APT35

APT35 বিবরণ

apt35 হকার গ্রুপ আক্রমণ APT35 (Advanced Persistent Threat) হল একটি হ্যাকিং গ্রুপ যা ইরান থেকে উদ্ভূত বলে মনে করা হয়। এই হ্যাকিং গ্রুপটি আরও কয়েকটি উপনামে পরিচিত - নিউজকাস্টার টিম, ফসফরাস, চার্মিং কিটেন এবং অ্যাজাক্স সিকিউরিটি টিম। APT35 হ্যাকিং গ্রুপ সাধারণত রাজনৈতিকভাবে উদ্দেশ্যপ্রণোদিত প্রচারণার পাশাপাশি আর্থিকভাবে অনুপ্রাণিত উভয় ক্ষেত্রেই জড়িত থাকে। APT35 হ্যাকিং গ্রুপ মানবাধিকার সক্রিয়তা, বিভিন্ন মিডিয়া সংস্থা এবং প্রধানত একাডেমিক সেক্টরের সাথে জড়িত অভিনেতাদের বিরুদ্ধে তাদের প্রচেষ্টাকে কেন্দ্রীভূত করার প্রবণতা রাখে। বেশিরভাগ প্রচারণা চালানো হয় মার্কিন যুক্তরাষ্ট্র, ইসরায়েল, ইরান এবং যুক্তরাজ্যে।

জনপ্রিয় APT35 প্রচারাভিযান

সবচেয়ে কুখ্যাত APT35 অপারেশনগুলির মধ্যে একটি হল HBO এর বিরুদ্ধে পরিচালিত একটি যা 2017 সালে হয়েছিল৷ এতে, APT35 1TB-এর বেশি ডেটা ফাঁস করেছে, যার মধ্যে কর্মীদের ব্যক্তিগত বিবরণ এবং শো ছিল, যা এখনও আনুষ্ঠানিকভাবে প্রচারিত হয়নি৷ আরেকটি কুখ্যাত APT35 প্রচারাভিযান যা এগুলিকে মানচিত্রে তুলে ধরেছে সেটি হল একটি মার্কিন বিমান বাহিনী ডিফেক্টরকেও জড়িত করেছে। প্রশ্নবিদ্ধ ব্যক্তি শ্রেণীবদ্ধ সরকারী ডেটা অ্যাক্সেস পেতে APT35 কে সহায়তা করেছে। 2018 সালে, APT35 গোষ্ঠী একটি ওয়েবসাইট তৈরি করেছে যেটি একটি বৈধ ইসরায়েলি সাইবার নিরাপত্তা কোম্পানির অনুকরণ করার জন্য ছিল। শুধুমাত্র পার্থক্য ছিল যে জাল ওয়েবসাইটের একটি সামান্য পরিবর্তিত ডোমেন নাম ছিল। এই ক্যাম্পেইনটি APT35 কে কোম্পানির কিছু ক্লায়েন্টের লগইন বিশদ পেতে সাহায্য করেছে। APT35 জড়িত সর্বশেষ কুখ্যাত প্রচারাভিযান ডিসেম্বর 2018 সালে পরিচালিত হয়েছিল। এই অপারেশনে, APT35 গ্রুপ চার্মিং কিটেন ওরফে অধীনে পরিচালিত হয়েছিল। এই অপারেশনটি বিভিন্ন রাজনৈতিক কর্মীদের টার্গেট করেছিল যারা অর্থনৈতিক নিষেধাজ্ঞাগুলিতে প্রভাব ফেলেছিল, সেইসাথে সেই সময়ে ইরানের উপর সামরিক নিষেধাজ্ঞা আরোপ করেছিল। APT35 গ্রুপ তাদের লক্ষ্য হিসাবে একই ক্ষেত্রে জড়িত উচ্চ-র্যাঙ্কিং পেশাদার হিসাবে জাহির. হামলাকারীরা জাল সংযুক্তি বহনকারী ফিশিং ইমেলগুলি, সেইসাথে ভুয়া সোশ্যাল মিডিয়া প্রোফাইলগুলি ব্যবহার করেছিল৷

বোগাস ইন্টারভিউ ইমেল দিয়ে ফিশিং

লক্ষ্যযুক্ত ফিশিং প্রচারাভিযানগুলি চার্মিং কিটেনের মোডাস অপারেন্ডির অংশ, হ্যাকাররা জাল ইমেল এবং সোশ্যাল ইঞ্জিনিয়ারিংকে কার্যকর করার পদ্ধতি হিসাবে ব্যবহার করে৷ একটি 2019 প্রচারাভিযানে, চার্মিং কিটেন গ্রুপ প্রাক্তন ওয়াল স্ট্রিট জার্নাল (ডব্লিউএসজে) সাংবাদিকদের ছদ্মবেশ ধারণ করেছিল এবং একটি জাল সাক্ষাৎকারের দৃশ্যের সাথে তাদের অভিপ্রেত শিকারদের কাছে গিয়েছিল। এই গোষ্ঠীটিকে "সিএনএন ইন্টারভিউ" এবং "ডয়েচে ভেলে ওয়েবিনারে আমন্ত্রণ" এর মতো বিভিন্ন পরিস্থিতি ব্যবহার করে দেখা গেছে, সাধারণত ইরানি এবং আন্তর্জাতিক বিষয়গুলির বিষয়গুলিকে ঘিরে৷

একটি বিশেষ ক্ষেত্রে, আক্রমণকারীরা ফারনাজ ফাসিহির পরিচয় ব্যবহার করে আরবি ভাষায় একটি জাল ইমেল তৈরি করেছিল, বর্তমানে নিউ ইয়র্ক টাইমসের সাংবাদিক, যিনি পূর্বে 17 বছর ধরে ওয়াল স্ট্রিট জার্নালে কাজ করেছিলেন। মজার ব্যাপার হল, হ্যাকাররা ফারনাজ ফাসিহিকে তার প্রাক্তন নিয়োগকর্তা দ্য ওয়াল স্ট্রিট জার্নালের জন্য কাজ করার জন্য উপস্থাপন করেছিল।


জাল ইন্টারভিউ অনুরোধ ইমেইল - উত্স: blog.certfa.com

ইমেল অনুবাদ:

হ্যালো *** ***** ******
আমার নাম ফারনাজ ফাসিহি। আমি ওয়াল স্ট্রিট জার্নাল পত্রিকার একজন সাংবাদিক।
WSJ-এর মধ্যপ্রাচ্য দলটি উন্নত দেশগুলিতে সফল অ-স্থানীয় ব্যক্তিদের পরিচয় করিয়ে দিতে চায়। বিজ্ঞানের গবেষণা ও দর্শনের ক্ষেত্রে আপনার কর্মকাণ্ড আমাকে একজন সফল ইরানী হিসেবে আপনাকে পরিচয় করিয়ে দিতে পরিচালিত করেছে। মধ্যপ্রাচ্য দলের পরিচালক আমাদের আপনার সাথে একটি সাক্ষাত্কার সেট আপ করতে এবং আমাদের দর্শকদের সাথে আপনার কিছু গুরুত্বপূর্ণ অর্জন শেয়ার করতে বলেছেন। এই সাক্ষাৎকারটি আমাদের প্রিয় দেশের তরুণদের তাদের প্রতিভা আবিষ্কার করতে এবং সাফল্যের দিকে এগিয়ে যেতে অনুপ্রাণিত করতে পারে।
বলা বাহুল্য, এই সাক্ষাৎকারটি ব্যক্তিগতভাবে আমার জন্য একটি বড় সম্মানের এবং আমি আপনাকে আমার সাক্ষাৎকারের আমন্ত্রণ গ্রহণ করার জন্য অনুরোধ করছি।
প্রশ্নগুলি আমার সহকর্মীদের একটি গ্রুপ দ্বারা পেশাদারভাবে ডিজাইন করা হয়েছে এবং ফলস্বরূপ সাক্ষাৎকারটি WSJ-এর সাপ্তাহিক সাক্ষাৎকার বিভাগে প্রকাশিত হবে। আপনি গ্রহণ করার সাথে সাথে আমি আপনাকে সাক্ষাৎকারের প্রশ্ন এবং প্রয়োজনীয়তা পাঠাব।
*পাদটীকা: অ-স্থানীয় লোকদের বোঝায় যারা অন্য দেশে জন্মগ্রহণ করেছিলেন।
আপনার উদারতা এবং মনোযোগ জন্য আপনাকে ধন্যবাদ.
ফারনাজ ফাসিহী

ইমেলগুলিতে থাকা সমস্ত লিঙ্কগুলি সংক্ষিপ্ত URL বিন্যাসে ছিল, যা হ্যাকাররা তাদের শিকারকে বৈধ ঠিকানাগুলিতে গাইড করতে ব্যবহার করেছিল, যখন তাদের ডিভাইসগুলি, যেমন অপারেটিং সিস্টেম, ব্রাউজার এবং আইপি ঠিকানার মতো প্রয়োজনীয় তথ্য সংগ্রহ করেছিল। তাদের লক্ষ্যবস্তুতে মূল হামলার প্রস্তুতির জন্য হ্যাকারদের কাছ থেকে এই তথ্যের প্রয়োজন ছিল।


Google সাইটগুলিতে হোস্ট করা নকল WSJ পৃষ্ঠার নমুনা - উত্স: blog.certfa.com

উদ্দিষ্ট টার্গেটের সাথে আপেক্ষিক বিশ্বাস স্থাপন করার পরে, হ্যাকাররা তাদের একটি অনন্য লিঙ্ক পাঠাবে, যেটিতে ইন্টারভিউ প্রশ্ন রয়েছে বলে অভিযোগ। কম্পিউটার ইমার্জেন্সি রেসপন্স টিম ইন ফার্সি (CERTFA) দ্বারা পরীক্ষিত নমুনা অনুসারে, আক্রমণকারীরা একটি অপেক্ষাকৃত নতুন পদ্ধতি ব্যবহার করছে যা গত বছর ধরে ফিশারদের কাছে অনেক জনপ্রিয়তা অর্জন করেছে, Google সাইটগুলিতে পৃষ্ঠাগুলি হোস্ট করে৷

একবার ভিকটিম Google সাইট পৃষ্ঠায় ''ডাউনলোড'' বোতামে ক্লিক করলে, তাদের অন্য একটি জাল পৃষ্ঠায় পুনঃনির্দেশিত করা হবে যেটি তাদের ইমেল ঠিকানা এবং তাদের দ্বি-ফ্যাক্টর প্রমাণীকরণ কোডের জন্য লগইন শংসাপত্র সংগ্রহ করার চেষ্টা করবে, Modlishka মত ফিশিং কিট ব্যবহার করে।

APT35 এর ডাউনপেপার ম্যালওয়্যার

ডাউনপেপার টুল হল একটি ব্যাকডোর ট্রোজান, যা বেশিরভাগ ক্ষেত্রে প্রথম-পর্যায়ের পেলোড হিসাবে ব্যবহৃত হয় এবং এর ক্ষমতা রয়েছে:

  • আক্রমণকারীর C&C (কমান্ড ও কন্ট্রোল) সার্ভারের সাথে একটি সংযোগ স্থাপন করুন এবং কমান্ড এবং ক্ষতিকারক পেলোডগুলি গ্রহণ করুন, যা অনুপ্রবেশকারী হোস্টে কার্যকর করতে হবে।
  • উইন্ডোজ রেজিস্ট্রির সাথে ট্যাম্পারিং করে অধ্যবসায় লাভ করুন।
  • আপস করা সিস্টেম সম্পর্কে তথ্য সংগ্রহ করুন, যেমন হার্ডওয়্যার এবং সফ্টওয়্যার ডেটা।
  • সিএমডি এবং পাওয়ারশেল কমান্ডগুলি চালান।

APT35 হ্যাকিং গ্রুপটি ব্যক্তিদের একটি অত্যন্ত অবিচলিত গোষ্ঠী, এবং এটি অসম্ভাব্য যে তারা শীঘ্রই তাদের কার্যকলাপ বন্ধ করার পরিকল্পনা করবে। মনে রাখবেন যে ইরানের চারপাশে রাজনৈতিক জলবায়ু কিছুক্ষণের জন্য উত্তপ্ত হয়েছে, সম্ভবত আমরা ভবিষ্যতে APT35 গ্রুপের প্রচারাভিযান সম্পর্কে শুনতে থাকব।

আপডেট 10ই মে, 2020 - APT35 COVID-19 হ্যাকিং ক্যাম্পেইনে জড়িত

সাইবারসিকিউরিটি বিশেষজ্ঞদের দ্বারা পর্যালোচনা করা সর্বজনীনভাবে উপলব্ধ ওয়েব আর্কাইভগুলির একটি সেট প্রকাশ করেছে যে অন্যান্য নামের মধ্যে চার্মিং কিটেন নামে পরিচিত ইরানি হ্যাকিং গোষ্ঠীটি COVID-19 গবেষণায় জড়িত ক্যালিফোর্নিয়া ভিত্তিক ওষুধ সংস্থা গিলিয়েড সায়েন্সেস ইনক এর বিরুদ্ধে এপ্রিলের সাইবার-আক্রমণের পিছনে ছিল।

নিরাপত্তা গবেষকরা যে ঘটনাগুলি দেখেছেন তার মধ্যে একটিতে, হ্যাকাররা একটি জাল ইমেল লগইন পৃষ্ঠা ব্যবহার করেছে যা বিশেষভাবে কর্পোরেট এবং আইনি বিষয়ের সাথে জড়িত গিলিয়েডের শীর্ষ নির্বাহীর কাছ থেকে পাসওয়ার্ড চুরি করার জন্য ডিজাইন করা হয়েছিল৷ আক্রমণটি এমন একটি ওয়েবসাইটে পাওয়া গেছে যা দূষিত কার্যকলাপের জন্য ওয়েব ঠিকানাগুলি স্ক্যান করতে ব্যবহৃত হয়, তবে গবেষকরা এটি সফল কিনা তা নির্ধারণ করতে সক্ষম হননি।

ট্রেন্ডিং উপযুক্ত হকার ফর্ম
ট্রেন্ডিং এপিটি হ্যাকার গ্রুপ চার্ট - উত্স: Securitystack.co

যে বিশ্লেষক এই হামলা নিয়ে গবেষণা করেছেন তাদের মধ্যে একজন হলেন ইসরায়েলি সাইবার সিকিউরিটি ফার্ম ক্লিয়ারস্কাইয়ের ওহাদ জাইডেনবার্গ। তিনি মন্তব্য করেছেন যে গিলিয়েডের বিরুদ্ধে এপ্রিলের আক্রমণটি একটি সাংবাদিক তদন্তের ছদ্মবেশী একটি বার্তার সাথে কর্পোরেট ইমেল অ্যাকাউন্টগুলির সাথে আপস করার একটি প্রচেষ্টা ছিল। অন্যান্য বিশ্লেষক, যারা সর্বজনীনভাবে মন্তব্য করার জন্য অনুমোদিত ছিল না তারা নিশ্চিত করেছে যে আক্রমণটি এমন ডোমেন এবং সার্ভার ব্যবহার করেছে যা পূর্বে চার্মিং কিটেন নামে পরিচিত ইরানি হ্যাকিং গ্রুপ দ্বারা ব্যবহৃত হয়েছিল।

জাতিসংঘে ইরানের কূটনৈতিক মিশন এই ধরনের হামলায় জড়িত থাকার কথা অস্বীকার করেছে, মুখপাত্র আলিরেজা মিরিওসেফি বলেছে যে "ইরান সরকার সাইবার যুদ্ধে জড়িত নয়," যোগ করে "ইরান যে সাইবার কার্যকলাপে নিয়োজিত রয়েছে তা সম্পূর্ণরূপে প্রতিরক্ষামূলক এবং আরও আক্রমণ থেকে রক্ষা করার জন্য। ইরানের অবকাঠামো।"

গভীর আশ্রয়কে লক্ষ্যবস্তু
সাম্প্রতিক ইরানি সাইবার প্রচারাভিযানে লক্ষ্যবস্তু দেশগুলি - উত্স: Stratfor.com

গিলিয়েড সাইবার নিরাপত্তা সংক্রান্ত বিষয়ে আলোচনা করার বিষয়ে কোম্পানির নীতি অনুসরণ করেছে এবং মন্তব্য করতে অস্বীকার করেছে। কোম্পানিটি সম্প্রতি অনেক মনোযোগ পেয়েছে, কারণ এটি অ্যান্টিভাইরাল ড্রাগ রেমডেসিভির প্রস্তুতকারক, যা বর্তমানে COVID-19-এ সংক্রামিত রোগীদের সাহায্য করার জন্য প্রমাণিত একমাত্র চিকিত্সা। গিলিয়েড সেই কোম্পানিগুলির মধ্যে একটি যা মারাত্মক রোগের চিকিত্সার গবেষণা এবং উন্নয়নে নেতৃত্ব দেয়, এটিকে বুদ্ধিমত্তা সংগ্রহের প্রচেষ্টার জন্য একটি প্রধান লক্ষ্য করে তোলে।