Sicherheitsforscher von Cato Networks haben eine massive Botnet-Kampagne aufgedeckt, die mehr als 6000 TP-Link Archer Router weltweit kompromittiert hat. Die als „Ballista“ bezeichnete Malware nutzt gezielt eine kritische Sicherheitslücke aus und gefährdet besonders Unternehmen in den Bereichen Produktion, Gesundheitswesen und Technologie.
Die technischen Details der Sicherheitslücke
Die Schwachstelle CVE-2023-1389 wurde erstmals im Dezember 2022 während des Pwn2Own-Wettbewerbs identifiziert. Sie ermöglicht Angreifern die Remote Code Execution auf TP-Link Archer AX-21 Routern. Obwohl TP-Link im März 2023 mit der Firmware-Version 1.1.4 Build 20230219 einen Sicherheitspatch veröffentlichte, bleiben viele Geräte weiterhin ungeschützt und damit angreifbar.
Funktionsweise und Fähigkeiten des Ballista-Botnets
Die Infektion erfolgt über einen speziellen Dropper (dropbpb.sh), der die Hauptkomponente der Malware auf das Zielsystem lädt. Bemerkenswert ist die breite Unterstützung verschiedener Hardware-Architekturen, darunter mips, mipsel, armv5l, armv7l und x86_64. Nach erfolgreicher Installation etabliert die Malware einen verschlüsselten Kommunikationskanal zum Command-and-Control-Server über Port 82.
Kritische Bedrohungsfunktionen
Das Ballista-Botnet verfügt über ein umfangreiches Arsenal an Angriffsmöglichkeiten:
- Ferngesteuertes Command Execution
- DDoS-Angriffsfähigkeiten
- Zugriff auf sensitive Systemdateien
- Automatisierte Verbreitung via CVE-2023-1389
- Fortschrittliche Tarnmechanismen
Geografische Verteilung und Zielgruppen
Die höchsten Infektionsraten wurden in Brasilien, Polen, Großbritannien, Bulgarien und der Türkei registriert. Forensische Analysen der Malware-Infrastruktur deuten auf Verbindungen zu italienischen Cyberkriminellen hin. Hauptsächlich betroffen sind Organisationen in den USA, Australien, China und Mexiko.
Die Bedrohung entwickelt sich kontinuierlich weiter. Aktuelle Malware-Samples zeigen eine Evolution von statischen IP-Adressen hin zu einer sophistizierten Tor-basierten Infrastruktur, was die Erkennung und Abwehr erheblich erschwert. Betreibern von TP-Link Archer Routern wird dringend empfohlen, ihre Firmware umgehend zu aktualisieren und zusätzliche Sicherheitsmaßnahmen wie Network Segmentation und verstärktes Monitoring zu implementieren. Die zeitnahe Durchführung dieser Schutzmaßnahmen ist essentiell, um das Risiko einer Kompromittierung durch das Ballista-Botnet zu minimieren.
