PolarEdge Botnet

নিরাপত্তা গবেষকরা সম্প্রতি PolarEdge নামক রাউটার-কেন্দ্রিক বটনেট পরিবারের মেকানিক্স উন্মোচন করেছেন। TLS-ভিত্তিক যোগাযোগ, এমবেডেড কনফিগারেশন কৌশল এবং ইচ্ছাকৃত অ্যান্টি-অ্যানালাইসিস ব্যবস্থার সমন্বয় এটিকে হোম এবং SMB নেটওয়ার্ক যন্ত্রপাতির জন্য একটি উল্লেখযোগ্য হুমকি করে তোলে।

সময়রেখা এবং আবিষ্কার

গবেষকরা প্রথম ২০২৫ সালের ফেব্রুয়ারিতে PolarEdge-এর নথিভুক্তিকরণ করেন, এটিকে একাধিক বিক্রেতার রাউটার এবং NAS ডিভাইসগুলিকে লক্ষ্য করে প্রচারণা চালানোর সাথে যুক্ত করেন। ২০২৫ সালের আগস্টের মধ্যে, বিশ্লেষকরা বটনেটের বেশিরভাগ অবকাঠামো ম্যাপ করেছিলেন এবং একটি অপারেশনাল রিলে বক্স (ORB) স্টাইল নেটওয়ার্কের সাথে সামঞ্জস্যপূর্ণ বৈশিষ্ট্যগুলি পর্যবেক্ষণ করেছিলেন। রেট্রোস্পেক্টিভ টেলিমেট্রি পরামর্শ দেয় যে কিছু PolarEdge কার্যকলাপ ২০২৩ সালের জুন পর্যন্ত হতে পারে।

লক্ষ্য এবং প্রাথমিক প্রবেশাধিকার

সিসকো, আসুস, কিউএনএপি এবং সিনোলজির মতো প্রধান বিক্রেতাদের ডিভাইসগুলিকে লক্ষ্যবস্তু হিসেবে চিহ্নিত করা হয়েছে, যা তুলে ধরে যে এন্টারপ্রাইজ-গ্রেড এবং কনজিউমার-গ্রেড রাউটার এবং এনএএস সিস্টেম উভয়ই শোষণের ঝুঁকিতে রয়েছে।

২০২৫ সালের ফেব্রুয়ারির আক্রমণ শৃঙ্খলে, হুমকিদাতারা 'q' নামে একটি ছোট FTP-ডেলিভারি শেল স্ক্রিপ্ট আনার জন্য একটি পরিচিত Cisco দুর্বলতা (CVE-2023-20118) কাজে লাগায়। এই স্ক্রিপ্টের ভূমিকা ছিল আপোস করা হোস্টে PolarEdge ELF ব্যাকডোর পুনরুদ্ধার এবং চালু করা।

কোর ইমপ্লান্ট ডিজাইন

PolarEdge হল একটি TLS-সক্ষম ELF ইমপ্লান্ট যা মূলত:

• একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে একটি হোস্ট ফিঙ্গারপ্রিন্ট পাঠায়, তারপর
• mbedTLS v2.8.0 ব্যবহার করে বাস্তবায়িত একটি অন্তর্নির্মিত TLS সার্ভারের মাধ্যমে কমান্ডের জন্য অপেক্ষা করে।

ইমপ্ল্যান্টের ডিফল্ট আচরণ হল একটি কাস্টম বাইনারি প্রোটোকল ব্যবহার করে একটি TLS সার্ভার হিসেবে কাজ করা। একটি মূল প্রোটোকল ক্ষেত্র হল HasCommand: যখন এই ক্ষেত্রটি ASCII অক্ষর 1 এর সমান হয়, তখন ইমপ্ল্যান্ট কমান্ড ক্ষেত্রটি পড়ে, স্থানীয়ভাবে নির্দিষ্ট কমান্ডটি কার্যকর করে এবং raw কমান্ড আউটপুট C2 তে ফেরত দেয়।

কাজের ধরণ

PolarEdge দুটি অতিরিক্ত মোড সমর্থন করে:

কানেক্ট-ব্যাক মোড : ইমপ্লান্টটি দূরবর্তী সার্ভার থেকে ফাইল টেনে আনার জন্য একটি TLS ক্লায়েন্টের মতো আচরণ করে।

ডিবাগ মোড : একটি ইন্টারেক্টিভ মোড যা অপারেটরদের সাথে সাথে কনফিগারেশন প্যারামিটার (উদাহরণস্বরূপ, সার্ভার ঠিকানা) পরিবর্তন করতে দেয়।

এমবেডেড কনফিগারেশন এবং অস্পষ্টতা

বটনেট তার রানটাইম কনফিগারেশনটি ELF ছবির শেষ ৫১২ বাইটের ভেতরে সংরক্ষণ করে। ব্লকটি একটি একক-বাইট XOR দিয়ে অস্পষ্ট; গবেষকরা জানিয়েছেন যে XOR কীটি 0x11, যা কনফিগারেশন পুনরুদ্ধার করতে প্রয়োগ করতে হবে।

ফাইল অপারেশন

কার্যকর করার পর, ইমপ্ল্যান্ট ফাইল সিস্টেম স্থানান্তর এবং অপসারণ সম্পাদন করে (উদাহরণস্বরূপ /usr/bin/wget এবং /sbin/curl এর মতো বাইনারিগুলি সরানো এবং /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak এর মতো ফাইলগুলি মুছে ফেলা)। উপলব্ধ তথ্য থেকে এই ক্রিয়াগুলির পিছনে সঠিক কার্যক্ষম উদ্দেশ্য সম্পূর্ণরূপে বোঝা যায় না।

ফাঁকি এবং বিশ্লেষণ-বিরোধী কৌশল

PolarEdge সনাক্তকরণ এড়াতে এবং বিশ্লেষণে বাধা দেওয়ার জন্য ডিজাইন করা বিভিন্ন ধরণের অত্যাধুনিক প্রতিরক্ষামূলক ব্যবস্থা অন্তর্ভুক্ত করে, যা নিরাপত্তা গবেষক এবং স্বয়ংক্রিয় সরঞ্জামগুলির জন্য এর আচরণ সনাক্ত করা এবং এর অভ্যন্তরীণ কার্যকারিতা বিশ্লেষণ করা আরও কঠিন করে তোলে।

এটি অস্পষ্টতার মাধ্যমে তার TLS সার্ভারের প্রাথমিককরণ এবং ফিঙ্গারপ্রিন্টিং রুটিনের বিবরণ লুকিয়ে রাখে।

স্টার্টআপের সময়, এটি প্রক্রিয়া মাস্কেরেডিং করে, বৈধ সিস্টেম পরিষেবার সাথে মিশে যাওয়ার জন্য একটি অন্তর্নির্মিত তালিকা থেকে এলোমেলোভাবে একটি প্রক্রিয়ার নাম নির্বাচন করে।

সম্ভাব্য কিছু নাম হল:

• igmpproxy সম্পর্কে
• ডাব্লুএসসিডি
• /এসবিআইএন/ডিএইচসিপিডি
• httpd সম্পর্কে
• upnpd সম্পর্কে
• আইএপিপি

ক্লাসিক অধ্যবসায় ছাড়া স্থিতিস্থাপকতা

PolarEdge রিবুট করার পরেও টিকে থাকা কোনও ঐতিহ্যবাহী পারসিস্ট্যান্স মেকানিজম ইনস্টল করে বলে মনে হয় না। পরিবর্তে, এটি একটি রানটাইম ট্রিক করে: এটি প্রতি 30 সেকেন্ডে ফরকান করে এবং চাইল্ড প্রসেস পোল করে পরীক্ষা করে যে প্যারেন্টের/proc/ ডিরেক্টরিটি এখনও বিদ্যমান কিনা। যদি সেই ডিরেক্টরিটি অদৃশ্য হয়ে যায় (যা নির্দেশ করে যে প্যারেন্ট প্রসেসটি চলে গেছে), তাহলে চাইল্ড ব্যাকডোর পুনরায় চালু করার জন্য একটি শেল কমান্ড চালায়, যা কার্যকরভাবে স্থায়ী বুট-টাইম পারসিস্ট্যান্সের পরিবর্তে সুযোগসুবিধাজনক রানটাইম পুনরুদ্ধার প্রদান করে।

প্রতিরক্ষামূলক টেকওয়েস

রাউটার এবং NAS ডিভাইস পরিচালনাকারী প্রতিষ্ঠানগুলিকে নিশ্চিত করতে হবে যে তারা CVE-2023-20118 এবং অনুরূপ রিমোট-এক্সিকিউশন দুর্বলতার জন্য বিক্রেতা আপডেট এবং প্রশমন প্রয়োগ করছে। তাদের নেটওয়ার্ক যন্ত্রপাতি এবং অপ্রত্যাশিত হোস্টের সাথে আউটবাউন্ড সংযোগ থেকে অস্বাভাবিক TLS কার্যকলাপ সক্রিয়ভাবে পর্যবেক্ষণ করা উচিত। প্রক্রিয়া মাস্কেরেডিংয়ের লক্ষণ এবং নেটওয়ার্কিং বাইনারি এবং ওয়েব-ফেসিং স্ক্রিপ্টগুলির কোনও অননুমোদিত পরিবর্তন বা মুছে ফেলার লক্ষণগুলির জন্য নজর রাখা সমানভাবে গুরুত্বপূর্ণ।