Kimwolf Botnet Campaign

பாதுகாப்பு ஆராய்ச்சியாளர்கள், குடியிருப்பு ப்ராக்ஸி நெட்வொர்க்குகளைப் பயன்படுத்தி இரண்டு மில்லியனுக்கும் அதிகமான சாதனங்களை சமரசம் செய்த, கிம்வோல்ஃப் எனப்படும் மிகப்பெரிய ஆண்ட்ராய்டு-மையப்படுத்தப்பட்ட பாட்நெட்டைக் கண்டுபிடித்துள்ளனர். தீம்பொருள் அன்றாட நுகர்வோர் வன்பொருளை உலகளாவிய தாக்குதல் தளமாக மாற்றுகிறது, தீங்கிழைக்கும் போக்குவரத்தை அமைதியாக வழிநடத்துகிறது மற்றும் பெரிய அளவிலான விநியோகிக்கப்பட்ட சேவை மறுப்பு (DDoS) செயல்பாடுகளை செயல்படுத்துகிறது. ஒவ்வொரு வாரமும் சுமார் 12 மில்லியன் தனித்துவமான ஐபி முகவரிகள் அவதானிப்புகள் காட்டுகின்றன, இது இந்த செயல்பாட்டின் அசாதாரண நோக்கத்தை எடுத்துக்காட்டுகிறது.

தோற்றம், பரிணாமம் மற்றும் AISURU உடனான இணைப்புகள்

கிம்வுல்ஃப் முதன்முதலில் டிசம்பர் 2025 இல் பகிரங்கமாக பகுப்பாய்வு செய்யப்பட்டது, அப்போது புலனாய்வாளர்கள் AISURU எனப்படும் மற்றொரு பாட்நெட்டுடனான வலுவான தொழில்நுட்ப மற்றும் உள்கட்டமைப்பு உறவுகளை அடையாளம் கண்டனர். கிம்வுல்ஃப் குறைந்தது ஆகஸ்ட் 2025 முதல் செயல்பட்டு வருவதாகவும், AISURU இன் ஆண்ட்ராய்டு அடிப்படையிலான பரிணாம வளர்ச்சியைக் குறிக்கிறது என்றும் சான்றுகள் தெரிவிக்கின்றன. கடந்த ஆண்டு இறுதியில் காணப்பட்ட பல சாதனை படைத்த DDoS பிரச்சாரங்களை இந்த பாட்நெட் இயக்கியதாக ஆராய்ச்சியாளர்கள் பெருகிய முறையில் நம்புகின்றனர்.

உலகளாவிய தொற்று தடம் மற்றும் இலக்கு சாதனங்கள்

கிம்வோல்ஃப் உலகளவில் பரவலாக இருந்தாலும், வியட்நாம், பிரேசில், இந்தியா மற்றும் சவுதி அரேபியாவில் தொற்றுகள் அதிகமாகக் காணப்படுகின்றன. சமரசம் செய்யப்பட்ட அமைப்புகளில் குறிப்பிடத்தக்க பகுதி அதிகாரப்பூர்வமற்ற ஆண்ட்ராய்டு ஸ்மார்ட் டிவிகள் மற்றும் செட்-டாப் பாக்ஸ்கள் ஆகும், அவற்றில் பல பாதுகாப்பற்ற இயல்புநிலை உள்ளமைவுகளுடன் அனுப்பப்படுகின்றன.

இணைக்கப்பட்ட சாதனங்களில் குறைந்தது 67% அங்கீகரிக்கப்படாத Android Debug Bridge (ADB) சேவையைப் பயன்படுத்துகின்றன, இதனால் அவை ரிமோட் கண்ட்ரோலுக்குத் திறந்திருக்கும். இந்த தயாரிப்புகளில் பல, நுகர்வோரைச் சென்றடைவதற்கு முன்பு, ப்ராக்ஸி தொடர்பான மென்பொருள் மேம்பாட்டு கருவிகளுடன் (SDKகள்) முன்பே ஏற்றப்பட்டிருப்பதாக புலனாய்வாளர்கள் சந்தேகிக்கின்றனர், இது பின்னர் தீம்பொருளுக்கான விநியோக சேனல்களாக மாறும் ப்ராக்ஸி சுற்றுச்சூழல் அமைப்புகளில் திறம்பட சேர்க்கிறது.

கிம்வொல்ஃப் எவ்வாறு பரவுகிறது மற்றும் கட்டுப்பாட்டைப் பராமரிக்கிறது

கிம்வோல்ஃப்பின் ஆபரேட்டர்கள், வெளிப்படும் ADB சேவைகளை இயக்கும் Android சாதனங்களுக்கான இணையத்தை ஸ்கேன் செய்ய பெரிய குடியிருப்பு ப்ராக்ஸி நெட்வொர்க்குகளை நம்பியுள்ளனர். அடையாளம் காணப்பட்டவுடன், தீம்பொருள் தொலைவிலிருந்து நிறுவப்பட்டு, சாதனத்தை ஒரு போக்குவரத்து ரிலே மற்றும் தாக்குதல் முனையாக மாற்றுகிறது. கோர் பேலோட் போர்ட் 40860 இல் ஒரு கேட்பவரைத் திறந்து 85.234.91[.]247:1337 உடன் வெளிச்செல்லும் தொடர்பை நிறுவுகிறது, அதிலிருந்து அது செயல்பாட்டு கட்டளைகளைப் பெறுகிறது.

டிசம்பர் 2025 ஆம் ஆண்டு வாக்கில், சீனாவை தளமாகக் கொண்ட IPIDEA நிறுவனத்திடமிருந்து வாடகைக்கு எடுக்கப்பட்ட ப்ராக்ஸி IP முகவரிகள் மூலம் தொற்றுகள் கண்டறியப்பட்டன. இந்த நிறுவனம், 6.1 மில்லியனுக்கும் அதிகமான தினசரி புதுப்பிக்கப்பட்ட IP முகவரிகள் மற்றும் 69,000 புதிய முகவரிகளுடன் உலகின் முன்னணி IP ப்ராக்ஸி சேவையாக தன்னை விளம்பரப்படுத்திக் கொள்கிறது. டிசம்பர் 27 ஆம் தேதி, தாக்குதல் நடத்துபவர்கள் உள் சாதனங்களை அடைய வாடிக்கையாளர் நிறுவிய ப்ராக்ஸி மென்பொருள் மூலம் சுரங்கப்பாதையில் செல்வதற்கான சான்றுகள் வெளிவந்ததைத் தொடர்ந்து, உள்ளூர் நெட்வொர்க்குகள் மற்றும் உணர்திறன் வாய்ந்த துறைமுகங்களுக்கான அணுகலைத் தடுக்கும் பாதுகாப்பு புதுப்பிப்பை IPIDEA பயன்படுத்தியது.

இந்த நுட்பத்தால் உருவாக்கப்பட்ட வெளிப்பாடு, ஆய்வாளர்களால் முன்னோடியில்லாதது என்று விவரிக்கப்பட்டது, இது மில்லியன் கணக்கான நுகர்வோர் அமைப்புகளை தானியங்கி சுரண்டலின் பாதையில் நேரடியாக நிறுத்தியது.

பணமாக்குதல்: ப்ராக்ஸிகள், பேலோடுகள் மற்றும் கட்டண தாக்குதல்கள்

தொடக்கத்திலிருந்தே, கிம்வோல்ஃபின் நிதி நோக்கங்கள் தெளிவாக இருந்தன. ஆபரேட்டர்கள் தங்கள் உள்கட்டமைப்பை தீவிரமாக வணிகமயமாக்கினர், சமரசம் செய்யப்பட்ட சாதனங்களை பல வழிகள் மூலம் லாபம் ஈட்டும் சொத்துக்களாக மாற்றினர்:

• ஒரு ஜிபிக்கு $0.20 அல்லது வரம்பற்ற அலைவரிசைக்கு மாதத்திற்கு $1,400 என மலிவாக விளம்பரப்படுத்தப்பட்ட குடியிருப்பு ப்ராக்ஸி அணுகலின் விற்பனை, பல ப்ராக்ஸி சேவைகளிலிருந்து ஆரம்பகால தத்தெடுப்பை ஈர்த்தது.
• இரண்டாம் நிலை பணமாக்குதல் SDK-களின் பயன்பாடு, குறிப்பாக Plainproxies Byteconnect SDK, இது 119 பிரத்யேக ரிலே சேவையகங்கள் வழியாக ஒரு கட்டளை சேவையகத்திலிருந்து பாதிக்கப்பட்ட சாதனங்களுக்கு கட்டண ப்ராக்ஸி பணிகளை வழிநடத்துகிறது.
• பெரிய அளவிலான DDoS செயல்பாடு மற்றும் IMAP சேவைகள் மற்றும் பிரபலமான ஆன்லைன் தளங்களுக்கு எதிரான நற்சான்றிதழ் நிரப்புதல் பிரச்சாரங்கள் உள்ளிட்ட சைபர் குற்ற நடவடிக்கைகளுக்காக பாட்நெட்டை துஷ்பிரயோகம் செய்தல்.

முன்பே பாதிக்கப்பட்ட டிவி பெட்டிகளின் இருப்பு மற்றும் வணிக அலைவரிசை-பகிர்வு SDK-களின் ஒருங்கிணைப்பு, போட்நெட் ஆபரேட்டர்கள் மற்றும் ப்ராக்ஸி பொருளாதாரத்தின் பிரிவுகளுக்கு இடையே ஆழமான ஒத்துழைப்பை வலுவாக பரிந்துரைக்கின்றன.

தற்காப்பு நடவடிக்கைகள் மற்றும் ஆபத்து குறைப்பு

இதே போன்ற அச்சுறுத்தல்களைத் தணிக்க, சேவை வழங்குநர்கள் மற்றும் இறுதி பயனர் சூழல்கள் இரண்டிலும் ஒருங்கிணைந்த நடவடிக்கை தேவை:

• ப்ராக்ஸி நெட்வொர்க்குகள் RFC 1918 முகவரி வரம்புகளுக்கு விதிக்கப்பட்ட போக்குவரத்தைத் தடுக்க வேண்டும், வெளிப்புற வாடிக்கையாளர்கள் நுகர்வோர் சாதனங்கள் வசிக்கும் உள் தனியார் நெட்வொர்க்குகளை அடைவதைத் தடுக்க வேண்டும்.
• நிறுவனங்கள் மற்றும் தனிநபர்கள் ஆண்ட்ராய்டு சிஸ்டங்களில், குறிப்பாக பாதுகாப்பற்ற இயல்புநிலைகளுடன் அனுப்பப்படும் உட்பொதிக்கப்பட்ட மற்றும் IoT-பாணி சாதனங்களில் அங்கீகரிக்கப்படாத ADB அணுகலை முடக்க வேண்டும் அல்லது கட்டுப்படுத்த வேண்டும்.

இந்தக் கட்டுப்பாடுகள் இல்லாமல், குடியிருப்பு ப்ராக்ஸி சுற்றுச்சூழல் அமைப்புகள் பெரிய அளவிலான தீம்பொருள் வரிசைப்படுத்தல் மற்றும் போட்நெட் விரிவாக்கத்திற்கு சிறந்த பாதுகாப்பை தொடர்ந்து வழங்கும்.