Китайские регуляторы предупреждают о новой угрозе: ботнет PolarEdge атакует маршрутизаторы через известные уязвимости

Согласно техническому анализу экспертов CSTIS, атака начинается с эксплуатации известных уязвимостей, например, уязвимости удаленного выполнения команд в некоторых маршрутизаторах Cisco. После успешного взлома устройство принудительно загружает с удаленного FTP-сервера вредоносный сценарий командной оболочки (Shell script). Его выполнение приводит к немедленной загрузке и запуску основной нагрузки (payload) - бэкдора PolarEdge.

Проникнув в систему, PolarEdge демонстрирует высокий уровень изощренности, характерный для сложных угроз. Для обеспечения устойчивости (persistence) и скрытности бэкдор выполняет несколько последовательных действий. Сначала он проводит "зачистку" окружения, удаляя утилиту wget и переименовывая curl, чтобы блокировать возможные конкурирующие вредоносные программы. Затем PolarEdge маскирует свой процесс, выдавая себя за легитимные системные службы, такие как igmpproxy. Для сокрытия метаданных процесса используется метод привязки (mount --bind) к зарезервированным путям вроде /proc/1.

Дальнейшая живучесть бэкдора обеспечивается созданием дочернего процесса-наблюдателя (watchdog). Этот процесс каждые 30 секунд проверяет состояние основного и автоматически перезапускает его в случае сбоя. После завершения развертывания PolarEdge устанавливает скрытый канал связи с командным сервером злоумышленников. Для шифрования трафика используется TLS с самоподписанным сертификатом PolarSSL, а аутентификация осуществляется с помощью "магического" токена. Критически важные сегменты кода динамически расшифровываются с использованием блочного шифра PRESENT, а конфиденциальные строковые данные дополнительно обфусцируются с помощью аффинного шифра (Affine Cipher).

В конечном итоге, бэкдор переходит в режим обратного подключения (callback mode) для получения и выполнения произвольных команд. Вредоносные скрипты доставляются и запускаются на зараженном устройстве, например, через файл /tmp/.qnax.sh, что предоставляет злоумышленникам полный удаленный динамический контроль. Таким образом, скомпрометированные маршрутизаторы и сетевые хранилища превращаются в управляемые узлы ботнета PolarEdge, который может использоваться для кражи данных, организации DDoS-атак или в качестве плацдарма для движения внутри корпоративной сети.

Китайские регуляторы настоятельно рекомендуют организациям и частным пользователям немедленно принять меры по смягчению последствий. Прежде всего, необходимо провести инвентаризацию всех сетевых устройств, особенно упомянутых брендов, и проверить цифровые подписи их прошивок на предмет несанкционированных изменений. Крайне важно безотлагательно установить все последние обновления безопасности, предоставленные вендорами. Оборудование, которое больше не поддерживается производителем и не получает патчи, следует заменить.

Кроме того, эксперты советуют реализовать дополнительные превентивные меры. Рекомендуется отключить неиспользуемые и потенциально опасные сервисы на маршрутизаторах и NAS, такие как UPnP (Universal Plug and Play), веб-службы вроде PhotoStation и порты для удаленного администрирования, если в них нет острой необходимости. Это снижает площадь атаки и усложняет злоумышленникам поиск уязвимых целей в интернете. Регулярное создание автономных резервных копий критически важных данных также является ключевой практикой для минимизации ущерба в случае успешного взлома. Данный инцидент в очередной раз подчеркивает, что сетевое оборудование периметра часто становится целью для сложных атак, и его защите необходимо уделять не меньше внимания, чем традиционным конечным точкам.

MD5

• 191be2f2f31efe4a64da5543ed9d0e25

SHA1

• ff1b0a492dd42fc01e1b894b577040927890bc3b

SHA256

• a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082