APT28 ஃப்ரோஸ்ட்அர்மாடா தாக்குதல் பிரச்சாரம்
ரஷ்யாவுடன் தொடர்புடைய APT28 என்ற அச்சுறுத்திக் குழுவின் மீது சுமத்தப்பட்ட ஒரு அதிநவீன இணைய உளவு நடவடிக்கை, பெரிய அளவிலான கண்காணிப்பை நடத்துவதற்காக, எளிதில் ஊடுருவக்கூடிய பிணைய உள்கட்டமைப்பைப் பயன்படுத்தியுள்ளது. குறைந்தது மே 2025 முதல் செயல்பட்டு வரும், 'ஃப்ராஸ்ட்அர்மாடா' என்ற குறியீட்டுப் பெயரைக் கொண்ட இந்தத் தாக்குதல், பாதுகாப்பற்ற மைக்ரோடிக் மற்றும் டிபி-லிங்க் ரவுட்டர்களின் பாதுகாப்பை மீறி, அவற்றை தாக்குபவரின் கட்டுப்பாட்டில் உள்ள தீங்கிழைக்கும் சொத்துக்களாக மாற்றுவதில் கவனம் செலுத்தியது.
இந்தச் செயல்பாடு முதன்மையாக வீடு மற்றும் சிறு அலுவலக (SOHO) சாதனங்களைக் குறிவைத்து, அவற்றின் பலவீனமான உள்ளமைப்புகளைப் பயன்படுத்தி DNS அமைப்புகளைக் கையாண்டது. இதன் மூலம், தாக்குதல் நடத்தியவர்களால் பிணையப் போக்குவரத்தை இடைமறித்துத் திசைதிருப்ப முடிந்தது. இது, மறைமுகமாகவும் பெரும்பாலும் கண்டறிய முடியாத வகையிலும் தரவுகளைச் சேகரிக்க வழிவகுத்தது.
பொருளடக்கம்
DNS கடத்தல்: ரௌட்டர்களை மௌன கண்காணிப்புக் கருவிகளாக மாற்றுதல்
இந்தத் தாக்குதல் நடவடிக்கையின் மையத்தில் DNS கடத்தல் உள்ளது. இது, தாக்குதல் நடத்துபவர்கள் முறையான தரவுப் போக்குவரத்தை தீங்கிழைக்கும் உள்கட்டமைப்பின் வழியாகத் திசைதிருப்ப அனுமதிக்கும் ஒரு நுட்பமாகும். ஒரு ரௌட்டரின் பாதுகாப்பு மீறப்பட்டவுடன், அதன் DNS அமைப்புகள் தாக்குதல் நடத்துபவரின் கட்டுப்பாட்டில் உள்ள சர்வர்களைச் சுட்டிக்காட்டும் வகையில் மாற்றப்பட்டன. இந்த முறைகேடு, பயனரின் எந்தவொரு தலையீடும் தேவையின்றி, முக்கியமான தரவுகளை இடைமறிக்க வழிவகுத்தது.
பயனர்கள் இலக்கு வைக்கப்பட்ட டொமைன்களை அணுக முயன்றபோது, அவர்களின் கோரிக்கைகள் யாருக்கும் தெரியாமல் இடைத்தரகர் (Attacker-in-the-Middle - AitM) முனைகளுக்குத் திருப்பி விடப்பட்டன. இந்த முனைகள், உள்நுழைவுச் சான்றுகள் உள்ளிட்ட அங்கீகாரத் தரவுகளைக் கைப்பற்றி, அவற்றை மீண்டும் தாக்குபவர்களுக்கு அனுப்பின. இந்தச் செயல்முறை மிகவும் இரகசியமாக இருந்ததால், இதைக் கண்டறிவது மிகவும் கடினமாக இருந்தது.
தாக்குதல் சங்கிலிப் பகுப்பாய்வு: சுரண்டல் முதல் நற்சான்றிதழ் திருட்டு வரை
தாக்குதலின் செயல்முறையானது, கண்டறிதலைக் குறைக்கும் அதே வேளையில் தரவு சேகரிப்பை அதிகப்படுத்தும் வகையில் வடிவமைக்கப்பட்ட ஒரு கட்டமைக்கப்பட்ட வரிசையைப் பின்பற்றியது:
- பாதுகாப்புக் குறைபாடுகள் அல்லது பலவீனமான உள்ளமைவுகள் மூலம் SOHO ரவுட்டர்களின் ஆரம்பகட்ட சமரசம்
- DNS அமைப்புகளுக்கான அங்கீகரிக்கப்படாத நிர்வாக அணுகல் மற்றும் மாற்றம்
- தீங்கிழைக்கும், செயல்படுபவர்களின் கட்டுப்பாட்டில் உள்ள ரிசால்வர்களுக்கு DNS வினவல்களைத் திசைதிருப்புதல்
- AitM உள்கட்டமைப்பு வழியாக பயனர் போக்குவரத்தை இடைமறித்தல்
- கடவுச்சொற்கள் மற்றும் OAuth டோக்கன்கள் உள்ளிட்ட சான்றுகளைச் சேகரித்தல் மற்றும் கசியவிடுதல்
இந்த முறையானது, இணையத்தில் உள்ள மைக்ரோசாஃப்ட் அவுட்லுக் மற்றும் மைக்ரோசாஃப்ட் அல்லாத பிற அமைப்புகள் உள்ளிட்ட மின்னஞ்சல் தளங்கள் மற்றும் வலைச் சேவைகளில் மேற்கொள்ளப்படும் உள்நுழைவு முயற்சிகளைத் தாக்குபவர்கள் கண்காணிக்க வழிவகுத்தது.
உலகளாவிய அணுகல் மற்றும் மூலோபாய இலக்கு நிர்ணயம்
இந்தத் தாக்குதல் நடவடிக்கை காலப்போக்கில் கணிசமாக விரிவடைந்தது. இது மே 2025-இல் ஒரு குறிப்பிட்ட அளவில் தொடங்கப்பட்டாலும், ஆகஸ்ட் மாதத் தொடக்கத்தில் பரவலான சுரண்டல் முயற்சிகள் தீவிரமடைந்தன. டிசம்பர் 2025-இல் அதன் உச்சக்கட்டத்தில், குறைந்தது 120 நாடுகளில் உள்ள 18,000-க்கும் மேற்பட்ட தனித்துவமான ஐபி முகவரிகள், தாக்குதல் நடத்துபவரின் கட்டுப்பாட்டில் உள்ள உள்கட்டமைப்புடன் தொடர்புகொள்வதாகக் கண்டறியப்பட்டது.
முதன்மை இலக்குகளில் பின்வருவன அடங்கும்:
- வெளியுறவு அமைச்சகங்கள் மற்றும் சட்ட அமலாக்க முகமைகள் போன்ற அரசாங்க நிறுவனங்கள்
- மூன்றாம் தரப்பு மின்னஞ்சல் மற்றும் கிளவுட் சேவை வழங்குநர்கள்
- வட ஆப்பிரிக்கா, மத்திய அமெரிக்கா, தென்கிழக்கு ஆசியா மற்றும் ஐரோப்பா முழுவதும் உள்ள அமைப்புகள்
200-க்கும் மேற்பட்ட நிறுவனங்களும், ஏறத்தாழ 5,000 நுகர்வோர் சாதனங்களும் பாதிக்கப்பட்டதன் மூலம், இந்த நடவடிக்கையின் அளவும் வீச்சும் வெளிப்பட்டது.
பயன்படுத்தப்பட்ட பாதுகாப்பு குறைபாடுகள் மற்றும் உள்கட்டமைப்பு உத்திகள்
தாக்குதல் நடத்தியவர்கள், நெட்வொர்க் சாதனங்களை அணுகுவதற்காக, அறியப்பட்ட பாதுகாப்பு குறைபாடுகளைப் பயன்படுத்திக் கொண்டனர். குறிப்பாக, TP-Link WR841N ரவுட்டர்கள், CVE-2023-50224 என்ற அங்கீகாரத் தவிர்ப்புக் குறைபாட்டைப் பயன்படுத்திச் சுரண்டப்பட்டன. இது, பிரத்யேகமாக வடிவமைக்கப்பட்ட HTTP GET கோரிக்கைகள் மூலம் நற்சான்றிதழ்களைப் பிரித்தெடுக்க அனுமதித்தது.
மேலும், ஊடுருவப்பட்ட ரவுட்டர்களிலிருந்து வரும் DNS டிராஃபிக்கை, தாக்குதலாளர்களின் கட்டுப்பாட்டில் உள்ள தொலைநிலை சர்வர்களுக்கு அனுப்புவதற்குப் பொறுப்பான ஒரு இரண்டாம் நிலை உள்கட்டமைப்பு கிளஸ்டர் அடையாளம் காணப்பட்டது. இந்தக் கிளஸ்டர், குறிப்பாக உக்ரைனில் உள்ள தேர்ந்தெடுக்கப்பட்ட மைக்ரோடிக் ரவுட்டர்களுக்கு எதிராக, இலக்கு வைக்கப்பட்ட, ஊடாடும் செயல்பாடுகளையும் நடத்தியது.
எட்ஜ் சாதன ஊடுருவல் மூலம் மேம்பட்ட உளவு
இந்த நடவடிக்கை, APT28-இன் செயல்பாட்டு உத்திகளில் ஒரு குறிப்பிடத்தக்க பரிணாம வளர்ச்சியைக் குறிக்கிறது. முதன்முறையாக, போக்குவரத்து அடுக்கு பாதுகாப்பு (TLS) இணைப்புகளுக்கு எதிரான AitM தாக்குதல்களை எளிதாக்குவதற்காக, பெரிய அளவில் DNS கடத்தலை நடத்தும் திறனை இந்தக் குழு வெளிப்படுத்தியுள்ளது.
நிறுவன அமைப்புகளை விட பெரும்பாலும் குறைவாகக் கண்காணிக்கப்படும் எட்ஜ் சாதனங்களை ஊடுருவுவதன் மூலம், தாக்குதல் நடத்துபவர்கள் பிணையப் போக்குவரத்தில் மேல்நிலைத் தெரிவுநிலையைப் பெற்றனர். இந்த உத்திசார்ந்த நிலைப்பாடு, உயர் மதிப்பு இலக்குகளை அடையாளம் காணவும், உளவுத்துறை முக்கியத்துவம் வாய்ந்த தனிநபர்கள் அல்லது அமைப்புகளைத் தேர்ந்தெடுத்துக் குறிவைக்கவும் அவர்களுக்கு உதவியது.
இந்த நடவடிக்கை, ஆரம்பத்தில் பரந்த இலக்குகளைத் தாக்கி, பின்னர் இடைமறிக்கப்பட்ட தரவுகளின் மதிப்பின் அடிப்படையில் படிப்படியாக இலக்குகளைக் குறைக்கும் ஒரு சந்தர்ப்பவாதத் தன்மை கொண்டதாக மதிப்பிடப்படுகிறது.
செயல்பாட்டு இடையூறு மற்றும் தொடர்ச்சியான அபாயங்கள்
அமெரிக்க நீதித்துறை, ஃபெடரல் புலனாய்வுப் பணியகம் மற்றும் சர்வதேச கூட்டாளிகள் ஆகியவற்றை உள்ளடக்கிய ஒரு ஒருங்கிணைந்த முயற்சியின் மூலம், ஃப்ராஸ்ட்அர்மாடாவிற்கு ஆதரவளித்த தீங்கிழைக்கும் உள்கட்டமைப்பு தகர்க்கப்பட்டுள்ளது. இந்தத் தடை ஏற்பட்டபோதிலும், பயன்படுத்தப்பட்ட நுட்பங்கள் பாதுகாப்பற்ற பிணையச் சாதனங்களுடன் தொடர்புடைய தொடர்ச்சியான அபாயங்களை எடுத்துக்காட்டுகின்றன.
இந்த பிரச்சாரம் முதன்மையாக உளவுத் தகவல்களைச் சேகரிப்பதில் கவனம் செலுத்தியிருந்தாலும், AitM நிலைப்படுத்தலின் பயன்பாடு பரந்த அச்சுறுத்தல்களை ஏற்படுத்துகிறது. இத்தகைய அணுகல், தீம்பொருள் பரவல் அல்லது சேவை மறுப்புத் தாக்குதல்கள் உள்ளிட்ட கூடுதல் தீங்கிழைக்கும் செயல்பாடுகளைச் சாத்தியமாக்கி, இலக்கு வைக்கப்பட்ட நிறுவனங்கள் மீதான தாக்கத்தை கணிசமாக அதிகரிக்கக்கூடும்.
முடிவுரை: இணையப் பாதுகாப்புக்கான ஓர் விழிப்புணர்வு அழைப்பு
பிணையச் சூழல்களில் எட்ஜ் சாதனங்களைப் பாதுகாப்பதன் முக்கியத்துவத்தை ஃப்ராஸ்ட்அர்மாடா பிரச்சாரம் அடிக்கோடிட்டுக் காட்டுகிறது. ரவுட்டர்கள் மற்றும் டிஎன்எஸ் உள்கட்டமைப்பைச் சுரண்டுவது, தாக்குபவர்களுக்குப் பாரம்பரியப் பாதுகாப்புக் கட்டுப்பாடுகளைப் பெரும்பாலும் மீறி, சக்திவாய்ந்த மற்றும் மறைமுகமான கண்காணிப்பு வழிமுறையை வழங்குகிறது.
இதுபோன்ற மேம்பட்ட அச்சுறுத்தல் காரணிகளால் ஏற்படும் அபாயங்களைக் குறைப்பதற்கு, நிறுவனங்களும் தனிநபர்களும் பிணையச் சாதனங்களின் முறையான உள்ளமைவு, சரியான நேரத்தில் பிழைத்திருத்தம் மற்றும் தொடர்ச்சியான கண்காணிப்பு ஆகியவற்றுக்கு முன்னுரிமை அளிக்க வேண்டும்.
