Sicurezza Informatica

PolarEdge: botnet IoT avanzata che sfrutta vulnerabilità nei router

da Livio Varriale
scritto da Livio Varriale 0 commenti 4 minuti leggi
PolarEdge botnet IoT avanzata che sfrutta vulnerabilità nei router

Una recente indagine condotta dal team di Threat Detection & Research (TDR) di Sekoia ha portato alla scoperta di PolarEdge, una botnet attiva dal 2023 che sfrutta vulnerabilità nei dispositivi edge, tra cui router Cisco, QNAP, Asus e Synology. L’analisi ha rivelato un’operazione altamente coordinata che utilizza exploit noti, backdoor TLS avanzate e tecniche di evasione per mantenere il controllo su oltre 2.000 dispositivi compromessi in tutto il mondo.

Questa botnet rappresenta una minaccia significativa per la sicurezza delle reti aziendali e governative, evidenziando l’urgenza di aggiornare i dispositivi vulnerabili e migliorare le strategie di difesa contro attacchi IoT su larga scala.

L’origine della minaccia: sfruttamento di CVE-2023-20118

L’indagine di Sekoia è partita dall’osservazione di attività sospette sui propri honeypot, con tentativi ripetuti di sfruttare la vulnerabilità CVE-2023-20118, una falla critica presente nei router Cisco Small Business. Questa vulnerabilità permette a un attaccante di eseguire comandi da remoto (RCE) attraverso richieste HTTP manipolate, consentendo il controllo completo del dispositivo.

Gli attaccanti hanno sfruttato questa falla per installare webshell e, successivamente, una backdoor TLS capace di mantenere il controllo persistente sui dispositivi infetti. L’analisi dei payload ha evidenziato la presenza di componenti malevoli progettati per:

  • Eludere i sistemi di rilevamento, grazie all’uso di crittografia e certificati TLS legittimi.
  • Eseguire comandi remoti, consentendo agli attaccanti di manipolare il sistema compromesso.
  • Garantire persistenza, sfruttando script che riavviano il malware dopo ogni reboot.

La sofisticazione di questi attacchi suggerisce che PolarEdge non è un’operazione opportunistica, ma una botnet progettata per operazioni di cyber intelligence o attacchi su larga scala.

Le tecniche di infezione e propagazione della botnet

L’indagine ha rivelato che l’infezione da PolarEdge segue una catena di attacco ben definita:

  1. Fase di exploit – L’attaccante sfrutta CVE-2023-20118 per eseguire codice remoto.
  2. Webshell e payload iniziale – Viene installata una webshell che permette di caricare ulteriori moduli malevoli.
  3. Distribuzione del malware – Un file eseguibile chiamato cipher_log viene scaricato e installato per stabilire il collegamento con i server di comando e controllo (C2).
  4. Persistenza – Il malware viene configurato per riavviarsi automaticamente e comunicare con gli attaccanti attraverso connessioni crittografate TLS.

L’infrastruttura di attacco si basa su domini malevoli registrati tramite provider offshore e su server FTP compromessi per distribuire i payload.

L’infrastruttura di PolarEdge: un’operazione globale

L’analisi della botnet ha evidenziato la presenza di server di comando e controllo (C2) situati in diverse regioni, con un’alta concentrazione in Latvia, Singapore e Messico. Alcuni degli IP utilizzati sono collegati a provider come Huawei Cloud, mentre altri sono stati registrati tramite servizi proxy russi, suggerendo una potenziale correlazione con operazioni di cyberespionaggio.

L’indagine ha identificato diversi domini malevoli utilizzati dagli attaccanti, tra cui:

  • largeroofs[.]top – utilizzato per la comunicazione con i dispositivi compromessi.
  • asustordownload[.]com – un dominio associato alla distribuzione del malware su router Asus.
  • ssofhoseuegsgrfnu[.]ru – un dominio recentemente disattivato da Sekoia.

L’uso di tecniche avanzate di offuscamento, tra cui certificati TLS generati con PolarSSL/Mbed TLS, rende estremamente difficile individuare e bloccare la botnet.

Un obiettivo ancora incerto: relay per attacchi futuri?

Sebbene non sia ancora chiaro quale sia lo scopo principale di PolarEdge, gli esperti di sicurezza ipotizzano che la botnet possa essere utilizzata per:

  • Attacchi DDoS su larga scala, sfruttando la rete di dispositivi compromessi per generare traffico malevolo.
  • Cyber spionaggio, utilizzando i router compromessi come punti di accesso per intercettare traffico di rete sensibile.
  • Relay per operazioni di cybercrime, consentendo agli attaccanti di mascherare la propria identità durante attacchi mirati.

Le capacità avanzate della botnet suggeriscono che PolarEdge potrebbe essere gestita da un attore di minaccia sponsorizzato da uno Stato o da un’organizzazione cybercriminale ben finanziata.

Come proteggersi da PolarEdge e da botnet simili

Per mitigare il rischio di infezione, gli esperti di sicurezza consigliano di adottare le seguenti misure:

  • Aggiornare i dispositivi vulnerabili – Verificare la presenza di patch per CVE-2023-20118 e aggiornare i firmware dei router.
  • Limitare l’accesso remoto – Disabilitare l’accesso amministrativo remoto sui dispositivi edge.
  • Implementare firewall e regole di accesso rigorose – Bloccare il traffico proveniente da IP sospetti e limitare le connessioni in entrata.
  • Monitorare le connessioni TLS anomale – Identificare certificati TLS insoliti o connessioni a domini sconosciuti.
  • Utilizzare soluzioni di threat intelligence – Integrare feed di indicatori di compromissione (IoC) per rilevare tentativi di infezione.

L’indagine di Sekoia è ancora in corso e ulteriori dettagli sulla botnet potrebbero emergere nei prossimi mesi. Tuttavia, il caso PolarEdge dimostra ancora una volta come i dispositivi IoT e i router edge rappresentino un bersaglio critico per gli attaccanti, rendendo fondamentale l’adozione di misure preventive per proteggere le infrastrutture aziendali.

Annunci
Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Maxi arresti: Europol, FBI e DOJ colpiscono Qakbot,...

Malware TikTok, router Cisco giù e truffe Ledger:...

UNC5221 sfrutta la falla CVE-2025-4428 in Ivanti EPMM...

Dark web: Europol arresta 270 venditori nell’Operazione RapTor

Cronaca digitale: dal ransomware 3AM alla stretta normativa...

GRU contro la logistica occidentale: una strategia di...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara