এপিটি২৮ ফ্রস্টআরমাডা আক্রমণ অভিযান
রাশিয়া-সংশ্লিষ্ট হুমকি গোষ্ঠী APT28, যা ফরেস্ট ব্লিজার্ড নামেও পরিচিত, তাদের দ্বারা পরিচালিত একটি অত্যাধুনিক সাইবার গুপ্তচরবৃত্তি অভিযান দুর্বল নেটওয়ার্ক অবকাঠামোকে কাজে লাগিয়ে ব্যাপক নজরদারি চালিয়েছে। অন্তত ২০২৫ সালের মে মাস থেকে সক্রিয় ফ্রস্টআরমাডা সাংকেতিক নামের এই অভিযানটির মূল লক্ষ্য ছিল অসুরক্ষিত মাইক্রোটিক এবং টিপি-লিঙ্ক রাউটারগুলোকে হ্যাক করে সেগুলোকে আক্রমণকারীদের নিয়ন্ত্রণে থাকা ক্ষতিকর সম্পদে রূপান্তরিত করা।
এই অভিযানটি মূলত বাসা ও ছোট অফিসের (SOHO) ডিভাইসগুলোকে লক্ষ্য করে চালানো হয়েছিল, যেখানে দুর্বল কনফিগারেশনের সুযোগ নিয়ে ডিএনএস (DNS) সেটিংস পরিবর্তন করা হয়। এর মাধ্যমে আক্রমণকারীরা নেটওয়ার্ক ট্র্যাফিক আটকানো এবং অন্য পথে চালিত করতে সক্ষম হয়, যা তাদের অলক্ষ্যে ও অনেকাংশে অলক্ষ্যে তথ্য সংগ্রহ করতে সাহায্য করে।
সুচিপত্র
ডিএনএস হাইজ্যাকিং: রাউটারকে নীরব নজরদারির সরঞ্জামে পরিণত করা
এই অভিযানের মূলে রয়েছে ডিএনএস হাইজ্যাকিং, এমন একটি কৌশল যা আক্রমণকারীদেরকে বৈধ ট্র্যাফিককে ক্ষতিকারক পরিকাঠামোর মধ্য দিয়ে ঘুরিয়ে দেওয়ার সুযোগ করে দিত। একবার কোনো রাউটার হ্যাক হয়ে গেলে, সেটির ডিএনএস সেটিংস পরিবর্তন করে আক্রমণকারী-নিয়ন্ত্রিত সার্ভারগুলোর দিকে নির্দেশ করানো হতো। এই কারসাজির ফলে ব্যবহারকারীর কোনো হস্তক্ষেপ ছাড়াই সংবেদনশীল তথ্য হস্তগত করা সম্ভব হতো।
যখন ব্যবহারকারীরা নির্দিষ্ট ডোমেইনগুলোতে প্রবেশ করার চেষ্টা করত, তখন তাদের অনুরোধগুলো নীরবে অ্যাটাকার-ইন-দ্য-মিডল (AitM) নোডগুলোতে পাঠিয়ে দেওয়া হতো। এই নোডগুলো লগইন ক্রেডেনশিয়ালসহ প্রমাণীকরণের তথ্য সংগ্রহ করত এবং তা আক্রমণকারীদের কাছে ফেরত পাঠাত। প্রক্রিয়াটি ছিল অত্যন্ত গোপন, যার ফলে এটি শনাক্ত করা খুবই কঠিন ছিল।
আক্রমণ শৃঙ্খলের বিশ্লেষণ: অপব্যবহার থেকে পরিচয়পত্র চুরি পর্যন্ত
আক্রমণের জীবনচক্রটি একটি সুসংগঠিত অনুক্রম অনুসরণ করত, যা শনাক্তকরণ সর্বনিম্ন রেখে তথ্য সংগ্রহকে সর্বোচ্চ করার জন্য পরিকল্পিত ছিল:
- দুর্বলতা বা ত্রুটিপূর্ণ কনফিগারেশনের মাধ্যমে SOHO রাউটারের প্রাথমিক লঙ্ঘন
- অননুমোদিত প্রশাসনিক প্রবেশ এবং ডিএনএস সেটিংস পরিবর্তন
- ক্ষতিকারক, অ্যাক্টর-নিয়ন্ত্রিত রিজলভারে ডিএনএস কোয়েরির পুনঃনির্দেশনা
- AitM পরিকাঠামোর মাধ্যমে ব্যবহারকারীর ট্র্যাফিক আটকানো
- পাসওয়ার্ড এবং OAuth টোকেন সহ ক্রেডেনশিয়াল সংগ্রহ এবং পাচার
এই পদ্ধতির মাধ্যমে আক্রমণকারীরা ইমেল প্ল্যাটফর্ম এবং ওয়েব পরিষেবাগুলিতে লগইন করার প্রচেষ্টা পর্যবেক্ষণ করতে পারত, যার মধ্যে ওয়েবে থাকা মাইক্রোসফট আউটলুক এবং মাইক্রোসফট-হোস্টেড নয় এমন অন্যান্য সিস্টেমও অন্তর্ভুক্ত ছিল।
বৈশ্বিক নাগাল এবং কৌশলগত লক্ষ্য নির্ধারণ
সময়ের সাথে সাথে এই অভিযানটি উল্লেখযোগ্যভাবে প্রসারিত হয়েছে। যদিও এটি ২০২৫ সালের মে মাসে সীমিত আকারে শুরু হয়েছিল, আগস্টের শুরুতেই এর ব্যাপক অপব্যবহারের প্রচেষ্টা তীব্রতর হয়। ২০২৫ সালের ডিসেম্বরে যখন এটি সর্বোচ্চ পর্যায়ে পৌঁছায়, তখন অন্তত ১২০টি দেশের ১৮,০০০-এরও বেশি স্বতন্ত্র আইপি অ্যাড্রেসকে আক্রমণকারীদের নিয়ন্ত্রিত অবকাঠামোর সাথে যোগাযোগ করতে দেখা যায়।
প্রাথমিক লক্ষ্যগুলোর মধ্যে অন্তর্ভুক্ত ছিল:
- পররাষ্ট্র মন্ত্রণালয় এবং আইন প্রয়োগকারী সংস্থার মতো সরকারি প্রতিষ্ঠান
- তৃতীয় পক্ষের ইমেল এবং ক্লাউড পরিষেবা প্রদানকারী
- উত্তর আফ্রিকা, মধ্য আমেরিকা, দক্ষিণ-পূর্ব এশিয়া এবং ইউরোপ জুড়ে সংস্থাগুলি
২০০টিরও বেশি সংস্থা এবং প্রায় ৫,০০০ গ্রাহক ডিভাইস এর দ্বারা প্রভাবিত হয়েছিল, যা এই অভিযানের ব্যাপকতা ও বিস্তৃতি তুলে ধরে।
শোষিত দুর্বলতা এবং অবকাঠামোগত কৌশল
আক্রমণকারীরা নেটওয়ার্ক ডিভাইসগুলোতে প্রবেশাধিকার পেতে পরিচিত দুর্বলতাগুলোকে কাজে লাগিয়েছিল। বিশেষভাবে উল্লেখ্য, TP-Link WR841N রাউটারগুলোকে CVE-2023-50224 ব্যবহার করে আক্রমণ করা হয়েছিল। এটি একটি অথেনটিকেশন বাইপাস ত্রুটি, যা বিশেষভাবে তৈরি করা HTTP GET রিকোয়েস্টের মাধ্যমে ক্রেডেনশিয়াল বের করে নেওয়ার সুযোগ দিত।
এছাড়াও, একটি দ্বিতীয় অবকাঠামো ক্লাস্টার শনাক্ত করা হয়েছে, যা হ্যাক হওয়া রাউটারগুলো থেকে দূরবর্তী আক্রমণকারী-নিয়ন্ত্রিত সার্ভারগুলোতে ডিএনএস ট্র্যাফিক রিলে করার জন্য দায়ী ছিল। এই ক্লাস্টারটি বিশেষ করে ইউক্রেনে নির্বাচিত কিছু মাইক্রোটিক রাউটারের বিরুদ্ধে লক্ষ্যভিত্তিক ও ইন্টারেক্টিভ অপারেশনও পরিচালনা করেছিল।
এজ ডিভাইস কম্প্রোমাইজের মাধ্যমে উন্নত গুপ্তচরবৃত্তি
এই অভিযানটি APT28-এর কার্যকৌশলে একটি উল্লেখযোগ্য বিবর্তন চিহ্নিত করে। প্রথমবারের মতো, দলটি ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) সংযোগের বিরুদ্ধে AitM আক্রমণ সহজতর করার জন্য বৃহৎ পরিসরে DNS হাইজ্যাকিং চালানোর সক্ষমতা প্রদর্শন করেছে।
এন্টারপ্রাইজ সিস্টেমের তুলনায় প্রায়শই কম নজরদারিতে থাকা এজ ডিভাইসগুলোতে অনুপ্রবেশ করে আক্রমণকারীরা নেটওয়ার্ক ট্র্যাফিকের ঊর্ধ্বপ্রবাহে দৃশ্যমানতা লাভ করত। এই কৌশলগত অবস্থান তাদেরকে উচ্চ-মূল্যের লক্ষ্যবস্তু শনাক্ত করতে এবং গোয়েন্দা তথ্যের জন্য গুরুত্বপূর্ণ ব্যক্তি বা সংস্থাগুলোর ওপর বেছে বেছে মনোযোগ কেন্দ্রীভূত করতে সক্ষম করত।
অভিযানটিকে সুযোগসন্ধানী প্রকৃতির বলে মনে করা হয়, যেখানে প্রাথমিকভাবে ব্যাপক পরিসরে অনুসন্ধান চালানো হয় এবং আটক করা তথ্যের মূল্যের ওপর ভিত্তি করে ক্রমান্বয়ে লক্ষ্যবস্তু সংকুচিত করা হয়।
পরিচালনগত ব্যাঘাত এবং চলমান ঝুঁকি
মার্কিন বিচার বিভাগ, ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন এবং আন্তর্জাতিক অংশীদারদের সমন্বিত প্রচেষ্টার মাধ্যমে ফ্রস্টআরমাডাকে সমর্থনকারী ক্ষতিকারক পরিকাঠামোটি ভেঙে দেওয়া হয়েছে। এই বিঘ্ন ঘটানো সত্ত্বেও, ব্যবহৃত কৌশলগুলো অসুরক্ষিত নেটওয়ার্ক ডিভাইসের সাথে জড়িত স্থায়ী ঝুঁকিগুলোকেই তুলে ধরে।
যদিও এই অভিযানটি প্রাথমিকভাবে গোয়েন্দা তথ্য সংগ্রহের উপর দৃষ্টি নিবদ্ধ করেছে, AitM পজিশনিং-এর ব্যবহার আরও ব্যাপক হুমকি সৃষ্টি করে। এই ধরনের অ্যাক্সেস ম্যালওয়্যার স্থাপন বা ডিনায়াল-অফ-সার্ভিস আক্রমণের মতো অতিরিক্ত ক্ষতিকারক কার্যকলাপকে সক্ষম করতে পারে, যা লক্ষ্যবস্তু সংস্থাগুলির উপর সম্ভাব্য প্রভাবকে উল্লেখযোগ্যভাবে বাড়িয়ে তোলে।
উপসংহার: নেটওয়ার্ক নিরাপত্তার জন্য একটি সতর্কবার্তা
ফ্রস্টআরমাডা প্রচারাভিযানটি নেটওয়ার্ক পরিবেশে এজ ডিভাইসগুলোকে সুরক্ষিত করার অপরিহার্য গুরুত্বের ওপর জোর দেয়। রাউটার এবং ডিএনএস পরিকাঠামোর অপব্যবহার আক্রমণকারীদের নজরদারির জন্য একটি শক্তিশালী ও গোপন উপায় প্রদান করে, যা প্রায়শই প্রচলিত নিরাপত্তা ব্যবস্থাগুলোকে এড়িয়ে যায়।
এই ধরনের উন্নত হুমকি সৃষ্টিকারীদের দ্বারা সৃষ্ট ঝুঁকি প্রশমিত করার জন্য প্রতিষ্ঠান এবং ব্যক্তি উভয়েরই নেটওয়ার্ক ডিভাইসের সঠিক কনফিগারেশন, সময়মতো প্যাচিং এবং নিরবচ্ছিন্ন পর্যবেক্ষণকে অগ্রাধিকার দিতে হবে।
