أكدت تحليلات فرق أمنية أن برمجية خبيثة تُدعى PolarEdge تشكّل جزءًا من حملة بوتنت واسعة تستهدف أجهزة التوجيه (الراوترات) من شركات مثل Cisco وASUS وQNAP وSynology. البرمجية تعمل كـ زرّ خلفي بصيغة ELF يعتمد TLS، وقد رُصِدت مؤشرات تفيد بأن نشاطها البُنى التحتية يعود إلى منتصف 2023، مع ترصّد أكثر تفصيلاً وتبيان للبُنية التحتية وراءها في 2025.
ما الذي اكتشفه الباحثون؟
ظهرت PolarEdge للمرة الأولى في تقارير مبكرة فصلى فبراير 2025، حيث وثّقها باحثون كتهديد يستهدف أجهزة الحافة بغرض ضمّها لشبكة بوتنت لأهداف لم تتضح بعد الطابع النهائي لها. لاحقًا، كشفت تحليلات أخرى في أغسطس 2025 أن البوتنت يستند إلى بنية قريبة من ما يُسمى شبكة صندوق الإرسال التشغيلي (Operational Relay Box — ORB)، ما يشير إلى وجود طبقة وسيطة لتوزيع الأوامر والتحكم عبر مجموعة أجهزة مرتبة. هناك أدلة تشير إلى أن النشاط قد يكون بدأ فعليًا منذ يونيو 2023.
آليات العمل والقدرات الفنية
في سلاسل الهجوم التي رُصدت، استغل المعتدون ثغرة معروفة في راوترات Cisco (CVE-2023-20118) لتنزيل سكربت شل باسم “q” عبر FTP؛ يقوم هذا السكربت بعد ذلك بجلب وتثبيت زرّ الخلفي PolarEdge على النظام المخترق.
PolarEdge مُصمَّم للعمل بآليتين:
-
وضع connect-back حيث يتصرف كعميل TLS لتنزيل ملفات من خادم بعيد.
-
وضع debug التفاعلي لتعديل إعداداته (مثل معلومات الخوادم) في الزمن الحقيقي.
الوضع الافتراضي هو أن يعمل كخادم TLS — فيرسل بصمة المضيف إلى خادم القيادة والتحكم (C2) ثم ينتظر تلقي الأوامر عبر خادم TLS مضمّن نُفّذ باستخدام mbedTLS v2.8.0. يستخدم البرمجية بروتوكولًا ثنائيًا مخصّصًا لتحليل الطلبات الواردة، ويبحث عن معامل يُسمّى “HasCommand”. إن كانت قيمة “HasCommand” مساوية للحرف ASCII 1، يقوم الزرّ الخلفي باستخراج الأمر من حقل “Command” وتنفيذه وإعادة النتيجة الخام إلى المُرسِل.
معلومات التهيئة مضمنة في آخر 512 بايت من صورة ELF ومُشوّهة بواسطة عملية XOR ببايت واحد يمكن فك شفرتها بالمفتاح 0x11. كما تدعم البرمجية تنفيذ أوامر عبر شيل وإمكانية تنزيل حمولات إضافية، والتحويل بين أوضاع التشغيل حسب أوامر المشغل.
تقنيات المراوغة والتحصّن
للتخفيف من احتمال التحليل والكشف، تضمّن PolarEdge عدة تقنيات مضادة للتحليل:
-
تمويه العمليات أثناء المرحلة الابتدائية عبر اختيار أسماء عشوائية من قائمة محددة (مثل igmpproxy, wscd, /sbin/dhcpd, httpd, upnpd, iapp) لإخفاء وجودها ضمن قوائم العمليات.
-
آليات تنظيف ونقل ملفات نظامية (استدعاء /usr/bin/wget أو /sbin/curl) وحذف ملفات مؤقتة على الجهاز المصاب، علماً بأن الهدف الدقيق من بعض هذه الخطوات لم يتضح بعد.
-
عدم ضمان الثبات التقليدي بعد إعادة التشغيل، لكن البرمجية تستخدم تقنية fork لإنشاء عملية طفل تفحص كل 30 ثانية ما إذا كانت عملية الأب لا تزال موجودة، وإذا انقضت تُعيد إطلاق الزرّ الخلفي عبر أمر شل.
الآثار والتوصيات
وجود PolarEdge وعلاقة بنيتها بما يشبه شبكات ORB يعني إمكانية تحويل أجهزة الحافة إلى وسيط لتوجيه حركة ضارة أو استضافة خدمات وسيطة لبقية البوتنت. كما أن استغلال ثغرات معروفة في أجهزة التوجيه يضع مسؤولية فنية مباشرة على مزوّدي الخدمات والمؤسسات لشدّ الحماية. توصيات عملية موجزة:
-
تطبيق تحديثات البائعين وتصحيحات الأمان فورًا على أجهزة Cisco وASUS وQNAP وSynology، وإغلاق المنافذ غير الضرورية.
-
تقييد بروتوكولات قديمة مثل FTP أو فرض سياسات مصادقة قوية عليها، ومراقبة أي تنزيلات سكربتات غير متوقعة على الأجهزة الحافة.
-
مراقبة سلوكيات TLS الغير عادية على الأجهزة (خوادم TLS محلية أو اتصالات صادرة غير معتادة) وفحص البصمات المضيفة التي تُرسَل إلى خوادم بعيدة.
-
فحص العمليات الجارية على الأجهزة لرصد أسماء عمليات مشبوهة أو تغيّر عشوائي في أسماء الخدمات، ومراقبة استدعاءات النظام التي تنفذ /usr/bin/wget أو /sbin/curl من سياقات غير اعتيادية.
من جهة أخرى، رصد باعة أدوات خبيثة وخدمات تحويل الأجهزة المصابة إلى بروكسيات سكنية (مثل GhostSocks) يُظهر أن السوق الإجرامي قدّم في السنوات الأخيرة وسائل لاستغلال الأجهزة المصابة لتمويل عمليات لاحقة — بما يستدعي نهجًا يشمل الرصد التجاري لتهديدات ما بعد الإصابة (post-infection monetization).
