Ботнет PolarEdge
Исследователи безопасности недавно раскрыли механизмы работы семейства ботнетов PolarEdge, ориентированного на маршрутизаторы. Сочетание TLS-коммуникаций, встроенных трюков с настройкой и преднамеренных мер противодействия анализу делает его серьёзной угрозой для домашних сетей и сетей малого и среднего бизнеса.
Оглавление
Хронология и открытия
Исследователи впервые задокументировали PolarEdge в феврале 2025 года, связав его с кампаниями, нацеленными на маршрутизаторы и NAS-устройства разных производителей. К августу 2025 года аналитики составили карту большей части инфраструктуры ботнета и выявили признаки, соответствующие сети типа Operational Relay Box (ORB). Ретроспективная телеметрия позволяет предположить, что активность PolarEdge могла датироваться ещё июнем 2023 года.
Цели и первоначальный доступ
Устройства от основных производителей, включая Cisco, ASUS, QNAP и Synology, были идентифицированы как цели, что подчеркивает, что риску эксплуатации подвержены как маршрутизаторы корпоративного, так и потребительского уровня, а также системы NAS.
В цепочках атак, совершенных в феврале 2025 года, злоумышленники использовали известную уязвимость Cisco (CVE-2023-20118) для загрузки небольшого скрипта оболочки с именем «q», доставляемого по FTP. Этот скрипт должен был извлечь и запустить бэкдор PolarEdge ELF на скомпрометированном хосте.
Конструкция основного имплантата
PolarEdge — это имплант ELF с поддержкой TLS, который в первую очередь:
- Отправляет отпечаток хоста на сервер управления и контроля (C2), затем
- Ожидает команды через встроенный сервер TLS, реализованный с использованием mbedTLS v2.8.0.
По умолчанию имплант работает как TLS-сервер, используя собственный двоичный протокол. Одним из ключевых полей протокола является HasCommand: если это поле равно ASCII-символу 1, имплант считывает поле Command, выполняет указанную команду локально и возвращает необработанный вывод команды в C2.
Режимы работы
PolarEdge поддерживает два дополнительных режима:
Режим обратного подключения : имплантат ведет себя как клиент TLS для извлечения файлов с удаленных серверов.
Режим отладки : интерактивный режим, позволяющий операторам изменять параметры конфигурации (например, адреса серверов) «на лету».
Встроенная конфигурация и запутывание
Ботнет хранит свою конфигурацию времени выполнения в последних 512 байтах образа ELF. Этот блок обфусцирован однобайтовой операцией XOR; исследователи сообщают, что ключ XOR — 0x11, который необходимо применить для восстановления конфигурации.
Файловые операции
После выполнения имплант выполняет перемещение и удаление файловой системы (например, перемещение двоичных файлов, таких как /usr/bin/wget и /sbin/curl, а также удаление файлов, таких как /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak). Точный смысл этих действий, исходя из имеющихся данных, не до конца ясен.
Методы уклонения и антианализа
PolarEdge включает в себя ряд сложных защитных механизмов, разработанных для уклонения от обнаружения и затруднения анализа, что затрудняет для исследователей безопасности и автоматизированных инструментов определение его поведения и анализ его внутренних механизмов.
Он скрывает детали инициализации своего сервера TLS и процедуры снятия отпечатков с помощью обфускации.
Во время запуска он выполняет маскировку процесса, случайным образом выбирая имя процесса из встроенного списка, чтобы слиться с законными системными службами.
Некоторые из возможных названий включают:
- igmpproxy
- wscd
- /sbin/dhcpd
- httpd
- UPNPD
- iapp
Устойчивость без классического упорства
PolarEdge, по всей видимости, не устанавливает традиционный механизм сохранения работоспособности после перезагрузки. Вместо этого он применяет трюк во время выполнения: разветвляется, и дочерний процесс каждые 30 секунд проверяет, существует ли родительский каталог /proc/. Если этот каталог исчезает (что означает, что родительский процесс исчез), дочерний процесс запускает команду оболочки для перезапуска бэкдора, фактически обеспечивая оппортунистическое восстановление во время выполнения, а не постоянное сохранение работоспособности во время загрузки.
Защитные выводы
Организации, управляющие маршрутизаторами и устройствами NAS, должны убедиться, что используют обновления от поставщиков и средства защиты от CVE-2023-20118 и аналогичных уязвимостей удалённого выполнения. Им следует активно отслеживать необычную активность TLS со стороны сетевых устройств и исходящих подключений к непредвиденным хостам. Не менее важно следить за признаками маскировки процессов и любыми несанкционированными изменениями или удалениями сетевых двоичных файлов и веб-скриптов.
