Ballista-Botnetz: Italienische Hacker nutzen Schwachstellen in TP-Link-Routern

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung für die Cybersicherheit hat sich in Form des Ballista-Botnetzes manifestiert, das gezielt Schwachstellen in TP-Link-Routern ausnutzt. Diese Entwicklung wirft ein Schlaglicht auf die anhaltenden Herausforderungen in der IoT-Sicherheit.

Die Cybersicherheitslandschaft wird erneut durch ein Botnetz erschüttert, das sich auf ungesicherte TP-Link-Router konzentriert. Das Ballista-Botnetz, das von italienischen Hackern betrieben wird, nutzt eine bekannte Schwachstelle in den TP-Link Archer-Routern aus, die als CVE-2023-1389 verfolgt wird. Diese Schwachstelle ermöglicht Remote-Code-Ausführung und wurde bereits in der Vergangenheit von anderen Botnetzen wie Mirai ausgenutzt.

Die Bedrohung wurde von den Sicherheitsexperten von Cato Network entdeckt, die eine globale IoT-Botnetzkampagne beobachteten, die Anfang 2025 begann. Die Angreifer verwenden zunächst ein Bash-Skript als Payload-Dropper, um die Malware zu verbreiten. Um der Entdeckung zu entgehen, wechselte das Botnetz später zur Nutzung von Tor-Domains, was die Verfolgung erschwert.

Einmal auf einem Gerät installiert, richtet die Malware einen TLS-verschlüsselten Command-and-Control-Kanal auf Port 82 ein, der es den Angreifern ermöglicht, die kompromittierten Geräte vollständig zu kontrollieren. Dies umfasst das Ausführen von Shell-Befehlen, um weitere Angriffe wie Remote-Code-Ausführung und Denial-of-Service-Attacken durchzuführen. Zudem versucht die Malware, sensible Dateien auf dem lokalen System auszulesen.

Cato Network vermutet mit moderater Sicherheit, dass die Angreifer in Italien ansässig sind, da die entdeckten IP-Adressen aus diesem Land stammen und italienische Zeichenfolgen im Binärcode gefunden wurden. Diese Hinweise führten zur Benennung des Botnetzes als “Ballista”.

Das Ballista-Botnetz zielt vor allem auf Organisationen in den Bereichen Fertigung, Medizin und Gesundheitswesen sowie Technologie ab, insbesondere in den USA, Australien, China und Mexiko. Mit über 6.000 anfälligen, internetverbundenen Geräten ist die Angriffsfläche beträchtlich, und die Angriffe dauern weiterhin an.

Um sich gegen Ballista zu schützen, wird empfohlen, die TP-Link Archer-Router auf die neueste Firmware-Version zu aktualisieren. Das Unternehmen hat das Problem in der Firmware-Version 1.1.4 Build 20230219 adressiert. Diese Maßnahme ist entscheidend, um die Sicherheit der betroffenen Geräte zu gewährleisten und die Ausbreitung des Botnetzes zu stoppen.

Bestseller Nr. 1

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3

PLAUD Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4

KI-Sprachrekorder, PLAUD NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

79,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!