KadNap Malware

சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் புதிதாக வளர்ந்து வரும் மால்வேர் வகையை அடையாளம் கண்டுள்ளனர், இது முதன்மையாக ஆசஸ் ரவுட்டர்களை குறிவைத்து, தீங்கிழைக்கும் இணைய போக்குவரத்தை ப்ராக்ஸி செய்ய வடிவமைக்கப்பட்ட ஒரு பாட்நெட்டில் சேர்க்கிறது. ஆகஸ்ட் 2025 இல் முதன்முதலில் காடுகளில் காணப்பட்ட இந்த மால்வேர் ஏற்கனவே உலகளவில் 14,000 க்கும் மேற்பட்ட சாதனங்களைப் பாதித்துள்ளது. தைவான், ஹாங்காங், ரஷ்யா, யுனைடெட் கிங்டம், ஆஸ்திரேலியா, பிரேசில், பிரான்ஸ், இத்தாலி மற்றும் ஸ்பெயினில் சிறிய அளவிலான தொற்றுகள் கண்டறியப்பட்டுள்ளன என்று பகுப்பாய்வு சுட்டிக்காட்டுகிறது.

ஆசஸ் ரவுட்டர்கள் முதன்மை இலக்குகளாகத் தோன்றினாலும், காட்நாப்பின் பின்னால் உள்ள ஆபரேட்டர்கள் பரந்த அளவிலான எட்ஜ் நெட்வொர்க்கிங் சாதனங்களைச் சேர்க்க தங்கள் முயற்சிகளை விரிவுபடுத்தியுள்ளதாக விசாரணைகள் காட்டுகின்றன. இந்த விரிவாக்கம் போட்நெட் உள்கட்டமைப்பின் அளவு மற்றும் மீள்தன்மையை அதிகரிக்க வேண்டுமென்றே முயற்சிப்பதைக் குறிக்கிறது.

காடெம்லியா தொழில்நுட்பத்தின் மூலம் சகாக்களுக்கு இடையேயான மறைப்பு

KadNap செயல்பாட்டின் ஒரு வரையறுக்கும் அம்சம், Kademlia Distributed Hash Table (DHT) நெறிமுறையின் மாற்றியமைக்கப்பட்ட செயல்படுத்தலை நம்பியிருப்பது ஆகும். இந்த நெறிமுறை ஒரு peer-to-peer கட்டமைப்பில் ஒருங்கிணைக்கப்பட்டுள்ளது, இது விநியோகிக்கப்பட்ட முனைகளுக்குள் கட்டளை அமைப்புகளை மறைப்பதன் மூலம் botnet இன் உள்கட்டமைப்பின் இருப்பிடத்தை மறைக்கிறது.

சமரசம் செய்யப்பட்ட சாதனங்கள் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களைக் கண்டறிந்து இணைக்க DHT நெட்வொர்க் மூலம் தொடர்பு கொள்கின்றன. பரவலாக்கப்பட்ட சூழலில் தகவல்தொடர்புகளைப் பரப்புவதன் மூலம், தீம்பொருள் ஒரு உள்கட்டமைப்பு புள்ளியை நம்பியிருப்பதைத் தவிர்க்கிறது, இது பாரம்பரிய கண்டறிதல் மற்றும் அகற்றுதல் முயற்சிகளை கணிசமாக சிக்கலாக்குகிறது. இந்த அணுகுமுறை தீங்கிழைக்கும் போக்குவரத்தை முறையான பியர்-டு-பியர் நெட்வொர்க் செயல்பாட்டில் திறம்பட கலக்கிறது, இது கண்காணிப்பு மற்றும் இடையூறுகளை பாதுகாவலர்களுக்கு கணிசமாக கடினமாக்குகிறது.

தொற்று வழிமுறை மற்றும் நிலைத்தன்மை உத்தி

தொற்று சங்கிலி aic.sh என்ற ஷெல் ஸ்கிரிப்ட்டுடன் தொடங்குகிறது, இது IP முகவரி 212.104.141.140 இல் ஹோஸ்ட் செய்யப்பட்ட கட்டளை சேவையகத்திலிருந்து பதிவிறக்கம் செய்யப்படுகிறது. இந்த ஸ்கிரிப்ட், சமரசம் செய்யப்பட்ட சாதனத்தை போட்நெட்டின் பியர்-டு-பியர் சுற்றுச்சூழல் அமைப்பில் ஒருங்கிணைக்கும் செயல்முறையைத் தொடங்குகிறது.

ஒவ்வொரு மணி நேரத்திற்கும் 55 நிமிடங்களில் அதே ஸ்கிரிப்டை மீட்டெடுக்கும் ஒரு திட்டமிடப்பட்ட கிரான் வேலையை உருவாக்குவதன் மூலம் ஸ்கிரிப்ட் நிலைத்தன்மையை நிறுவுகிறது. ஒவ்வொரு முறை பதிவிறக்கம் செய்யப்படும்போதும், ஸ்கிரிப்ட் '.asusrouter' என மறுபெயரிடப்பட்டு செயல்படுத்தப்படும். நிலைத்தன்மை பாதுகாக்கப்பட்டவுடன், ஸ்கிரிப்ட் ஒரு தீங்கிழைக்கும் ELF பைனரியைப் பதிவிறக்கி, அதை kad என மறுபெயரிட்டு, அதை இயக்குகிறது, KadNap தீம்பொருள் பேலோடை திறம்பட பயன்படுத்துகிறது. தீம்பொருள் ARM மற்றும் MIPS செயலிகளைப் பயன்படுத்தி சாதனங்களில் செயல்பட வடிவமைக்கப்பட்டுள்ளது, இது பரந்த அளவிலான ரூட்டர் கட்டமைப்புகளை சமரசம் செய்ய உதவுகிறது.

நேர அடிப்படையிலான சக கண்டுபிடிப்பு மற்றும் வலையமைப்பு ஒருங்கிணைப்பு

KadNap அதன் பரவலாக்கப்பட்ட நெட்வொர்க் முழுவதும் செயல்பாட்டை ஒத்திசைப்பதற்கான ஒரு பொறிமுறையை ஒருங்கிணைக்கிறது. தீம்பொருள் தற்போதைய கணினி நேரத்தை மீட்டெடுக்க ஒரு நெட்வொர்க் நேர நெறிமுறை (NTP) சேவையகத்துடன் இணைகிறது மற்றும் பாதிக்கப்பட்ட சாதனத்தின் இயக்க நேர தகவலுடன் அதை இணைக்கிறது. இந்த மதிப்புகள், பாதிக்கப்பட்ட சாதனம் விநியோகிக்கப்பட்ட நெட்வொர்க்கிற்குள் உள்ள சகாக்களைக் கண்டறிய உதவும் ஒரு ஹாஷை உருவாக்கப் பயன்படுத்தப்படுகின்றன.

இந்த செயல்முறை, மையப்படுத்தப்பட்ட கட்டளை அமைப்பை நம்பியிருக்காமல், சமரசம் செய்யப்பட்ட அமைப்புகள் பிற முனைகளைக் கண்டறியவும், வழிமுறைகளைப் பெறவும், கூடுதல் தீங்கிழைக்கும் கோப்புகளைப் பதிவிறக்கவும் உதவுகிறது. fwr.sh மற்றும் /tmp/.sose போன்ற துணை ஸ்கிரிப்ட்களும் கூடுதல் பணிகளைச் செய்கின்றன, இதில் செக்யூர் ஷெல் (SSH) பயன்படுத்தும் நிலையான TCP போர்ட் போர்ட் 22 ஐ முடக்குதல் மற்றும் மேலும் தகவல்தொடர்புக்கு பயன்படுத்தப்படும் C2 சர்வர் முகவரி மற்றும் போர்ட் சேர்க்கைகளின் பட்டியல்களைப் பிரித்தெடுப்பது ஆகியவை அடங்கும்.

ப்ராக்ஸி சேவைகள் மூலம் பாட்நெட்டை வணிகமயமாக்குதல்

ரவுட்டர்கள் பாதிக்கப்பட்டவுடன், அவை doppelganger.shop என்ற வலைத்தளம் மூலம் Doppelgänger என்ற பெயரில் சந்தைப்படுத்தப்படும் வணிக ப்ராக்ஸி நெட்வொர்க்கில் ஒருங்கிணைக்கப்படுகின்றன. பாதுகாப்பு ஆராய்ச்சியாளர்கள் இந்த சேவையை TheMoon தீம்பொருளுடன் முன்னர் தொடர்புடைய ப்ராக்ஸி தளமான Faceless இன் மறுபெயரிடப்பட்ட பதிப்பாக மதிப்பிடுகின்றனர்.

சேவையால் வெளியிடப்பட்ட விளம்பரப் பொருட்களின்படி, இந்த நெட்வொர்க் 50க்கும் மேற்பட்ட நாடுகளில் குடியிருப்பு ப்ராக்ஸி அணுகலை வழங்குகிறது மற்றும் பயனர்களுக்கு '100% பெயர் தெரியாதது' என்று விளம்பரப்படுத்துகிறது. இந்த தளம் மே அல்லது ஜூன் 2025 இல் தொடங்கப்பட்டதாக சான்றுகள் தெரிவிக்கின்றன. ஒவ்வொரு சமரசம் செய்யப்பட்ட சாதனமும் ஒவ்வொரு கட்டளை சேவையகத்துடனும் தொடர்பு கொள்ளாததால், உள்கட்டமைப்பு சாதனங்களை வகை மற்றும் மாதிரியின் அடிப்படையில் பிரிக்கிறது. இந்த பிரிவு ஒரு கட்டமைக்கப்பட்ட மற்றும் அளவிடக்கூடிய போட்நெட் மேலாண்மை உத்தியைக் குறிக்கிறது.

ப்ராக்ஸி நெட்வொர்க் ஏற்கனவே பல அச்சுறுத்தல் காரணிகளால் சுரண்டப்படுவது கவனிக்கப்பட்டுள்ளது. இருப்பினும், நெட்வொர்க்கில் உள்ள திசைவிகள் சில நேரங்களில் கூடுதல் தீம்பொருள் குடும்பங்களால் ஒரே நேரத்தில் பாதிக்கப்பட்டு, குறிப்பிட்ட தீங்கிழைக்கும் செயல்களுக்கு எந்த காரணி பொறுப்பு என்பதை மறைப்பதால், பண்புக்கூறு கடினமாகவே உள்ளது.

ரூட்டர் உரிமையாளர்களுக்கான தற்காப்பு நடவடிக்கைகள்

வீடு மற்றும் சிறிய அலுவலக சூழல்களில் மோசமான பாதுகாப்பு கொண்ட சாதனங்களால் ஏற்படும் அதிகரித்து வரும் ஆபத்தை KadNap இன் எழுச்சி எடுத்துக்காட்டுகிறது. நெட்வொர்க் பாதுகாவலர்கள் மற்றும் தனிப்பட்ட பயனர்கள் பல பாதுகாப்பு நடைமுறைகளைப் பின்பற்றுவதன் மூலம் வெளிப்பாட்டைக் கணிசமாகக் குறைக்கலாம்:

• சமீபத்திய ஃபார்ம்வேர் மற்றும் பாதுகாப்பு புதுப்பிப்புகளுடன் ரூட்டர்கள் மற்றும் நெட்வொர்க்கிங் சாதனங்களைப் பராமரிக்கவும்.
• பொருந்தக்கூடிய இடங்களில் தற்காலிக தீங்கிழைக்கும் செயல்முறைகளை அழிக்க அவ்வப்போது சாதனங்களை மறுதொடக்கம் செய்யுங்கள்.
• இயல்புநிலை சான்றுகளை வலுவான, தனித்துவமான கடவுச்சொற்களால் மாற்றவும்.
• நிர்வாக மேலாண்மை இடைமுகங்களை கட்டுப்படுத்தி பாதுகாக்கவும்.
• வாழ்நாள் முடிவை எட்டிய மற்றும் விற்பனையாளர் பாதுகாப்பு புதுப்பிப்புகளைப் பெறாத ரவுட்டர்களை ஓய்வு பெற்று மாற்றவும்.

திருட்டுத்தனத்திற்காக வடிவமைக்கப்பட்ட ஒரு பரவலாக்கப்பட்ட பாட்நெட்

பரவலாக்கப்பட்ட பியர்-டு-பியர் கட்டமைப்பைப் பயன்படுத்துவதன் மூலம் அநாமதேய ப்ராக்ஸி சேவைகளை ஆதரிக்கும் பல பாரம்பரிய பாட்நெட்டுகளிலிருந்து காட்நாப் தன்னை வேறுபடுத்திக் கொள்கிறது. காடெம்லியா டிஹெச்டி நெறிமுறையைப் பயன்படுத்துவதன் மூலம், எளிதில் அடையாளம் காணக்கூடிய மையப்படுத்தப்பட்ட சேவையகங்களை நம்புவதற்குப் பதிலாக, பாதிக்கப்பட்ட சாதனங்களில் பாட்நெட் கட்டுப்பாட்டை விநியோகிக்கிறது.

இந்த கட்டமைப்பு ஆபரேட்டர்களுக்கு மீள்தன்மை கொண்ட தகவல் தொடர்பு சேனல்களை வழங்குகிறது, அவை கண்டறிவது, தடுப்பது அல்லது அகற்றுவது கணிசமாக கடினமாக இருக்கும். மூலோபாய இலக்கு தெளிவாக உள்ளது: செயல்பாட்டு தொடர்ச்சியைப் பராமரித்தல், பாதுகாப்பு கண்காணிப்பைத் தவிர்ப்பது மற்றும் சைபர் பாதுகாப்பு குழுக்களுக்கான தற்காப்பு மறுமொழி முயற்சிகளை சிக்கலாக்குதல்.