IoT-Geräte sind aufgrund ihrer mangelnden Sicherheit ein beliebtes Ziel von Cyberkriminellen. Auch das neue IoT-Botnetz namens“Ballista“, das Sicherheitsexperten Anfang des Jahres erstmalig identifiziert haben, nutzt entsprechende Schwachstellen aus und zielt auf TP-Link Archer-Router ab.
Besonders betroffen von Ballista ist das Modell AX21 (auch bekannt als AX1800). Das Botnetz nutzt eine Sicherheitslücke zur Remote-Code-Ausführung (CVE-2023-1389) aus, um sich automatisch über das Internet zu verbreiten. Die Sicherheitslücke entsteht durch unzureichende Validierung von Benutzereingaben in der Webschnittstelle des Routers, was Angreifern die Ausführung von Befehlen mit Root-Rechten ermöglicht.
Ballista erstmals im Januar 25 entdeckt
IoT-Geräte wie Router sind seit Jahren ein beliebtes Ziel für Cyberangriffe, da sie häufig schlecht gewartet werden und Hersteller Sicherheitsaspekte vernachlässigen. Und Nutzer aktualisieren die Firmware der Geräte nur selten, wodurch Schwachstellen oft lange bestehen bleiben. Große Botnetze wie Mirai und Mozi haben gezeigt, wie einfach solche Geräte kompromittiert werden können.
Seit Anfang 2025 hat Cato CTRL Daten zu Angriffen auf IoT-Geräte gesammelt und dabei die Ballista-Kampagne entdeckt. Das Botnetz wurde erstmals am 10. Januar identifiziert, und bis zum 17. Februar wurden mehrere Zugriffsversuche beobachtet. Dabei kommt ein Malware-Dropper zum Einsatz, der die Schadsoftware herunterlädt und ausführt. Im Zuge der Analyse konnten die Experten feststellen, dass das Botnetz seine Taktiken anpasst, etwa durch den Wechsel zu Tor-Domains, um seine Aktivitäten zu verschleiern.
Funktionsweise, Ziele und Zuordnung von Ballista
Nach der Infektion richtet die Malware einen verschlüsselten Command-and-Control (C2)-Kanal auf Port 82 ein, über den sie kompromittierte Geräte vollständig steuern kann. Dies ermöglicht unter anderem:
- Ausführung von Shell-Befehlen
- Denial-of-Service (DoS)-Angriffe,
- Zugriff auf sensible Dateien im System
Die Malware verbreitet sich weiter, indem sie andere TP-Link Archer-Router über dieselbe Sicherheitslücke attackiert. Eine Besonderheit ist ihre modulare Architektur, die verschiedene Funktionen unterstützt, darunter ein Exploiter-Modul zur Verbreitung und ein Flooder-Modul für DDoS-Angriffe.
Im Visier des Ballista-Botnetz‘ sind Organisationen aus den Bereichen Fertigung, Gesundheitswesen, Dienstleistungen und Technologie unter anderem in Ländern wie den USA, Australien, China und Mexiko. Mithilfe einer Censys-Suche wurden über 6.000 potenziell gefährdete Geräte identifiziert. Cato geht davon aus, dass die Kampagne einem italienischen Bedrohungsakteur zuzuordnen ist. Diese Einschätzung basiert auf der IP-Adresse des C2-Servers und italienischen Strings in der Malware. Das Botnetz zeigt Ähnlichkeiten mit anderen bekannten Botnetzen wie Mirai, agiert jedoch eigenständig.
Fazit: Schwachstellen von IoT-Geräten sind ein beliebtes Ziel
IoT-Geräte bleiben aufgrund ihrer weit verbreiteten Nutzung und oft mangelhaften Sicherheit ein attraktives Ziel für Cyberkriminelle. Schwachstellen wie CVE-2023-1389 verdeutlichen die Notwendigkeit, IoT-Geräte regelmäßig zu aktualisieren und robuste Sicherheitslösungen einzusetzen. Organisationen sollten IoT-Geräte sorgfältig überwachen und absichern, um die Widerstandsfähigkeit ihrer Infrastruktur zu gewährleisten.
Mehr bei CatoNetworks.com
Über Cato
Cato leistete Pionierarbeit bei der Konvergenz von Netzwerken und Sicherheit in der Cloud. Angelehnt an Gartners Secure Access Service Edge (SASE)-Frameworks ist es die Vision von Cato, eine IT-Sicherheitsplattform der nächsten Generation zu liefern, die die Komplexität, Kosten und Risiken beseitigt, die mit herkömmlichen Point-Solutions verbunden sind.