ఆర్యస్టింగర్ మాల్వేర్
ఆర్యస్టింగర్ అనే కొత్తగా కనుగొనబడిన మాల్వేర్ కుటుంబం, సాధారణంగా హ్యాక్ చేయబడిన నెట్వర్కింగ్ పరికరాలతో ముడిపడి ఉండే సాంప్రదాయ డిస్ట్రిబ్యూటెడ్ డినయల్-ఆఫ్-సర్వీస్ (DDoS) బాట్నెట్ల వలె కాకుండా, పాడుబడిన హోమ్ రౌటర్లను ఒక పెద్ద-స్థాయి నిఘా మరియు ప్రాక్సీ నెట్వర్క్గా మారుస్తోంది. భద్రతా పరిశోధకులు ఇప్పటికే కనీసం 4,300 సోకిన రౌటర్లను గుర్తించారు, మరియు ఈ సంఖ్య ఇంకా పెరుగుతుందని అంచనా వేయబడింది.
సేవలకు అంతరాయం కలిగించడంపై దృష్టి సారించే సాంప్రదాయ మాల్వేర్ దాడుల వలె కాకుండా, ఆర్యస్టింగర్ సైబర్ చొరబాట్ల ప్రారంభ దశలకు మద్దతు ఇచ్చేలా రూపొందించబడింది. హ్యాక్ చేయబడిన పరికరాలను ఉపయోగించి ఇంటర్నెట్ను స్కాన్ చేయడం, నడుస్తున్న సేవలను గుర్తించడం, సబ్డొమైన్లను లెక్కించడం, నెట్వర్క్ ట్రాఫిక్ను టన్నెల్ చేయడం, మరియు సేకరించిన సమాచారాన్ని ఆపరేటర్లకు తిరిగి పంపే ముందు రిమోట్గా కమాండ్లను అమలు చేయడం వంటివి జరుగుతాయి. ఇన్ఫెక్ట్ అయిన ప్రతి రౌటర్ సమర్థవంతంగా ఒక నిఘా నోడ్గా మరియు దాడి చేసేవారి నిజమైన మూలాన్ని దాచిపెట్టే ఒక అనామక రిలేగా పనిచేస్తుంది.
విషయ సూచిక
పాతబడిన హార్డ్వేర్ మరియు చాలా కాలంగా మరచిపోయిన బలహీనతలను లక్ష్యంగా చేసుకోవడం
ఈ దాడి ప్రధానంగా 2012 మరియు 2015 మధ్య విస్తృతంగా ఉపయోగించబడిన రియల్టెక్ RTL819X చిప్సెట్లతో పనిచేసే రౌటర్లను లక్ష్యంగా చేసుకుంది. 12 మార్చి 2026న, ఒకే IP చిరునామా నుండి ఇన్ఫెక్షన్లు ప్రారంభమైనప్పుడు పరిశోధకులు మొదటిసారిగా ఈ మాల్వేర్ను గమనించారు.
ప్రయోగించిన మాల్వేర్ ఒక లినక్స్ ELF బైనరీ, ఇది మొదట్లో వైరస్టోటల్లోని ప్రతి ఇంజిన్ ద్వారా గుర్తించబడకుండా తప్పించుకుంది. ఇది రెండు పాత బలహీనతలను ఉపయోగించుకోవడం ద్వారా సంక్రమణను సాధించింది:
- CVE-2013-3307 కొన్ని లింక్సిస్ రౌటర్లను ప్రభావితం చేస్తోంది.
- CVE-2016-5681 నిర్దిష్ట D-Link పరికరాలను ప్రభావితం చేస్తోంది.
హ్యాక్ చేయబడిన సిస్టమ్లలో చాలా వరకు డి-లింక్ ఉత్పత్తులే, వీటిలో దాదాపు 75 శాతం ఇన్ఫెక్షన్లకు DIR-850L మోడల్ కారణం. భౌగోళికంగా, ఇన్ఫెక్షన్లు ప్రధానంగా దక్షిణ కొరియా (48 శాతం) మరియు చైనా (32 శాతం)లలో కేంద్రీకృతమై ఉన్నాయి, ఆ తర్వాత స్వీడన్, మలేషియా మరియు సింగపూర్ ఉన్నాయి.
రౌటర్లకు ఆవల విస్తరణ
26 ఏప్రిల్ 2026న, QNAP యొక్క మాల్వేర్ రిమూవర్ యుటిలిటీని ప్రభావితం చేసే CVE-2025-11837 అనే కోడ్ ఇంజెక్షన్ దుర్బలత్వం ద్వారా, QNAP NAS పరికరాలను లక్ష్యంగా చేసుకుని రెండవ మాల్వేర్ వేరియంట్ వెలుగులోకి వచ్చింది. ఈ దుర్బలత్వాన్ని నవంబర్ 2025లోనే సరిచేసినప్పటికీ, దాడి చేసేవారు కొన్ని నెలల తర్వాత దీనిని ఉపయోగించుకోవడం ప్రారంభించారు.
విచిత్రంగా, ఈ ఇన్ఫెక్షన్కు కారణం NAS అప్లయెన్స్ యొక్క సొంత మాల్వేర్-రిమూవల్ అప్లికేషనే. నివేదించబడిన 4,300 హ్యాకింగ్డ్ సిస్టమ్ల సంఖ్యలో ఇన్ఫెక్ట్ అయిన RTL819X రౌటర్లు మాత్రమే ఉన్నాయి మరియు ప్రభావితమైన NAS డివైజ్లను ఇది పరిగణనలోకి తీసుకోదు.
శక్తివంతమైన సామర్థ్యాలతో కూడిన తేలికపాటి మాల్వేర్
AryStinger యొక్క రౌటర్ వెర్షన్ C భాషలో వ్రాయబడింది మరియు పాత హార్డ్వేర్ యొక్క పరిమిత వనరుల కారణంగా ఉద్దేశపూర్వకంగా తేలికగా ఉంచబడింది. దీని ప్రాథమిక విధులు మాస్ DNS స్కానింగ్ మరియు ట్రాఫిక్ టన్నెలింగ్.
Goలో అభివృద్ధి చేయబడిన NAS వెర్షన్, గణనీయంగా విస్తృతమైన సామర్థ్యాలను అందిస్తుంది. ఇది అంతర్గత మరియు బాహ్య నెట్వర్క్లను స్కాన్ చేయగలదు మరియు fscan, ksubdomain, మరియు httpx వంటి నిఘా యుటిలిటీలను అమలు చేయగలదు. ScriptWork అని పిలువబడే ఒక ఫీచర్, దాడి చేసేవారు అందించిన Go, Java, లేదా Python సోర్స్ కోడ్ను నేరుగా సోకిన సిస్టమ్పై అమలు చేయడానికి ఆపరేటర్లను అనుమతిస్తుంది, దీనివల్ల ప్రతి లక్ష్యానికి ప్రత్యేక బైనరీలను కంపైల్ చేయవలసిన అవసరం ఉండదు.
సోకిన పరికరాలు మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ల మధ్య కమ్యూనికేషన్, ఒక సాధారణ XOR స్కీమ్తో అస్పష్టం చేయబడిన ప్రోటోబఫ్-ఎన్కోడ్ చేసిన ట్రాఫిక్ను ఉపయోగించి HTTP మరియు HTTPS ద్వారా జరుగుతుంది, అయితే Go-ఆధారిత వేరియంట్ gzip కంప్రెషన్ను జోడిస్తుంది. పెద్ద స్కానింగ్ పనులు చిన్న విభాగాలుగా విభజించబడి బాట్నెట్ అంతటా పంపిణీ చేయబడతాయి, ఇది సమాంతర నిఘా కార్యకలాపాలను సాధ్యం చేస్తుంది.
పట్టుదల మరియు దుర్వినియోగానికి అవకాశం
ఈ మాల్వేర్, రౌటర్ల కోసం పోర్ట్ 2332 పై డ్రాప్బేర్ SSH సర్వర్ను మరియు హ్యాక్ చేయబడిన NAS సిస్టమ్లపై gs-netcat ను మోహరించడం ద్వారా దీర్ఘకాలిక యాక్సెస్ను కొనసాగిస్తుంది. పరిశోధకులు 'sh_#@!_2024_secret' అనే హార్డ్కోడెడ్ ప్రామాణీకరణ కీని కూడా గుర్తించారు, దీనిలో '2024' ఉండటం వలన ఈ ఆపరేషన్ అభివృద్ధి ఆ సంవత్సరంలోనే ప్రారంభమైందని సూచించవచ్చు, అయినప్పటికీ దీనిని కచ్చితంగా నిర్ధారించలేము.
నిఘా పెట్టడమే ప్రాథమిక లక్ష్యంగా కనిపించినప్పటికీ, అవసరమైనప్పుడు డినయల్-ఆఫ్-సర్వీస్ ట్రాఫిక్ను సృష్టించడానికి, ఈ మాల్వేర్ యొక్క DNS స్కానింగ్ సామర్థ్యాలను DNS రిజాల్వర్ల వైపు కూడా మళ్లించవచ్చు.
ఒక సుపరిచితమైన నమూనా: కార్యాచరణ రిలే బాక్స్ నెట్వర్క్లు
ఆర్యస్టింగర్ సృష్టించిన మౌలిక సదుపాయం ఆపరేషనల్ రిలే బాక్స్ (ORB) నెట్వర్క్లను చాలా దగ్గరగా పోలి ఉంటుంది. ఈ నెట్వర్క్లు కాలం చెల్లిన, రాజీపడిన రౌటర్లు మరియు IoT పరికరాలను కలిగి ఉంటాయి. ఇవి ముప్పు కలిగించేవారికి స్కానింగ్ కార్యకలాపాలను నిర్వహించడానికి మరియు హానికరమైన ట్రాఫిక్ను రిలే చేయడానికి వీలు కల్పిస్తాయి, అదే సమయంలో వారి జాడను గుర్తించడం కూడా కష్టంగా ఉంటుంది.
ఈ విధానం గత సంఘటనలను గుర్తుచేస్తుంది. మే 2025లో, FBI మరియు US న్యాయ శాఖ, TheMoon మాల్వేర్తో సోకిన పాత Linksys మరియు Cisco రౌటర్లను దుర్వినియోగం చేసి రెసిడెన్షియల్ ప్రాక్సీ యాక్సెస్ ద్వారా డబ్బు సంపాదించిన 5socks మరియు Anyproxy సేవలను నిలిపివేశాయి. ఇటీవలే, LapDogs వంటి ORB కార్యకలాపాలు కూడా ఇదే విధంగా పాత పరికరాలలో ప్యాచ్ చేయని బలహీనతలపై ఆధారపడ్డాయి.
ప్రస్తుతం, ఆర్యస్టింగర్ను ఏ నిర్దిష్ట ముప్పు కారకానికి నిశ్చయంగా ఆపాదించలేదు. అయినప్పటికీ, దాని కార్యాచరణ నమూనా స్పష్టంగా ఉంది: పాతబడిపోయిన హార్డ్వేర్ మరియు మరచిపోయిన బలహీనతలను, అధునాతన సైబర్ చొరబాట్ల తొలి దశలకు మద్దతు ఇచ్చే రహస్య మౌలిక సదుపాయాలుగా మారుస్తున్నారు.
గుర్తింపు మరియు ఉపశమన వ్యూహాలు
ప్రభావితమయ్యే అవకాశం ఉన్న పరికరాలను నిర్వహిస్తున్న సంస్థలు మరియు వ్యక్తులు, లోపం యొక్క సూచికల కోసం తక్షణమే దర్యాప్తు చేసి, దీర్ఘకాలిక నివారణ చర్యలను అమలు చేయాలి.
అత్యంత ప్రభావవంతమైన రక్షణ చాలా సరళమైనది: ఫర్మ్వేర్ అప్డేట్లను ఇకపై స్వీకరించని, కాలం చెల్లిన నెట్వర్కింగ్ పరికరాలను తొలగించడం మరియు సాధ్యమైనప్పుడల్లా ఇంటర్నెట్కు బహిర్గతమయ్యే పరికరాలలో రిమోట్ అడ్మినిస్ట్రేషన్ను నిలిపివేయడం. సంవత్సరాల క్రితమే సెక్యూరిటీ ప్యాచ్లను స్వీకరించడం ఆగిపోయిన హార్డ్వేర్కు ఆధునిక ముప్పుల నుండి రక్షణ లభించే అవకాశం లేదు.