ஆரிஸ்டிங்கர் மால்வேர்
ஆரிஸ்டிங்கர் (AryStinger) எனப் பெயரிடப்பட்ட, புதிதாகக் கண்டுபிடிக்கப்பட்ட ஒரு தீம்பொருள் குடும்பம், பாதிக்கப்பட்ட வலையமைப்புச் சாதனங்களுடன் பொதுவாகத் தொடர்புடைய பாரம்பரியமான பரவலாக்கப்பட்ட சேவை மறுப்பு (DDoS) பாட்நெட்களுக்குப் பதிலாக, கைவிடப்பட்ட வீட்டு ரவுட்டர்களை ஒரு பெரிய அளவிலான உளவு மற்றும் ப்ராக்ஸி வலையமைப்பாக மாற்றி வருகிறது. பாதுகாப்பு ஆராய்ச்சியாளர்கள் ஏற்கனவே குறைந்தது 4,300 பாதிக்கப்பட்ட ரவுட்டர்களை அடையாளம் கண்டுள்ளனர், மேலும் இந்த எண்ணிக்கை தொடர்ந்து அதிகரிக்கும் என்று எதிர்பார்க்கப்படுகிறது.
சேவைகளைச் சீர்குலைப்பதில் கவனம் செலுத்தும் வழக்கமான தீம்பொருள் தாக்குதல்களைப் போலல்லாமல், AryStinger இணைய ஊடுருவல்களின் ஆரம்ப கட்டங்களுக்கு ஆதரவளிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது. ஊடுருவப்பட்ட சாதனங்கள், இணையத்தை ஸ்கேன் செய்யவும், இயங்கும் சேவைகளை அடையாளம் காணவும், துணை டொமைன்களைப் பட்டியலிடவும், நெட்வொர்க் போக்குவரத்தை டனல் செய்யவும், மற்றும் சேகரிக்கப்பட்ட உளவுத் தகவல்களை இயக்குபவர்களுக்குத் திருப்பி அனுப்புவதற்கு முன்பு தொலைவிலிருந்து கட்டளைகளைச் செயல்படுத்தவும் பயன்படுத்தப்படுகின்றன. பாதிக்கப்பட்ட ஒவ்வொரு ரவுட்டரும், தாக்குதல் நடத்துபவரின் உண்மையான மூலத்தை மறைக்கும் ஒரு உளவு முனையாகவும், அடையாளம் தெரியாத ரிலே ஆகவும் திறம்பட செயல்படுகிறது.
பொருளடக்கம்
பழைய வன்பொருள் மற்றும் நீண்ட காலமாக மறக்கப்பட்ட பாதிப்புகளைக் குறிவைத்தல்
இந்தத் தாக்குதல், 2012 முதல் 2015 வரை பரவலாகப் பயன்படுத்தப்பட்ட Realtek RTL819X சிப்செட்களைக் கொண்ட ரவுட்டர்களை முதன்மையாகக் குறிவைக்கிறது. ஆராய்ச்சியாளர்கள் முதன்முதலில் மார்ச் 12, 2026 அன்று, ஒரே ஒரு ஐபி முகவரியிலிருந்து இந்தத் தொற்றுகள் உருவானபோது, அதைக் கண்டறிந்தனர்.
பரப்பப்பட்ட தீம்பொருள் ஒரு லினக்ஸ் ELF பைனரி ஆகும், இது ஆரம்பத்தில் வைரஸ் டோட்டலில் உள்ள ஒவ்வொரு தேடுபொறியின் கண்டறிதலையும் தவிர்த்தது. அது இரண்டு பழைய பாதிப்புகளைப் பயன்படுத்தித் தொற்றை ஏற்படுத்தியது:
- CVE-2013-3307 குறிப்பிட்ட Linksys ரவுட்டர்களைப் பாதிக்கிறது.
- CVE-2016-5681 குறிப்பிட்ட D-Link சாதனங்களைப் பாதிக்கிறது.
பாதிக்கப்பட்ட சாதனங்களில் பெரும்பாலானவை டி-லிங்க் தயாரிப்புகளாகும், இதில் DIR-850L மாடல் சுமார் 75 சதவீத பாதிப்புகளுக்குக் காரணமாக அமைந்துள்ளது. புவியியல் ரீதியாக, தென் கொரியா (48 சதவீதம்) மற்றும் சீனாவில் (32 சதவீதம்) பாதிப்புகள் குவிந்துள்ளன, அதனைத் தொடர்ந்து ஸ்வீடன், மலேசியா மற்றும் சிங்கப்பூர் ஆகிய நாடுகளிலும் பாதிப்புகள் உள்ளன.
ரவுட்டர்களுக்கு அப்பாற்பட்ட விரிவாக்கம்
QNAP-இன் மால்வேர் ரிமூவர் பயன்பாட்டைப் பாதிக்கும் CVE-2025-11837 என்ற குறியீடு செருகல் பாதிப்பின் மூலம், QNAP NAS சாதனங்களைக் குறிவைத்து இரண்டாவது மால்வேர் மாறுபாடு 26 ஏப்ரல் 2026 அன்று வெளிப்பட்டது. இந்தப் பாதிப்பு நவம்பர் 2025-லேயே சரிசெய்யப்பட்டிருந்தபோதிலும், தாக்குதல் நடத்துபவர்கள் பல மாதங்களுக்குப் பிறகு அதைப் பயன்படுத்தத் தொடங்கினர்.
முரண்பாடாக, இந்தத் தொற்றுக்கான ஊடகம், NAS சாதனத்தின் சொந்த தீம்பொருள் அகற்றும் செயலியே ஆகும். அறிவிக்கப்பட்ட 4,300 பாதிக்கப்பட்ட கணினிகள் என்ற எண்ணிக்கை, பாதிக்கப்பட்ட RTL819X ரவுட்டர்களை மட்டுமே உள்ளடக்கியது; பாதிக்கப்பட்ட NAS சாதனங்களை இது கணக்கில் கொள்ளவில்லை.
சக்திவாய்ந்த திறன்களைக் கொண்ட இலகுரக தீம்பொருள்
ஆரிஸ்டிங்கரின் ரௌட்டர் பதிப்பானது, பழைய வன்பொருள்களின் வரையறுக்கப்பட்ட வளங்களைக் கருத்தில் கொண்டு, வேண்டுமென்றே குறைந்த வளங்களையே பயன்படுத்தும் வகையில் C மொழியில் எழுதப்பட்டுள்ளது. பெருமளவிலான DNS ஸ்கேனிங் மற்றும் டிராஃபிக் டனலிங் ஆகியவை இதன் முதன்மைச் செயல்பாடுகளாகும்.
Go மொழியில் உருவாக்கப்பட்ட NAS பதிப்பானது, கணிசமாக விரிவான திறன்களை வழங்குகிறது. இது உள் மற்றும் வெளி வலையமைப்புகள் இரண்டையும் ஸ்கேன் செய்யவும், fscan, ksubdomain, மற்றும் httpx போன்ற உளவுப் பயன்பாடுகளைச் செயல்படுத்தவும் வல்லது. ஸ்கிரிப்ட்வொர்க் (ScriptWork) எனப்படும் ஒரு அம்சம், தாக்குபவர் வழங்கிய Go, Java, அல்லது Python மூலக் குறியீட்டை, பாதிக்கப்பட்ட கணினியில் நேரடியாக இயக்க இயக்குநர்களை அனுமதிக்கிறது. இதன் மூலம் ஒவ்வொரு இலக்கிற்கும் தனித்தனி பைனரிகளைத் தொகுக்க வேண்டிய தேவை நீக்கப்படுகிறது.
பாதிக்கப்பட்ட சாதனங்களுக்கும் கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகங்களுக்கும் இடையேயான தொடர்பு, ஒரு எளிய XOR திட்டத்தின் மூலம் மறைக்கப்பட்ட புரோட்டோபஃப் குறியாக்கம் செய்யப்பட்ட தரவுப் போக்குவரத்தைப் பயன்படுத்தி HTTP மற்றும் HTTPS வழியாக நடைபெறுகிறது, அதே சமயம் கோ-அடிப்படையிலான மாறுபாடு ஜிசிப் சுருக்கத்தைச் சேர்க்கிறது. பெரிய அளவிலான ஸ்கேனிங் பணிகள் சிறிய பகுதிகளாகப் பிரிக்கப்பட்டு, பாட்நெட் முழுவதும் விநியோகிக்கப்படுகின்றன, இது இணையான உளவு நடவடிக்கைகளைச் சாத்தியமாக்குகிறது.
நிலைத்தன்மை மற்றும் துஷ்பிரயோகத்திற்கான சாத்தியக்கூறு
இந்த மால்வேர், ரவுட்டர்களுக்காக 2332 போர்ட்டில் ஒரு டிராப்பேர் SSH சேவையகத்தையும், ஊடுருவப்பட்ட NAS அமைப்புகளில் gs-netcat-ஐயும் நிறுவுவதன் மூலம் நீண்ட கால அணுகலைத் தக்க வைத்துக் கொள்கிறது. புலனாய்வாளர்கள், 'sh_#@!_2024_secret' என்ற நிரலில் நேரடியாகப் பதிக்கப்பட்ட அங்கீகாரச் சாவியையும் அடையாளம் கண்டனர். அதில் உள்ள '2024' என்ற எண், இந்தச் செயல்பாட்டின் உருவாக்கம் அந்த ஆண்டில் தொடங்கியிருக்கலாம் என்பதைக் குறிக்கக்கூடும், இருப்பினும் இதை உறுதியாக உறுதிப்படுத்த முடியாது.
உளவு பார்ப்பதே முதன்மை நோக்கமாகத் தோன்றினாலும், தேவைப்படும்போது சேவை மறுப்புப் போக்குவரத்தை உருவாக்குவதற்காக, அந்த மால்வேரின் DNS ஸ்கேனிங் திறன்களை DNS ரிசால்வர்களை நோக்கியும் திசைதிருப்ப முடியும்.
ஒரு பரிச்சயமான வடிவம்: செயல்பாட்டு ரிலே பெட்டி வலையமைப்புகள்
ஆரிஸ்டிங்கரால் உருவாக்கப்பட்ட உள்கட்டமைப்பு, செயல்பாட்டு ரிலே பெட்டி (ORB) வலையமைப்புகளை மிகவும் ஒத்திருக்கிறது. இந்த வலையமைப்புகள், ஊடுருவப்பட்ட மற்றும் ஆயுட்காலம் முடிவடைந்த ரவுட்டர்கள் மற்றும் IoT சாதனங்களைக் கொண்டுள்ளன. இவை, அச்சுறுத்தல் செய்பவர்களைக் கண்டறிவது கடினமாக இருக்கும் அதே வேளையில், ஸ்கேனிங் செயல்பாடுகளை நடத்தவும் தீங்கிழைக்கும் டிராஃபிக்கை அனுப்பவும் உதவுகின்றன.
இந்த அணுகுமுறை முந்தைய சம்பவங்களை ஒத்திருக்கிறது. மே 2025-ல், FBI மற்றும் அமெரிக்க நீதித்துறை, TheMoon தீம்பொருளால் பாதிக்கப்பட்ட காலாவதியான Linksys மற்றும் Cisco ரவுட்டர்களைப் பயன்படுத்தி, குடியிருப்பு ப்ராக்ஸி அணுகல் மூலம் பணம் சம்பாதித்து வந்த 5socks மற்றும் Anyproxy சேவைகளை முடக்கின. மிக சமீபத்தில், LapDogs போன்ற ORB செயல்பாடுகள், இதேபோல் பழைய சாதனங்களில் உள்ள சரிசெய்யப்படாத பாதுகாப்பு குறைபாடுகளைச் சார்ந்திருந்தன.
தற்போது, ஆரிஸ்டிங்கர் எந்தவொரு குறிப்பிட்ட அச்சுறுத்தல் காரணியுடனும் திட்டவட்டமாக தொடர்புபடுத்தப்படவில்லை. இருப்பினும், அதன் செயல்பாட்டு முறை சந்தேகத்திற்கு இடமின்றித் தெளிவாக உள்ளது: காலாவதியான வன்பொருள்களும், மறக்கப்பட்ட பாதுகாப்புக் குறைபாடுகளும், அதிநவீன இணைய ஊடுருவல்களின் ஆரம்ப கட்டங்களுக்கு ஆதரவளிக்கும் மறைமுகமான உள்கட்டமைப்பாக மாற்றப்படுகின்றன.
கண்டறிதல் மற்றும் தணிப்பு உத்திகள்
பாதிக்கப்பட வாய்ப்புள்ள உபகரணங்களை இயக்கும் நிறுவனங்களும் தனிநபர்களும், பாதுகாப்புக் குறைபாட்டின் அறிகுறிகளை உடனடியாகக் கண்டறிந்து, நீண்டகாலச் சரிசெய்தல் நடவடிக்கைகளைச் செயல்படுத்த வேண்டும்.
மிகவும் பயனுள்ள பாதுகாப்பு முறை எளிமையானது: இனி ஃபார்ம்வேர் புதுப்பிப்புகளைப் பெறாத, ஆயுட்காலம் முடிந்த நெட்வொர்க்கிங் சாதனங்களைப் பயன்பாட்டிலிருந்து நீக்குவதும், இணையத்துடன் இணைக்கப்பட்ட சாதனங்களில் முடிந்தவரை தொலைநிலை நிர்வாகத்தை முடக்குவதும் ஆகும். பல ஆண்டுகளுக்கு முன்பே பாதுகாப்புப் புதுப்பிப்புகளைப் பெறுவதை நிறுத்திய வன்பொருட்கள், நவீன அச்சுறுத்தல்களுக்கு எதிராகப் பாதுகாப்பைப் பெறுவதற்கான வாய்ப்பு குறைவு.