பாலிஸ்டா பாட்நெட்

பாலிஸ்டா என அழைக்கப்படும் ஒரு புதிய பாட்நெட் பிரச்சாரம் அடையாளம் காணப்பட்டுள்ளது, இது பேட்ச் செய்யப்படாத TP-Link Archer ரவுட்டர்களை வெளிப்படையாக குறிவைக்கிறது. இணையம் முழுவதும் பரவ, பாட்நெட் ரிமோட் கோட் எக்ஸிகியூஷன் (RCE) பாதிப்பை - CVE-2023-1389 - பயன்படுத்திக் கொள்வதாக சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இந்த உயர்-தீவிர குறைபாடு TP-Link Archer AX-21 ரவுட்டர்களைப் பாதிக்கிறது, இதனால் தாக்குபவர்கள் தொலைதூரத்தில் கட்டளைகளை இயக்கவும் சாதனத்தின் கட்டுப்பாட்டை எடுக்கவும் அனுமதிக்கிறது.

சுரண்டலின் ஒரு காலவரிசை

செயலில் சுரண்டலுக்கான சான்றுகள் ஏப்ரல் 2023 ஆம் ஆண்டிலிருந்தே உள்ளன, அப்போது அறியப்படாத அச்சுறுத்தல் நடிகர்கள் முதன்முதலில் மிராய் பாட்நெட் தீம்பொருளை விநியோகிக்க பாதிப்பைப் பயன்படுத்தினர். அப்போதிருந்து, காண்டி மற்றும் ஆண்ட்ராக்ஸ்ஜி0ஸ்ட் உள்ளிட்ட பிற தீம்பொருள் வகைகளைப் பரப்ப இது பயன்படுத்தப்பட்டு, அதன் பரவலையும் தாக்கத்தையும் மேலும் அதிகரித்துள்ளது.

தாக்குதல் எவ்வாறு செயல்படுகிறது

இந்தத் தாக்குதல் வரிசை, 'dropbpb.sh' எனப் பெயரிடப்பட்ட ஷெல் ஸ்கிரிப்ட் எனப்படும் மால்வேர் டிராப்பருடன் தொடங்குகிறது. இது இலக்கு வைக்கப்பட்ட ரவுட்டர்களில் ஒரு தீங்கிழைக்கும் பைனரியை பதிவிறக்கம் செய்து செயல்படுத்துகிறது. இந்த மால்வேர் MIPS, mipsel, armv5l, armv7l மற்றும் x86_64 உள்ளிட்ட பல சிஸ்டம் கட்டமைப்புகளில் இயங்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது. நிறுவப்பட்டதும், இது போர்ட் 82 இல் ஒரு மறைகுறியாக்கப்பட்ட கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேனலை நிறுவுகிறது, இது தாக்குபவர்கள் பாதிக்கப்பட்ட சாதனத்தை தொலைவிலிருந்து கட்டுப்படுத்த அனுமதிக்கிறது.

பாலிஸ்டா பாட்நெட்டின் திறன்கள்

ஒரு அமைப்பிற்குள் நுழைந்தவுடன், பாலிஸ்டா தாக்குபவர்கள் பல்வேறு கட்டளைகளை இயக்க உதவுகிறது, அவற்றுள்:

• ஃப்ளடர் - வெள்ளம் சார்ந்த சேவை மறுப்பு (DoS) தாக்குதலைத் தொடங்குகிறது.
• எக்ஸ்ப்ளோயிட்டர் – கூடுதல் ரவுட்டர்களைப் பாதிக்க CVE-2023-1389 ஐப் பயன்படுத்துகிறது.
• தொடக்கம் – exploiter தொகுதியைத் துவக்குகிறது.
• மூடு - சுரண்டல் தொகுதியை நிறுத்துகிறது.
• ஷெல் – பாதிக்கப்பட்ட கணினியில் லினக்ஸ் ஷெல் கட்டளைகளை செயல்படுத்துகிறது.
• கில்லால் – இயங்கும் தீம்பொருள் சேவையை நிறுத்துகிறது.

கூடுதலாக, தீம்பொருள் அதன் சொந்த இருப்பின் தடயங்களை அழித்து, பாதிக்கப்படக்கூடிய சாதனங்களைத் தேடி சுரண்டுவதன் மூலம் தன்னியக்கமாகப் பரவ முடியும்.

இத்தாலிய இணைப்பின் அறிகுறிகள்

பாலிஸ்டாவின் உள்கட்டமைப்பைப் பகுப்பாய்வு செய்தால், இத்தாலிய இணைப்பு வெளிப்படுகிறது. தீம்பொருள் பைனரிகள் இத்தாலிய மொழி சரங்களைக் கொண்டுள்ளன, மேலும் ஆரம்ப C2 சேவையகம் 2.237.57.70 இல் ஹோஸ்ட் செய்யப்பட்டது, இது ஒரு இத்தாலிய IP முகவரி. இருப்பினும், புதிய பதிப்புகள் இப்போது ஹார்ட்கோட் செய்யப்பட்ட IP முகவரிகளுக்குப் பதிலாக TOR நெட்வொர்க் டொமைன்களைப் பயன்படுத்துவதால், தீம்பொருள் தொடர்ச்சியான வளர்ச்சியில் இருப்பதாகத் தெரிகிறது.

உலகளாவிய தாக்கம்: ஆயிரக்கணக்கான ரவுட்டர்கள் ஆபத்தில் உள்ளன

ஒரு இலக்கு தேடலில், பாலிஸ்டாவால் ஏற்கனவே 6,000க்கும் மேற்பட்ட சாதனங்கள் பாதிக்கப்பட்டுள்ளதாகக் கூறப்படுகிறது. மிகவும் பாதிக்கப்படக்கூடிய பகுதிகளில் பிரேசில், போலந்து, யுனைடெட் கிங்டம், பல்கேரியா மற்றும் துருக்கி ஆகியவை அடங்கும். அதன் செயலில் பரிணாம வளர்ச்சியைக் கருத்தில் கொண்டு, இந்த போட்நெட் உலகளவில் பேட்ச் செய்யப்படாத ரவுட்டர்களுக்கு குறிப்பிடத்தக்க அச்சுறுத்தலாக உள்ளது.