Thought Leadership
Sicherheitsforscher des Threat-Research-Teams von Cato Networks haben eine neue Bedrohung identifiziert: das IoT-Botnetz „Ballista“. Diese Schadsoftware nutzt eine gravierende Sicherheitslücke in TP-Link Archer-Routern aus, um sich ungehindert im Internet zu verbreiten.
Besonders betroffen ist das Modell AX21 (auch bekannt als AX1800). Die Schwachstelle mit der Kennung CVE-2023-1389 resultiert aus einer unzureichenden Eingabevalidierung in der Webschnittstelle der Router. Angreifer können dadurch schädliche Befehle mit Root-Rechten ausführen und die Kontrolle über das Gerät übernehmen.
Warum sind IoT-Geräte ein lohnendes Angriffsziel?
Bereits seit Jahren stehen vernetzte Geräte im Fokus von Cyberkriminellen. Besonders Router sind beliebt, da sie häufig veraltete Software verwenden und selten Sicherheitsupdates erhalten. Viele Nutzer vernachlässigen die Aktualisierung der Firmware, wodurch Schwachstellen oft lange ungeschützt bleiben. Bekannte Botnetze wie Mirai oder Mozi haben gezeigt, wie einfach sich IoT-Geräte in großem Stil kompromittieren lassen, schreiben die Forscher.
Seit Beginn des Jahres 2025 beobachtet Cato CTRL eine steigende Anzahl von Angriffen auf IoT-Geräte. Am 10. Januar wurde die „Ballista“-Kampagne erstmals identifiziert, bis zum 17. Februar registrierten die Experten zahlreiche Zugriffsversuche. Die Malware nutzt einen Dropper, um Schadsoftware herunterzuladen und auszuführen. Dabei passen die Angreifer ihre Methoden kontinuierlich an, etwa durch den Einsatz von Tor-Domains, um ihre Spuren zu verschleiern.
Wie funktioniert das Ballista-Botnetz?
Nach der Infektion eines Routers baut die Malware einen verschlüsselten Command-and-Control (C2)-Kanal auf Port 82 auf. Dies ermöglicht es den Angreifern, das Gerät vollständig zu kontrollieren und führt unter anderem zu folgenden Gefahren:
- Ausführung beliebiger Shell-Befehle
- Durchführung von Denial-of-Service (DoS)-Angriffen
- Zugriff auf sensible Systemdateien
Zusätzlich verbreitet sich die Malware weiter, indem sie andere TP-Link Archer-Router mit derselben Sicherheitslücke infiziert. Ihre modulare Architektur ermöglicht den Einsatz spezieller Funktionen wie ein Exploiter-Modul zur Verbreitung sowie ein Flooder-Modul für DDoS-Angriffe.
Ziele und Herkunft des Angriffs
Besonders im Visier von „Ballista“ stehen Organisationen aus den Bereichen Fertigung, Gesundheitswesen, Dienstleistungen und Technologie. Die Angriffe wurden in mehreren Ländern, darunter die USA, Australien, China und Mexiko, beobachtet. Eine Censys-Suche ergab, dass über 6.000 Geräte potenziell verwundbar sind. Cato vermutet, dass der Angriff von einem italienischen Bedrohungsakteur stammt. Diese Einschätzung basiert auf einer Analyse der C2-Server-IP sowie auf italienischen Sprachfragmenten in der Malware.
Obwohl „Ballista“ Parallelen zu anderen Botnetzen wie Mirai aufweist, handelt es sich um eine eigenständige Bedrohung mit spezifischen Angriffsmethoden.
Schutz vor IoT-Bedrohungen
Die steigende Anzahl von Angriffen auf IoT-Geräte zeigt erneut, wie dringend Sicherheitsmaßnahmen erforderlich sind. Schwachstellen wie CVE-2023-1389 verdeutlichen, dass regelmäßige Updates und Sicherheitsvorkehrungen essenziell sind, um Infektionen zu verhindern. Unternehmen und Privatnutzer sollten IoT-Geräte genau überwachen, Firmware-Updates konsequent durchführen und zusätzliche Schutzmaßnahmen wie Firewalls und Netzwerksegmentierung einsetzen, um ihre Infrastruktur abzusichern.
