PolarEdge Botnet

كشف باحثون أمنيون مؤخرًا عن آلية عمل شبكة بوت نت (botnet) مُركزة على أجهزة التوجيه، تُسمى PolarEdge. إن مزيجها من الاتصالات القائمة على TLS، وحيل التكوين المُدمجة، وإجراءات مُتعمدة لمقاومة التحليل، يجعلها تهديدًا ملحوظًا لأجهزة الشبكات المنزلية وشبكات الشركات الصغيرة والمتوسطة.

الجدول الزمني والاكتشاف

وثّق الباحثون شبكة PolarEdge لأول مرة في فبراير 2025، وربطوها بحملات استهدفت أجهزة التوجيه وأجهزة NAS من موردين متعددين. وبحلول أغسطس 2025، كان المحللون قد رسموا خريطة لمعظم البنية التحتية لشبكة البوت نت، ولاحظوا سمات تتوافق مع شبكة من نمط صندوق الترحيل التشغيلي (ORB). وتشير بيانات القياس عن بُعد بأثر رجعي إلى أن بعض أنشطة PolarEdge قد يعود تاريخها إلى يونيو 2023.

الأهداف والوصول الأولي

تم تحديد الأجهزة من البائعين الرئيسيين، بما في ذلك Cisco وASUS وQNAP وSynology، كأهداف، مما يسلط الضوء على أن أجهزة التوجيه وأنظمة NAS من الدرجة المؤسسية والدرجة الاستهلاكية معرضة لخطر الاستغلال.

في سلسلة هجمات فبراير 2025، استغلّ مُخرِجو التهديدات ثغرة أمنية معروفة في شركة سيسكو (CVE-2023-20118) لجلب برنامج نصي صغير مُرسَل عبر بروتوكول FTP باسم "q". كان دور هذا البرنامج النصي هو جلب وتشغيل الباب الخلفي PolarEdge ELF على الجهاز المُخترق.

تصميم الزرع الأساسي

PolarEdge عبارة عن غرسة ELF قادرة على TLS تعمل بشكل أساسي على:

• يرسل بصمة المضيف إلى خادم الأوامر والتحكم (C2)، ثم
• ينتظر الأوامر عبر خادم TLS المدمج الذي تم تنفيذه باستخدام mbedTLS v2.8.0.

السلوك الافتراضي للزرع هو العمل كخادم TLS باستخدام بروتوكول ثنائي مخصص. أحد حقول البروتوكول الرئيسية هو HasCommand: عندما يساوي هذا الحقل حرف ASCII 1، يقرأ الزرع حقل Command، وينفذ الأمر المحدد محليًا، ويعيد إخراج الأمر الخام إلى C2.

طرق التشغيل

يدعم PolarEdge وضعين إضافيين:

وضع الاتصال مرة أخرى : يتصرف الزرع كعميل TLS لسحب الملفات من الخوادم البعيدة.

وضع التصحيح : وضع تفاعلي يسمح للمشغلين بتغيير معلمات التكوين (على سبيل المثال، عناوين الخادم) أثناء التشغيل.

التكوين المضمن والتعتيم

تُخزّن شبكة البوت نت إعدادات وقت التشغيل داخل آخر 512 بايت من صورة ELF. تُحجب هذه الكتلة باستخدام عملية XOR أحادية البايت؛ ويُفيد الباحثون بأن مفتاح XOR هو 0x11، والذي يجب استخدامه لاستعادة الإعدادات.

عمليات الملفات

بعد التنفيذ، تُجري الغرسة عمليات نقل وإزالة لنظام الملفات (من الأمثلة على ذلك نقل الملفات الثنائية مثل /usr/bin/wget و/sbin/curl، وحذف ملفات مثل /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). لم تُفهم الغاية التشغيلية الدقيقة وراء هذه الإجراءات بشكل كامل من البيانات المتاحة.

التهرب وتقنيات التحليل المضاد

يتضمن PolarEdge مجموعة من الآليات الدفاعية المتطورة المصممة للتهرب من الاكتشاف وإعاقة التحليل، مما يجعل من الصعب على الباحثين الأمنيين والأدوات الآلية تحديد سلوكه وتحليل عملياته الداخلية.

إنه يخفي تفاصيل إجراءات تهيئة خادم TLS وبصمات الأصابع عبر التعتيم.

أثناء بدء التشغيل، يقوم بإخفاء العملية، عن طريق اختيار اسم عملية عشوائيًا من قائمة مضمنة لدمجها مع خدمات النظام الشرعية.

بعض الأسماء المحتملة تشمل:

• igmpproxy
• مدرسة ويسكونسن الثانوية
• /sbin/dhcpd
• httpd
• upnpd
• تطبيق

المرونة دون المثابرة الكلاسيكية

يبدو أن PolarEdge لا يُثبّت آلية تثبيت تقليدية تصمد أمام إعادة التشغيل. بل يُجري خدعة أثناء التشغيل: يتفرّع، وتقوم العملية الفرعية بالتحقق كل 30 ثانية للتحقق مما إذا كان دليل/proc/ الخاص بالعملية الأصلية لا يزال موجودًا. إذا اختفى هذا الدليل (مما يُشير إلى اختفاء العملية الأصلية)، تُشغّل العملية الفرعية أمر شل لإعادة تشغيل الباب الخلفي، مما يُتيح استعادةً انتهازيًا أثناء التشغيل بدلًا من تثبيت دائم أثناء التشغيل.

الاستخلاصات الدفاعية

ينبغي على المؤسسات التي تدير أجهزة التوجيه وأجهزة NAS التأكد من تطبيق تحديثات الموردين وإجراءات التخفيف من آثار CVE-2023-20118 وثغرات التنفيذ عن بُعد المماثلة. وينبغي عليها مراقبة نشاط TLS غير المعتاد من أجهزة الشبكة والاتصالات الصادرة إلى مضيفين غير متوقعين. ومن الضروري أيضًا مراقبة علامات إخفاء العمليات وأي تغييرات أو عمليات حذف غير مصرح بها لثنائيات الشبكة والبرامج النصية التي تعمل على الويب.