PolarEdge Botnet

חוקרי אבטחה חשפו לאחרונה את המכניקה של משפחת בוטנטים המתמקדת בנתבים בשם PolarEdge. השילוב של תקשורת מבוססת TLS, טריקים משובצים של תצורה ואמצעים מכוונים נגד ניתוח נתונים הופכים אותה לאיום בולט על מכשירי רשת ביתיים ועסקים קטנים ובינוניים.

ציר זמן וגילוי

חוקרים תיעדו לראשונה את PolarEdge בפברואר 2025, וקישרו אותו לקמפיינים שכוונו נגד נתבים והתקני NAS של ספקים מרובים. עד אוגוסט 2025, אנליסטים מיפו חלק ניכר מתשתית הבוטנט וצפו במאפיינים התואמים לרשת בסגנון ORB (Operational Relay Box). טלמטריה רטרוספקטיבית מצביעה על כך שפעילות מסוימת של PolarEdge עשויה להיות עוד מיוני 2023.

מטרות וגישה ראשונית

מכשירים של ספקים גדולים, כולל סיסקו, ASUS, QNAP ו-Synology, זוהו כמטרות, מה שמדגיש כי נתבים ומערכות NAS ברמת ארגונית וברמת צרכנית כאחד נמצאים בסיכון לניצול.

בשרשראות ההתקפה של פברואר 2025, גורמי איום ניצלו פגיעות ידועה של סיסקו (CVE-2023-20118) כדי לאחזר סקריפט מעטפת קטן שנמסר באמצעות FTP בשם 'q'. תפקידו של סקריפט זה היה לאחזר ולהפעיל את הדלת האחורית של PolarEdge ELF על המארח שנפרץ.

תכנון שתל ליבה

PolarEdge הוא שתל ELF תואם TLS אשר בעיקר:

• שולח טביעת אצבע של המארח לשרת פיקוד ובקרה (C2), לאחר מכן
• ממתין לפקודות דרך שרת TLS מובנה הממומש באמצעות mbedTLS גרסה 2.8.0.

התנהגות ברירת המחדל של השתל היא לפעול כשרת TLS באמצעות פרוטוקול בינארי מותאם אישית. שדה פרוטוקול מרכזי אחד הוא HasCommand: כאשר שדה זה שווה לתו ASCII 1, השתל קורא את שדה Command, מבצע את הפקודה שצוינה באופן מקומי ומחזיר את פלט הפקודה הגולמי ל-C2.

אופני פעולה

PolarEdge תומך בשני מצבים נוספים:

מצב חיבור חוזר : השתל מתנהג כלקוח TLS כדי למשוך קבצים משרתים מרוחקים.

מצב ניפוי שגיאות : מצב אינטראקטיבי המאפשר למפעילים לשנות פרמטרי תצורה (לדוגמה, כתובות שרת) תוך כדי תנועה.

תצורה משובצת וטשטוש

הבוטנט מאחסן את תצורת זמן הריצה שלו בתוך 512 הבייטים האחרונים של תמונת ה-ELF. בלוק זה מוסתר באמצעות XOR של בייט בודד; החוקרים מדווחים שמפתח ה-XOR הוא 0x11, אותו יש להחיל כדי לשחזר את התצורה.

פעולות קבצים

לאחר הביצוע, ההשתל מבצע העברות והסרות של מערכת הקבצים (דוגמאות כוללות הזזת קבצים בינאריים כגון /usr/bin/wget ו- /sbin/curl, ומחיקת קבצים כגון /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). הכוונה התפעולית המדויקת מאחורי פעולות אלו אינה מובנת במלואה מהנתונים הזמינים.

טכניקות התחמקות ואנטי-אנליזה

PolarEdge משלבת מגוון מנגנוני הגנה מתוחכמים שנועדו להתחמק מגילוי ולעכב ניתוח, מה שמקשה על חוקרי אבטחה וכלים אוטומטיים לזהות את התנהגותה ולנתח את פעולתה הפנימית.

הוא מסתיר פרטים של אתחול שרת ה-TLS שלו ושגרת טביעות האצבע באמצעות ערפול.

במהלך ההפעלה, הוא מבצע התחזות תהליך, ובוחר באופן אקראי שם תהליך מרשימה מובנית כדי להשתלב עם שירותי מערכת לגיטימיים.

חלק מהשמות האפשריים כוללים:

• igmpproxy
• wscd
• /sbin/dhcpd
• httpd
• UPnPD
• איי-אפ

חוסן ללא התמדה קלאסית

נראה ש-PolarEdge לא מתקין מנגנון התמדה מסורתי ששורד אתחול מחדש. במקום זאת, הוא מבצע טריק בזמן ריצה: הוא עובר פורק (fork) ותהליך האב מבצע סקר כל 30 שניות כדי לבדוק האם הספרייה /proc/ של האב עדיין קיימת. אם ספרייה זו נעלמת (מה שמצביע על כך שתהליך האב נעלם), התהליך הבן מפעיל פקודת מעטפת כדי להפעיל מחדש את הדלת האחורית, ובכך מספק למעשה שחזור זמן ריצה אופורטוניסטי במקום התמדה קבועה בזמן אתחול.

נקודות הגנה

ארגונים המנהלים נתבים והתקני NAS צריכים לוודא שהם מיישמים עדכונים ואמצעי הפחתה של ספקים עבור CVE-2023-20118 ופגיעויות דומות של הפעלה מרחוק. עליהם לנטר באופן פעיל אחר פעילות TLS חריגה ממכשירי רשת וחיבורים יוצאים למחשבים מארחים בלתי צפויים. חשוב באותה מידה לשים לב לסימנים של התחזות תהליכים ולכל שינוי או מחיקה לא מורשים של קבצי בינאריים של רשת וסקריפטים הפונים לאינטרנט.