreiging voor de integriteit van bedrijfsdata en de privacy van werknemers.

Akamai Tech Day Benelux BW + BN Axians BW + BN

Dutch IT events

Event icon

Event

Eurofiber You're on Stage Academy 2025

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events
SAP Connect Day BN