Polarnet’in operasyonel bir röle kutusunun ayırt edici özelliği var
Mathew J. Schwartz (Euroinfosec) •
18 Ağustos 2025
Dünyanın dört bir yanındaki Nesnelerin İnterneti cihazlarını yakalayan hızla şişen bir botnet, yabancı siber boyama operasyonları için bir cephede olabilir.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Enfekte Ekipman, araştırmacıların Polaredge kodladığı kötü amaçlı yazılım işaretleri, birçok farklı türde kurumsal sınıf kenar cihazını ve tüketici sınıfı IoT dişlisini hedefleyen yazılımlar gösteriyor.
Saldırganlar Haziran 2023’te PowerEdge’i kullanmaya başladılar ve dünya çapında yaklaşık 150 cihaz kurban düştü. Tehdit istihbarat firması Censys, bu sayı, 5 Ağustos itibariyle yaklaşık 40.000 cihaza – Güney Kore’de% 52 ve Amerika Birleşik Devletleri’nde% 21 – kartopu yaptı. Coğrafi konsantrasyonlar, bu bölgelerdeki İnternet servis sağlayıcıları tarafından yaygın olarak kullanılan cihaz türlerini hedefleyen saldırganların bir fonksiyonu olabilir.
Araştırmacılar, Polaredge’nin amacının siber sorumluluk işlemlerini gizlemek için operasyonel bir röle kutusu ağı oluşturmak olabileceğini söylüyor. Bu teoriyi desteklemek saldırganlar tarafından seçilen hedeflerdir: IP kameraları, ASUS-RT Serisi yönlendiricileri, Cisco APIC kameraları, ağ ekli depolama ve kameralar gibi her zaman açık ve kararlı cihazlar. Censys, “Meşru kullanıcıların kisvesi altında kötü niyetli trafiği proxing için idealdir.”
Enfekte cihazların katmanlarından internet trafiğini zıplamak ve varsayılan zararsız bir yerleşim IP adresinden çıkmak için görünen bir uzlaşmacı ağı oluşturan saldırganlar yeni bir şey değil. Ancak Censys’in bir güvenlik araştırmacısı olan Himaja Motheram, bir blog yazısında, “son birkaç yıl içinde Siber Tesisat Grupları tarafından benimsenmede genişledi” dedi.
Saldırganların gizli kalmaya çalıştığı bir yol, tehlikeye atılan cihazların, hacker’ın kurutulmuş arka kapısını 40.000 ila 50.000 arasında değişen yüksek, standart olmayan TCP bağlantı noktalarında sunmasıdır ve burada “standart ağ taramalarının radarı altında uçabilirler”.
Batı istihbarat teşkilatları, siber bekârlık operasyonlarını taramalarını ve ilişkilendirmeyi karmaşık hale getirmelerini sağlamak için ilk icat ettikleri görülüyor. Teknoloji, Çin ulus-devlet aktörleri de dahil olmak üzere bilgisayar korsanları tarafından ticari olarak kullanılabilir ve daha yaygın olarak benimsenmiştir.
“Polaredge, KISB benzeri bazı özellikler, coğrafi konsantrasyon ve Çin-nexus casusluk kampanyalarına bağlı diğer küre benzeri kampanyalara benzer cihaz hedefleme kalıplarında gösteriyor.” Dedi. Ancak, cihazların botnet’ten göründüğü veya kaybolma oranı, düşük karmaşanın sergilemesi de dahil olmak üzere farklılıkları da vardır.
Churn gibi ulus-devlet hackerları. Mayıs 2024 raporunda Google Cloud’s Mantion’ın ana analisti Michael Raggi, “ORB ağları, Çin sibersizliğinde zorlu savunucular olan en önemli yeniliklerden biridir.” Dedi. Diyerek şöyle devam etti: “Giriş ve her 60 ila 90 günde bir labirentten kaybolan çıkışla sürekli yeniden yapılandıran bir labirent gibiler.”
ASOLAM, düşük dönen bir küre için bir açıklamanın enfekte olmuş cihazların güvenilirliği veya sağlam komut ve kontrol altyapısı olabileceğini söyledi.
Honeypots Web Shell Sustay
Kötü amaçlı yazılım ve potansiyel küre saldırı altyapısını keşfetmeye yönelik kredi, Honeypots’larının CVE-2023-20118 olarak izlenen Cisco küçük işletme yönlendiricilerinde bir komut enjeksiyon güvenlik açığı kullanma girişimlerini kaydettikten sonra Sekoia’ya gider. Saldırılar, cihaza kalıcı, uzaktan erişimi koruyabilecek bir webshell bırakmayı amaçladı.
Sekoia, saldırganların daha önce PolarsSL olarak bilinen MBED TLS C kütüphanesine dayanan özel bir arka kapıyı ve ağ kenarında yaşayan kutupsal markalı sertifikalar ve cihazlar temel alan kötü amaçlı yazılım ve ilişkili botnet altyapısını kodladı.
Tehdit İstihbarat Firması Sekoia güvenlik araştırmacıları Jeremy Scion ve Felix Aimé, “Polaredge’nin temel amacı belirsizliğini koruyor, ancak çalışan bir hipotez, saldırgan siber operasyonları kolaylaştırmak için uzlaşılmış cihazları operasyonel röle kutuları olarak kullanabileceğini gösteriyor.” Dedi.
Araştırmacılar, çabanın “iyi koordine edilmiş ve önemli bir siber tehdit” olmanın tüm ayırt edici özelliklerine sahip olduğunu, “operasyonlara bağlı” önemli altyapı “ve” yüklerin karmaşıklığı “göz önüne alındığında, yetenekli operatörler tarafından yürütüldüğünü söyledi.
Sekoia, Ocak ayından itibaren dünya çapında yaklaşık 2.000 cihazın Polaredge ile enfekte olduğu görülüyor. O zamanlar, saldırganlar, daha birçok kurumsal sınıf cihazından ödün vererek botnet’i genişletiyor gibi görünüyordu. Hedeflenen tüketici ekipmanı, ASUS yönlendiricileri, sinoloji tarafından oluşturulan ağa bağlı depolama cihazları, ayrıca diğer güvenlik duvarları, VoIP telefonları ve IP kameraları gibi tüketici sınıfı ekipmanları içerir.
Censys ‘Meşru kullanıcılar kisvesi altında kötü amaçlı trafiği proxying için ideal olanlar, “Bunlar genellikle istikrarlıdır, her zaman güvenilir konut IP alanındaki cihazlarda -” dedi.