Sicherheitslücke: Ballista-Botnetz infiziert tausende TP-Link Router

Ein neues Botnetz namens "Ballista" hat es auf TP-Link-Router abgesehen und infiziert massenhaft Geräte über eine bereits seit zwei Jahren bekannte Sicherheitslücke. Mehr als 6.000 Router sind bereits betroffen, und die Angriffe nehmen weiter zu. Doch wie konnte es so weit kommen?

Eine alte Schwachstelle im Router als Einfallstor

Die Angreifer nutzen eine Schwachstelle (CVE-2023-1389) im TP-Link Archer AX-21, die es ermöglicht, aus der Ferne schädlichen Code auszuführen. Dieses Sicherheitsrisiko war bereits in der Vergangenheit das Ziel anderer Malware, darunter Mirai, Condi und AndroxGh0st. Ein Patch ist seit April 2023 verfügbar, doch viele Nutzer haben ihre Router nie aktualisiert. So fristen ungesicherte Geräte ihr Dasein – bis sie in die Hände von Cyberkriminellen fallen.

Die erste Attacke von Ballista wurde am 10. Januar 2025 entdeckt, die letzte bekannte Angriffswelle am 17. Februar 2025. Besonders stark betroffen sind Router in Brasilien, Polen, dem Vereinigten Königreich, Bulgarien und der Türkei. Von diesen infizierten Geräten aus werden Angriffe auf Unternehmen in den USA, Australien, China und Mexiko durchgeführt.

Potenzielle Reichweite des Botnetzes

Obwohl derzeit 6.000 Router als infiziert gelten, könnte die tatsächliche Anzahl der betroffenen Nutzer und Unternehmen deutlich höher sein. In vielen Haushalten sind durchschnittlich fünf bis zehn Geräte mit dem Internet verbunden. Bei Unternehmen kann diese Zahl je nach Größe und Branche erheblich höher liegen. Daher könnten durch die 6.000 kompromittierten Router potenziell bis zu 60.000 oder mehr Geräte betroffen sein. Zum Vergleich: Das Mirai-Botnetz infizierte 2016 Hunderttausende von Geräten weltweit, was zu erheblichen Störungen führte.

Wie funktioniert die Infektion des TP-Link Routers?

Ballista nutzt mehrere Methoden, um Router zu infizieren. Nutzer müssen keine verdächtigen Links anklicken oder E-Mail-Anhänge öffnen – das Botnetz findet verwundbare Geräte oft von selbst. Angreifer scannen das Internet gezielt nach Routern mit bekannten Sicherheitslücken und kompromittieren diese direkt. Besonders gefährdet sind Geräte mit Standardpasswörtern oder veralteter Firmware, die es Hackern leicht macht, sich Zugriff zu verschaffen.

Eine weitere Verbreitungsmethode ist das sogenannte "Drive-by-Pharming". Hierbei genügt es, eine infizierte Webseite zu besuchen, die dann Schadcode ausführt, um die Router-Einstellungen zu manipulieren. Dadurch können beispielsweise DNS-Server geändert werden, um Nutzer auf gefälschte Webseiten umzuleiten. Diese Art von Angriff funktioniert besonders dann, wenn der Internetrouter mit den Werkseinstellungen betrieben wird und kein sicheres Passwort gesetzt wurde.

Spur führt nach Italien

Sicherheitsexperten vermuten, dass eine bisher unbekannte italienische Hackergruppe hinter den Angriffen steckt. Hinweise darauf geben die ursprüngliche IP-Adresse sowie die verwendeten Sprachmuster. Die Infrastruktur wurde jedoch inzwischen angepasst und nutzt das TOR-Netzwerk, was auf eine fortlaufende Weiterentwicklung des Botnetzes hindeutet.

Wie können Sie prüfen, ob Ihr Gerät betroffen ist?

• Logs überprüfen: Sichten Sie die Protokolle Ihres Routers auf verdächtige Anmeldungen oder unbekannte IP-Adressen.
• Ungewöhnlicher Datenverkehr: Achten Sie auf erhöhte Netzwerkaktivität oder unerklärlichen Datenverbrauch.
• DNS-Einstellungen kontrollieren: Stellen Sie sicher, dass die DNS-Server-Adressen nicht ohne Ihr Wissen geändert wurden.

Was können Nutzer tun?

• Firmware-Updates einspielen: Wer einen TP-Link-Internetrouter besitzt, sollte umgehend prüfen, ob die neueste Firmware installiert ist.
• Standard-Passwörter ändern: Viele Angriffe erfolgen durch das Ausnutzen schwacher oder unveränderter Zugangsdaten.
• Ports und externe Zugriffe prüfen: Falls nicht benötigt, sollten externe Administrationszugriffe deaktiviert werden.
• Netzwerkmonitore nutzen: Ungewöhnlicher Traffic oder ungewohnte Verbindungen können Anzeichen einer Infektion sein.
• Firewall-Einstellungen aktivieren: Die Firewall-Funktionen sollten eingeschaltet und regelmäßig überprüft werden.
• Fernsteuerungsfunktionen deaktivieren: Wenn nicht unbedingt benötigt, sollten Remote-Management-Funktionen deaktiviert werden.

Was bedeutet das für fonial Nutzer?

Da fonial Cloud-Telefonanlagen über das Internet erreichbar sind, können kompromittierte Internetrouter ein Risiko für die Erreichbarkeit und Sicherheit der Telefonie darstellen. Infizierte Internetrouter könnte beispielsweise VoIP-Daten abfangen oder Verbindungsabbrüche verursachen. fonial empfiehlt daher dringend, betroffene TP-Link Geräte auf den neuesten Stand zu bringen und sicherzustellen, dass keine ungesicherten Ports geöffnet sind.