شهدت نهاية عام 2023 حملة جديدة من البرمجيات الخبيثة تستهدف الأجهزة الطرفية من شركات سيسكو (Cisco)، أسوس (ASUS)، كيوناب (QNAP)، وسينولوجي (Synology)، حيث تم توظيفها في شبكة بوت نت تُعرف باسم “PolarEdge”. أظهرت شركة الأمن السيبراني الفرنسية “Sekoia” أن الفاعلين غير المعروفين استغلوا الثغرة الأمنية CVE-2023-20118 (بدرجة CVSS: 6.5)، وهي ثغرة خطيرة تؤثر على أجهزة الراوتر من طراز سيسكو للأعمال الصغيرة مثل RV016 وRV042 وRV042G وRV082 وRV320 وRV325، مما يسمح بتنفيذ أوامر عشوائية على الأجهزة المعرضة للخطر.

السياق التقني والتاريخي

تظل هذه الثغرة غير مُعالجة لأن أجهزة الراوتر قد وصلت إلى حالة انتهاء العمر الافتراضي (EoL). كإجراءات تخفيف، أوصت سيسكو في أوائل 2023 بتعطيل إدارة الأجهزة عن بُعد وحظر الوصول إلى المنافذ 443 و60443. في الهجوم المسجل ضد أجهزة “Sekoia” الوهمية، استخدمت الثغرة لتسليم برنامج خبيث غير موثق سابقًا، وهو خلفية (backdoor) بتقنية (TLS) التي تسمح بالاستماع إلى اتصالات العملاء الواردة وتنفيذ الأوامر.

تحليل العملية الخبيثة

يتم إطلاق الخلفية باستخدام سكربت شيل يسمى “q” الذي يتم استرجاعه عبر بروتوكول نقل الملفات (FTP) وتشغيله بعد استغلال الثغرة بنجاح. يشمل ذلك:

• تنظيف ملفات السجل
• إنهاء العمليات المشبوهة
• تحميل حمولة خبيثة باسم “t.tar” من عنوان IP 119.8.186[.]227
• تنفيذ ملف ثنائي باسم “cipher_log” المستخرج من الأرشيف
• تحقيق استمرارية التشغيل بتعديل ملف “/etc/flash/etc/cipher.sh” لتشغيل الملف “cipher_log” بشكل متكرر
• تنفيذ “cipher_log”، وهو الخلفية بتقنية (TLS)

التداعيات الأمنية والتهديدات

تدخل البرمجية الخبيثة المسماة “PolarEdge” في حلقة لا نهائية، حيث تقيم جلسة (TLS) وتولد عملية فرعية لإدارة طلبات العملاء وتنفيذ الأوامر باستخدام exec_command. بناًء على تحليل الباحثين في Sekoia، فإن البرمجية تُبلغ خادم C2 بأنها قد أصابت جهازًا جديدًا، مما يمكن المهاجم من تحديد الجهاز المصاب من خلال اقتران عنوان IP والمنفذ.

التوجهات العالمية والتهديدات المحتملة

كشف التحليل عن استخدام حمولة PolarEdge لاستهداف أجهزة أسوس وكيوناب وسينولوجي، حيث تم تحميل جميع القطع الخبيثة على منصة VirusTotal من قبل مستخدمين في تايوان. يتم توزيع الحمولات عبر بروتوكول FTP باستخدام عنوان IP التابع لشركة Huawei Cloud. تقدر شبكة البوت نت بأنها قد أصابت 2,017 عنوان IP فريد حول العالم، مع تسجيل معظم الإصابات في الولايات المتحدة وتايوان وروسيا والهند والبرازيل وأستراليا والأرجنتين.

على الرغم من أن الغرض من هذه الشبكة لم يُحدد بعد، إلا أن الهدف المحتمل قد يكون السيطرة على الأجهزة الطرفية المصابة وتحويلها إلى صناديق توجيه عمليات (Operational Relay Boxes) لشن هجمات سيبرانية هجومية. تظهر هذه الشبكة قدرتها على استغلال الثغرات المتعددة عبر أنواع مختلفة من المعدات، مما يبرز تعقيد الحمولات ويشير إلى أن العملية تُدير بواسطة مشغلين مهرة. هذا يشير إلى أن PolarEdge تمثل تهديدًا سيبرانيًا منظمًا وكبيرًا.

نقاش وتفاعل

مع الكشف عن شبكة بوت نت ضخمة تتألف من أكثر من 130,000 جهاز مصاب تُستخدم لشن هجمات ضخمة على حسابات مايكروسوفت 365 (M365)، ما هي الإجراءات الأمنية التي يمكن اتخاذها لحماية الأنظمة من مثل هذه التهديدات المتزايدة؟

تابعونا على تويتر وفيسبوك لقراءة المزيد من المحتوى الحصري الذي ننشره.