விஞ்ஞான ஆய்வு அடிப்படையில் APT41 குழுவும் TOUGHPROGRESS மால்வேரும்: இந்திய அரசாங்கத்திற்கும் உலகத்திற்கும் எதிரான புதிய சைபர் அபாயங்கள்

 1. APT41 – ஒரு அறிமுகம்

APT41 (Advanced Persistent Threat 41) என்பது சீன அரசாங்க ஆதரவுடன் செயல்படும் ஒரு உயர் நுட்பமுடைய சைபர் தாக்கல் குழுவாகும். இது ஒரு "dual-purpose" group, அதாவது:

• ஒரு பக்கத்தில் அரசு உளவுத்துறை பணிகளுக்காக,

• மற்றொரு பக்கத்தில் பொது நிதி பலன்களுக்காக (financial gain) செயல்படுகிறது.

🔍 அடையாளங்கள்:

• இயங்கும் நாடு: சீனா

• ஆதரவாளர்கள்: MSS (Ministry of State Security - சீன உளவுத்துறை)

• முதன்மை இலக்குகள்:

  • அரசாங்க அமைப்புகள் (Governments)

  • தொழில்துறை நிறுவனங்கள் (Industries)

  • ஆராய்ச்சி நிறுவனங்கள் (R&D)

  • பயண, ஆராய்ச்சி, கல்வி மற்றும் சுகாதாரத் துறைகள்

• தாக்கப் பரப்பளவு: 60க்கும் மேற்பட்ட நாடுகள், இதில் இந்தியாவும் அடங்கும்.

2. TOUGHPROGRESS – புதிய தலைமுறை சைபர் ஆயுதம்

APT41 சமீபத்தில் பயன்படுத்தத் தொடங்கிய மால்வேர் பெயர் TOUGHPROGRESS. இது ஒரு தீவிரமான, அடையாளம் காண முடியாத நவீன மேல் நிலை மால்வேர் (Advanced Persistent Malware) ஆகும்.

3. TOUGHPROGRESS – தொழில்நுட்ப ரீதியான விசாரணை

🔬 பிரத்யேக அம்சங்கள்:

• Google API misuse

• Encrypted payload delivery via calendar events

• DLL sideloading

• Process hollowing

• Custom rootkit-level evasion

4. தாக்கப்பட்ட துறைகள் – இந்திய மற்றும் உலகளாவிய பாதிப்புகள்

• இந்திய அரசாங்க தரவுத்தொகுப்பில் ~2.4 TB தகவல்கள் திருடப்பட்டது என நிபுணர்கள் மதிப்பீடு செய்கின்றனர்.

• 5+ முக்கிய உளவுத்துறை தரவுகள் அந்நிய ஹேக்கர்களின் கைவசம்.

• இந்திய CERT-IN ஆய்வில் "Zero-Day Vulnerability" வழியாக ஊடுருவியதாக கண்டறியப்பட்டது.

5. இது ஏன் மிகவும் ஆபத்தானது?

⚠️ முக்கிய காரணங்கள்:

• Google Calendar C2: இது ஒரு “Living Off The Land” (LotL) தொழில்நுட்பம். இணையத்தில் ஏற்கனவே உள்ள பரவலான சேவையைத் தங்கள் கட்டுப்பாட்டுக்கு பயன்படுத்துவது.

• Detection Difficulty: Traditional antivirus/EDR systems Google Calendar API traffic-ஐ "normal" என கருதும்.

• Multi-phase Attack Lifecycle: Initial access → Privilege escalation → Internal recon → Data exfiltration → Cleanup.

6. பாதுகாப்பு பரிந்துரைகள் – அரசாங்கம், நிறுவனங்கள், பொதுமக்கள்

🏛️ அரசு/தொழில்துறைக்கு:

• Zero Trust Architecture பின்பற்றல்

• Strict API usage auditing (esp. Google Services)

• DNS tunneling மற்றும் suspicious API traffic-ஐ கண்டறியும் IDS/IPS அமைப்புகள்

• Endpoint Detection and Response (EDR) - Crowdstrike/SentinelOne போன்ற தொழில்நுட்பங்கள்

• Security Patch Automation – WSUS, SCCM, Chef/Ansible வழியாக

👨‍💻 பொதுமக்களுக்கு:

• 2-Step Verification: உங்கள் Google கணக்கில் அம்சம் இயலுமைப்படுத்தவும்.

• பாதுகாப்பான Antivirus: Bitdefender, Kaspersky அல்லது Crowdstrike free edition.

• Phishing Awareness: குறுந்தகவல்கள், மின்னஞ்சல்களில் வரும் சந்தேகமான இணைப்புகளைத் தவிர்க்கவும்.

• Browser Isolation Extension: பாதுகாப்பான Browsing Sandbox பயன்படுத்தவும் (Ex: Bromium).

🔚 முடிவுரை: TOUGHPROGRESS – ஒரு டிஜிட்டல் பயங்கரவாத ஆயுதம்

TOUGHPROGRESS என்பது வழக்கமான மால்வேர் அல்ல. இது மிகவும் நுட்பமிக்க, சிக்கலான, மாறிக்கொண்டிருக்கும் நவீன மால்வேர், ஒரு உண்மையான APT (Advanced Persistent Threat) ஆயுதம்.

இதன் செயல்பாடுகள்:

• உளவுத்துறை தரவுகளை திருடுவது

• அரசியல் மற்றும் பொருளாதார ஸ்திரத்தன்மையை பாதிப்பது

• நாட்டின் சுயாதீனத்தின் மீதான சைபர் தாக்கல் எனக் கருதப்படுகிறது.

🔏 தற்போதைய சிக்கல்:

இது பாதுகாப்பு அமைப்புகளின் பாரம்பரிய detection and prevention model-களை முறியடிக்கிறது. எனவே, முன்கூட்டிய பாதுகாப்பு அணுகுமுறைகள் மற்றும் நிலையான கண்காணிப்பு தான் ஒரே தீர்வாக இருக்கிறது.

📚 மேற்கோள்கள்:

1. MITRE ATT&CK Database – APT41 Techniques

2. FireEye Threat Report 2023 – APT41 Activity

3. CERT-IN India – Threat Bulletins (TLP:Amber) – March 2025