در دنیای امنیت سایبری، هر روز تهدیدی تازه از دل تاریکی بیرون می‌آید و این بار، نامش PolarEdge است. بدافزاری پیشرفته که در سکوت، دستگاه‌های خانگی و سازمانی را هدف گرفته و از آسیب‌پذیری‌های شناخته‌شده برای نفوذ استفاده می‌کند.

این بدافزار به‌طور خاص به سراغ روترها و NASهای برندهای Cisco، ASUS، QNAP و Synology  رفته و از CVE-2023-20118  برای دستیابی به سطح دسترسی بالا بهره می‌برد.

🔍  PolarEdge چیست؟

PolarEdge  یک بدافزار چندمرحله‌ای (Multi-Stage Malware) است که طراحی شده تا کنترل کامل دستگاه را در دست بگیرد. این بدافزار پس از نفوذ، یک درب پشتی (Backdoor) روی دستگاه نصب می‌کند تا مهاجم بتواند از راه دور دستورات دلخواه خود را اجرا کند، داده‌ها را استخراج کرده و از دستگاه قربانی برای حملات بعدی استفاده نماید.

ویژگی جالب  PolarEdge، استفاده از پروتکل TLS رمزگذاری‌شده برای برقراری ارتباط با سرور C2 (Command & Control) است. روشی که باعث می‌شود شناسایی و تحلیل آن برای تیم‌های امنیتی بسیار دشوار شود.

⚙️  ویژگی‌های فنی و نحوه عملکرد PolarEdge

✔️ ارتباط امن با C2 : از TLS و ساختار باینری سفارشی استفاده می‌کند تا داده‌های فرماندهی را رمزگذاری کند.

✔️ پنهان‌کاری پیشرفته: فایل‌های موقت را حذف کرده و نام پروسس‌ها را تغییر می‌دهد تا ردپای خود را مخفی نگه دارد.

✔️ ساختار ماژولار: دارای دو حالت «Client» و «Server» است و می‌تواند بسته به وضعیت شبکه، وظایف مختلفی انجام دهد.

✔️ پایداری بالا: پس از هر ریبوت، خود را مجدداً فعال می‌کند.

✔️ گسترش جهانی: بیش از ۲,۰۰۰ دستگاه در کشورهای مختلف مانند آمریکا، تایوان، هند، روسیه، برزیل و استرالیا شناسایی شده‌اند.

🧠  اهداف و پیامدها

هدف اصلی PolarEdge، ایجاد یک شبکه بات‌نت جهانی (Global Botnet) است. این شبکه می‌تواند برای اجرای حملات DDoS، ارسال اسپم، استخراج رمز‌ارز یا حتی جاسوسی صنعتی مورد استفاده قرار گیرد.
از آنجا که بسیاری از این دستگاه‌ها در زیرساخت‌های سازمانی و خانگی استفاده می‌شوند، خطر نفوذ زنجیره‌ای و سرایت بدافزار به شبکه‌های داخلی کاملاً محتمل است.

🔒  راهکارهای مقابله با PolarEdge

برای جلوگیری از نفوذ این بدافزار، کارشناسان امنیتی پیشنهاد می‌کنند:

1. به‌روزرسانی فوری فریمور (Firmware) : مخصوصاً در دستگاه‌های Cisco، QNAP و ASUS.
2. غیرفعال کردن مدیریت از راه دور (Remote Management) : تا مهاجم نتواند از طریق اینترنت به دستگاه متصل شود.
3. استفاده از فایروال و IDS/IPS : برای شناسایی ارتباطات غیرمجاز.
4. مانیتورینگ لاگ‌ها با SIEM : تحلیل ترافیک شبکه و الگوهای ارتباطی غیرعادی می‌تواند حضور PolarEdge را آشکار کند.
5. تقویت احراز هویت: استفاده از رمزهای قوی و غیرفعال کردن دسترسی پیش‌فرض مدیر سیستم.

📊 تشخیص حمله PolarEdge در SIEM

در سیستم‌های SIEM  مانند Splunk ، می‌توان شاخص‌های زیر را برای شناسایی فعالیت PolarEdge مانیتور کرد:

✔️ ترافیک TLS ناشناخته به پورت‌های غیرمعمول

✔️ ایجاد فرآیندهای ناشناخته در روتر یا NAS

✔️ ارتباط مداوم دستگاه با IPهای مشکوک در کشورهای خارجی

✔️ الگوهای Beaconing دوره‌ای در لاگ‌ها

استفاده از قوانین تشخیص (Detection Rules) و تهدید‌یابی (Threat Hunting) بر اساس IOCهای منتشرشده توسط Sekoia.io  می‌تواند احتمال شناسایی این بدافزار را به شکل چشمگیری افزایش دهد.

🌍 چشم‌انداز آینده

تحلیلگران امنیتی پیش‌بینی می‌کنند که PolarEdge  تنها آغاز یک موج تازه از بدافزارهای هوشمند برای دستگاه‌های IoT و روترهاست. با گسترش اینترنت اشیا و تجهیزات متصل، مهاجمان به‌دنبال نقاط ضعفی هستند که کمتر نظارت می‌شوند. آینده‌ی امنیت شبکه، وابسته به هوشمندسازی ابزارهای دفاعی و به‌روزرسانی مداوم زیرساخت‌هاست.