Ballista-Botnetz
Eine neue Botnetz-Kampagne namens Ballista wurde identifiziert, die gezielt ungepatchte TP-Link Archer-Router angreift. Cybersicherheitsforscher haben herausgefunden, dass das Botnetz eine Remote Code Execution (RCE)-Sicherheitslücke – CVE-2023-1389 – ausnutzt, um sich im Internet zu verbreiten. Diese schwerwiegende Schwachstelle betrifft TP-Link Archer AX-21-Router und ermöglicht es Angreifern, Befehle aus der Ferne auszuführen und die Kontrolle über das Gerät zu übernehmen.
Inhaltsverzeichnis
Eine Zeitleiste der Ausbeutung
Hinweise auf eine aktive Ausnutzung der Schwachstelle stammen aus dem April 2023, als unbekannte Bedrohungsakteure die Schwachstelle erstmals nutzten, um die Mirai- Botnet-Malware zu verbreiten. Seitdem wurde die Schwachstelle genutzt, um andere Malware-Varianten wie Condi und AndroxGh0st zu verbreiten, wodurch ihre Reichweite und Wirkung weiter zugenommen haben.
So funktioniert der Angriff
Die Angriffssequenz beginnt mit einem Malware-Dropper – einem Shell-Skript namens „dropbpb.sh“ –, das eine schädliche Binärdatei herunterlädt und auf den Zielroutern ausführt. Die Malware ist für die Ausführung auf verschiedenen Systemarchitekturen ausgelegt, darunter MIPS, mipsel, armv5l, armv7l und x86_64. Nach der Installation richtet sie einen verschlüsselten Command-and-Control-Kanal (C2) auf Port 82 ein, der es Angreifern ermöglicht, das infizierte Gerät fernzusteuern.
Fähigkeiten des Ballista-Botnetzes
Sobald Ballista in ein System eingedrungen ist, können Angreifer eine Reihe von Befehlen ausführen, darunter:
- Flooder – Startet einen Flood-basierten Denial-of-Service-Angriff (DoS).
- Exploiter – Nutzt CVE-2023-1389 aus, um weitere Router zu infizieren.
- Start – Initiiert das Exploiter-Modul.
- Schließen – Stoppt das Exploit-Modul.
- Shell – Führt Linux-Shell-Befehle auf dem infizierten System aus.
- Killall – Beendet den laufenden Malware-Dienst.
Darüber hinaus kann die Schadsoftware Spuren ihrer eigenen Präsenz löschen und sich selbstständig verbreiten, indem sie anfällige Geräte aufspürt und ausnutzt.
Anzeichen einer italienischen Verbindung
Eine Analyse der Infrastruktur von Ballista enthüllt einen italienischen Bezug. Die Malware-Binärdateien enthalten italienische Zeichenfolgen, und der ursprüngliche C2-Server war unter der italienischen IP-Adresse 2.237.57.70 gehostet. Die Malware scheint sich jedoch kontinuierlich zu entwickeln, da neuere Versionen nun TOR-Netzwerkdomänen anstelle von fest codierten IP-Adressen verwenden.
Globale Auswirkungen: Tausende Router gefährdet
Eine gezielte Suche deutet darauf hin, dass bereits über 6.000 Geräte von Ballista betroffen sind. Zu den am stärksten gefährdeten Regionen zählen Brasilien, Polen, Großbritannien, Bulgarien und die Türkei. Angesichts seiner aktiven Entwicklung bleibt dieses Botnetz eine erhebliche Bedrohung für ungepatchte Router weltweit.
