Исследователи Sekoia детально разобрали внутренние механизмы ботнета PolarEdge, впервые замеченного в активных атаках в феврале 2025 года. Кампания нацелена на устройства Cisco, ASUS, QNAP и Synology, объединяя их в сеть для пока неустановленных задач. По данным Censys, изучившей инфраструктуру в августе 2025 года, активность может тянуться с июня 2023-го, а сам ботнет демонстрирует признаки Operational Relay Box (ORB) — распределённых прокси-сетей, используемых злоумышленниками для сокрытия трафика и усложнения атрибуции.
Цели и вектор компрометации: эксплуатация CVE-2023-20118 в Cisco
В зафиксированных атаках операторы PolarEdge эксплуатировали известную уязвимость в маршрутизаторах Cisco CVE-2023-20118. Злоумышленники через FTP загружали шелл-скрипт под именем q, который затем скачивал и запускал бэкдор PolarEdge на компрометированном устройстве. Такой двухэтапный подход типичен для IoT/SoHo-угроз: минимальный скрипт обеспечивает первичную foothold-точку, после чего развертывается более функциональная полезная нагрузка.
Архитектура бэкдора PolarEdge: TLS, режимы работы и конфигурация
По оценке Sekoia, базовая функция бэкдора — собрать сведения о хосте и передать их на управляющий сервер, далее — ожидать команд через встроенный TLS-сервер. Компонент реализован на mbedTLS v2.8.0 и использует кастомный бинарный протокол для парсинга запросов. Ключевой параметр протокола — HasCommand: если его значение равно ASCII-символу «1», бэкдор извлекает команду из поля Command, исполняет её на устройстве и возвращает результат.
PolarEdge поддерживает два режима: режим обратного подключения (backconnect), в котором бэкдор выступает TLS-клиентом для загрузки файла с удалённого сервера, и «отладочный» режим — интерактивная перенастройка параметров, включая адреса управляющих узлов. По умолчанию малварь функционирует как TLS-сервер, принимая соединения от операторов.
Конфигурация шифруется и встраивается в последние 512 байт ELF-файла, обфусцируется с помощью XOR с однобайтовым ключом 0x11. Такой минималистичный, но эффективный трюк усложняет статический анализ и извлечение параметров C2 без запуска образца.
Антианализ, маскировка и устойчивость процесса
PolarEdge активно скрывает детали реализации TLS-сервера и логику фингерпринтинга. На этапе инициализации применяется маскировка процесса: выбирается одно из распространённых системных имён — например, igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd, iapp — чтобы снизить вероятность обнаружения при беглом осмотре списков процессов.
Отдельно отмечается постинфекционное поведение: бэкдор перемещает бинарники /usr/bin/wget и /sbin/curl, а также удаляет файл /share/CACHEDEV1_DATA/.qpkg/CMS-WS/cgi-bin/library.cgi.bak. Назначение этих действий остаётся неясным; вероятно, это попытка нарушить привычные админские процедуры или следы предварительных инструментов.
Постоянства на уровне автозагрузки PolarEdge не обеспечивает, однако реализует «сторожевой» механизм: родительский процесс делает fork, и дочерний каждые 30 секунд проверяет существование /proc/<parent-pid>. Если родитель исчез, дочерний перезапускает бэкдор через шелл-команду. Такой подход усложняет точечное завершение процесса без полноценной очистки системы.
Признаки ORB и риски для инфраструктуры
Характеристики инфраструктуры, зафиксированные Censys, указывают на сходство с ORB-сетями — распределёнными узлами-ретрансляторами, через которые операторы проксируют управление и полезные нагрузки. Это повышает живучесть ботнета, затрудняет блокировку по IP и мешает атрибуции. Если активность действительно стартовала в середине 2023 года, часть устройств могла оставаться под контролем операторов длительное время, что повышает вероятность скрытых боковых перемещений и злоупотребления сетевыми ресурсами.
Рекомендации по защите и обнаружению PolarEdge
Что делать администраторам Cisco, ASUS, QNAP и Synology:
— Оперативно установить патчи, закрывающие CVE-2023-20118, и другие актуальные уязвимости прошивок. Ограничить или отключить FTP/TFTP, если они не требуются.
— Выполнить инвентаризацию и охоту за признаками компрометации: подозрительные процессы с «системными» именами; появление нестандартного TLS-сервиса на периферийных устройствах; изменения путей wget/curl; отсутствие ожидаемых бэкап-файлов на NAS.
— Мониторить исходящие соединения на аномальные направления, сегментировать сеть для IoT/NAS, ограничить прямой доступ к устройствам из интернета и внедрить список разрешённых адресов (allowlist) для административных сервисов.
— Регулярно проверять конфигурации и журналы устройств, применять централизованный сбор логов и сетевой мониторинг (NetFlow/PCAP) для выявления нетипичных TLS-рукопожатий и нестандартных протоколов поверх TLS.
PolarEdge демонстрирует эволюцию ботнетов для сетевых и NAS-устройств: минимальный след в системе, скрытый TLS-канал, гибкая конфигурация и признаки ORB-архитектуры существенно усложняют защиту. Организациям важно сочетать своевременное обновление прошивок с сетевой сегментацией, мониторингом аномалий и процедурной готовностью к реагированию. Чем раньше будет проведена проверка уязвимых устройств и базовая «гигиена» конфигураций, тем ниже риск стать узлом очередной прокси-сети злоумышленников.
