APT35
APT35 (Advanced Persistent Threat) হল একটি হ্যাকিং গ্রুপ যা ইরান থেকে উদ্ভূত বলে মনে করা হয়। এই হ্যাকিং গ্রুপটি আরও কয়েকটি উপনামে পরিচিত - নিউজকাস্টার টিম, ফসফরাস, চার্মিং কিটেন এবং অ্যাজাক্স সিকিউরিটি টিম। APT35 হ্যাকিং গ্রুপ সাধারণত রাজনৈতিকভাবে উদ্দেশ্যপ্রণোদিত প্রচারণার পাশাপাশি আর্থিকভাবে অনুপ্রাণিত উভয় ক্ষেত্রেই জড়িত থাকে। APT35 হ্যাকিং গ্রুপ মানবাধিকার সক্রিয়তা, বিভিন্ন মিডিয়া সংস্থা এবং প্রধানত একাডেমিক সেক্টরের সাথে জড়িত অভিনেতাদের বিরুদ্ধে তাদের প্রচেষ্টাকে কেন্দ্রীভূত করার প্রবণতা রাখে। বেশিরভাগ প্রচারণা চালানো হয় মার্কিন যুক্তরাষ্ট্র, ইসরায়েল, ইরান এবং যুক্তরাজ্যে।
সুচিপত্র
জনপ্রিয় APT35 প্রচারাভিযান
সবচেয়ে কুখ্যাত APT35 অপারেশনগুলির মধ্যে একটি হল HBO এর বিরুদ্ধে পরিচালিত একটি যা 2017 সালে হয়েছিল৷ এতে, APT35 1TB-এর বেশি ডেটা ফাঁস করেছে, যার মধ্যে কর্মীদের ব্যক্তিগত বিবরণ এবং শো ছিল, যা এখনও আনুষ্ঠানিকভাবে প্রচারিত হয়নি৷ আরেকটি কুখ্যাত APT35 প্রচারাভিযান যা এগুলিকে মানচিত্রে তুলে ধরেছে সেটি হল একটি মার্কিন বিমান বাহিনী ডিফেক্টরকেও জড়িত করেছে। প্রশ্নবিদ্ধ ব্যক্তি শ্রেণীবদ্ধ সরকারী ডেটা অ্যাক্সেস পেতে APT35 কে সহায়তা করেছে। 2018 সালে, APT35 গোষ্ঠী একটি ওয়েবসাইট তৈরি করেছে যেটি একটি বৈধ ইসরায়েলি সাইবার নিরাপত্তা কোম্পানির অনুকরণ করার জন্য ছিল। শুধুমাত্র পার্থক্য ছিল যে জাল ওয়েবসাইটের একটি সামান্য পরিবর্তিত ডোমেন নাম ছিল। এই ক্যাম্পেইনটি APT35 কে কোম্পানির কিছু ক্লায়েন্টের লগইন বিশদ পেতে সাহায্য করেছে। APT35 জড়িত সর্বশেষ কুখ্যাত প্রচারাভিযান ডিসেম্বর 2018 সালে পরিচালিত হয়েছিল। এই অপারেশনে, APT35 গ্রুপ চার্মিং কিটেন ওরফে অধীনে পরিচালিত হয়েছিল। এই অপারেশনটি বিভিন্ন রাজনৈতিক কর্মীদের টার্গেট করেছিল যারা অর্থনৈতিক নিষেধাজ্ঞাগুলিতে প্রভাব ফেলেছিল, সেইসাথে সেই সময়ে ইরানের উপর সামরিক নিষেধাজ্ঞা আরোপ করেছিল। APT35 গ্রুপ তাদের লক্ষ্য হিসাবে একই ক্ষেত্রে জড়িত উচ্চ-র্যাঙ্কিং পেশাদার হিসাবে জাহির. হামলাকারীরা জাল সংযুক্তি বহনকারী ফিশিং ইমেলগুলি, সেইসাথে ভুয়া সোশ্যাল মিডিয়া প্রোফাইলগুলি ব্যবহার করেছিল৷
বোগাস ইন্টারভিউ ইমেল দিয়ে ফিশিং
লক্ষ্যযুক্ত ফিশিং প্রচারাভিযানগুলি চার্মিং কিটেনের মোডাস অপারেন্ডির অংশ, হ্যাকাররা জাল ইমেল এবং সোশ্যাল ইঞ্জিনিয়ারিংকে কার্যকর করার পদ্ধতি হিসাবে ব্যবহার করে৷ একটি 2019 প্রচারাভিযানে, চার্মিং কিটেন গ্রুপ প্রাক্তন ওয়াল স্ট্রিট জার্নাল (ডব্লিউএসজে) সাংবাদিকদের ছদ্মবেশ ধারণ করেছিল এবং একটি জাল সাক্ষাৎকারের দৃশ্যের সাথে তাদের অভিপ্রেত শিকারদের কাছে গিয়েছিল। এই গোষ্ঠীটিকে "সিএনএন ইন্টারভিউ" এবং "ডয়েচে ভেলে ওয়েবিনারে আমন্ত্রণ" এর মতো বিভিন্ন পরিস্থিতি ব্যবহার করে দেখা গেছে, সাধারণত ইরানি এবং আন্তর্জাতিক বিষয়গুলির বিষয়গুলিকে ঘিরে৷
একটি বিশেষ ক্ষেত্রে, আক্রমণকারীরা ফারনাজ ফাসিহির পরিচয় ব্যবহার করে আরবি ভাষায় একটি জাল ইমেল তৈরি করেছিল, বর্তমানে নিউ ইয়র্ক টাইমসের সাংবাদিক, যিনি পূর্বে 17 বছর ধরে ওয়াল স্ট্রিট জার্নালে কাজ করেছিলেন। মজার ব্যাপার হল, হ্যাকাররা ফারনাজ ফাসিহিকে তার প্রাক্তন নিয়োগকর্তা দ্য ওয়াল স্ট্রিট জার্নালের জন্য কাজ করার জন্য উপস্থাপন করেছিল।
জাল ইন্টারভিউ অনুরোধ ইমেইল - উত্স: blog.certfa.com
ইমেল অনুবাদ:
হ্যালো *** ***** ******
আমার নাম ফারনাজ ফাসিহি। আমি ওয়াল স্ট্রিট জার্নাল পত্রিকার একজন সাংবাদিক।
WSJ-এর মধ্যপ্রাচ্য দলটি উন্নত দেশগুলিতে সফল অ-স্থানীয় ব্যক্তিদের পরিচয় করিয়ে দিতে চায়। বিজ্ঞানের গবেষণা ও দর্শনের ক্ষেত্রে আপনার কর্মকাণ্ড আমাকে একজন সফল ইরানী হিসেবে আপনাকে পরিচয় করিয়ে দিতে পরিচালিত করেছে। মধ্যপ্রাচ্য দলের পরিচালক আমাদের আপনার সাথে একটি সাক্ষাত্কার সেট আপ করতে এবং আমাদের দর্শকদের সাথে আপনার কিছু গুরুত্বপূর্ণ অর্জন শেয়ার করতে বলেছেন। এই সাক্ষাৎকারটি আমাদের প্রিয় দেশের তরুণদের তাদের প্রতিভা আবিষ্কার করতে এবং সাফল্যের দিকে এগিয়ে যেতে অনুপ্রাণিত করতে পারে।
বলা বাহুল্য, এই সাক্ষাৎকারটি ব্যক্তিগতভাবে আমার জন্য একটি বড় সম্মানের এবং আমি আপনাকে আমার সাক্ষাৎকারের আমন্ত্রণ গ্রহণ করার জন্য অনুরোধ করছি।
প্রশ্নগুলি আমার সহকর্মীদের একটি গ্রুপ দ্বারা পেশাদারভাবে ডিজাইন করা হয়েছে এবং ফলস্বরূপ সাক্ষাৎকারটি WSJ-এর সাপ্তাহিক সাক্ষাৎকার বিভাগে প্রকাশিত হবে। আপনি গ্রহণ করার সাথে সাথে আমি আপনাকে সাক্ষাৎকারের প্রশ্ন এবং প্রয়োজনীয়তা পাঠাব।
*পাদটীকা: অ-স্থানীয় লোকদের বোঝায় যারা অন্য দেশে জন্মগ্রহণ করেছিলেন।
আপনার উদারতা এবং মনোযোগ জন্য আপনাকে ধন্যবাদ.
ফারনাজ ফাসিহী
ইমেলগুলিতে থাকা সমস্ত লিঙ্কগুলি সংক্ষিপ্ত URL বিন্যাসে ছিল, যা হ্যাকাররা তাদের শিকারকে বৈধ ঠিকানাগুলিতে গাইড করতে ব্যবহার করেছিল, যখন তাদের ডিভাইসগুলি, যেমন অপারেটিং সিস্টেম, ব্রাউজার এবং আইপি ঠিকানার মতো প্রয়োজনীয় তথ্য সংগ্রহ করেছিল। তাদের লক্ষ্যবস্তুতে মূল হামলার প্রস্তুতির জন্য হ্যাকারদের কাছ থেকে এই তথ্যের প্রয়োজন ছিল।
Google সাইটগুলিতে হোস্ট করা নকল WSJ পৃষ্ঠার নমুনা - উত্স: blog.certfa.com
উদ্দিষ্ট টার্গেটের সাথে আপেক্ষিক বিশ্বাস স্থাপন করার পরে, হ্যাকাররা তাদের একটি অনন্য লিঙ্ক পাঠাবে, যেটিতে ইন্টারভিউ প্রশ্ন রয়েছে বলে অভিযোগ। কম্পিউটার ইমার্জেন্সি রেসপন্স টিম ইন ফার্সি (CERTFA) দ্বারা পরীক্ষিত নমুনা অনুসারে, আক্রমণকারীরা একটি অপেক্ষাকৃত নতুন পদ্ধতি ব্যবহার করছে যা গত বছর ধরে ফিশারদের কাছে অনেক জনপ্রিয়তা অর্জন করেছে, Google সাইটগুলিতে পৃষ্ঠাগুলি হোস্ট করে৷
একবার ভিকটিম Google সাইট পৃষ্ঠায় ''ডাউনলোড'' বোতামে ক্লিক করলে, তাদের অন্য একটি জাল পৃষ্ঠায় পুনঃনির্দেশিত করা হবে যেটি তাদের ইমেল ঠিকানা এবং তাদের দ্বি-ফ্যাক্টর প্রমাণীকরণ কোডের জন্য লগইন শংসাপত্র সংগ্রহ করার চেষ্টা করবে, Modlishka মত ফিশিং কিট ব্যবহার করে।
APT35 এর ডাউনপেপার ম্যালওয়্যার
ডাউনপেপার টুল হল একটি ব্যাকডোর ট্রোজান, যা বেশিরভাগ ক্ষেত্রে প্রথম-পর্যায়ের পেলোড হিসাবে ব্যবহৃত হয় এবং এর ক্ষমতা রয়েছে:
- আক্রমণকারীর C&C (কমান্ড ও কন্ট্রোল) সার্ভারের সাথে একটি সংযোগ স্থাপন করুন এবং কমান্ড এবং ক্ষতিকারক পেলোডগুলি গ্রহণ করুন, যা অনুপ্রবেশকারী হোস্টে কার্যকর করতে হবে।
- উইন্ডোজ রেজিস্ট্রির সাথে ট্যাম্পারিং করে অধ্যবসায় লাভ করুন।
- আপস করা সিস্টেম সম্পর্কে তথ্য সংগ্রহ করুন, যেমন হার্ডওয়্যার এবং সফ্টওয়্যার ডেটা।
- সিএমডি এবং পাওয়ারশেল কমান্ডগুলি চালান।
APT35 হ্যাকিং গ্রুপটি ব্যক্তিদের একটি অত্যন্ত অবিচলিত গোষ্ঠী, এবং এটি অসম্ভাব্য যে তারা শীঘ্রই তাদের কার্যকলাপ বন্ধ করার পরিকল্পনা করবে। মনে রাখবেন যে ইরানের চারপাশে রাজনৈতিক জলবায়ু কিছুক্ষণের জন্য উত্তপ্ত হয়েছে, সম্ভবত আমরা ভবিষ্যতে APT35 গ্রুপের প্রচারাভিযান সম্পর্কে শুনতে থাকব।
আপডেট 10ই মে, 2020 - APT35 COVID-19 হ্যাকিং ক্যাম্পেইনে জড়িত
সাইবারসিকিউরিটি বিশেষজ্ঞদের দ্বারা পর্যালোচনা করা সর্বজনীনভাবে উপলব্ধ ওয়েব আর্কাইভগুলির একটি সেট প্রকাশ করেছে যে অন্যান্য নামের মধ্যে চার্মিং কিটেন নামে পরিচিত ইরানি হ্যাকিং গোষ্ঠীটি COVID-19 গবেষণায় জড়িত ক্যালিফোর্নিয়া ভিত্তিক ওষুধ সংস্থা গিলিয়েড সায়েন্সেস ইনক এর বিরুদ্ধে এপ্রিলের সাইবার-আক্রমণের পিছনে ছিল।
নিরাপত্তা গবেষকরা যে ঘটনাগুলি দেখেছেন তার মধ্যে একটিতে, হ্যাকাররা একটি জাল ইমেল লগইন পৃষ্ঠা ব্যবহার করেছে যা বিশেষভাবে কর্পোরেট এবং আইনি বিষয়ের সাথে জড়িত গিলিয়েডের শীর্ষ নির্বাহীর কাছ থেকে পাসওয়ার্ড চুরি করার জন্য ডিজাইন করা হয়েছিল৷ আক্রমণটি এমন একটি ওয়েবসাইটে পাওয়া গেছে যা দূষিত কার্যকলাপের জন্য ওয়েব ঠিকানাগুলি স্ক্যান করতে ব্যবহৃত হয়, তবে গবেষকরা এটি সফল কিনা তা নির্ধারণ করতে সক্ষম হননি।
ট্রেন্ডিং এপিটি হ্যাকার গ্রুপ চার্ট - উত্স: Securitystack.co
যে বিশ্লেষক এই হামলা নিয়ে গবেষণা করেছেন তাদের মধ্যে একজন হলেন ইসরায়েলি সাইবার সিকিউরিটি ফার্ম ক্লিয়ারস্কাইয়ের ওহাদ জাইডেনবার্গ। তিনি মন্তব্য করেছেন যে গিলিয়েডের বিরুদ্ধে এপ্রিলের আক্রমণটি একটি সাংবাদিক তদন্তের ছদ্মবেশী একটি বার্তার সাথে কর্পোরেট ইমেল অ্যাকাউন্টগুলির সাথে আপস করার একটি প্রচেষ্টা ছিল। অন্যান্য বিশ্লেষক, যারা সর্বজনীনভাবে মন্তব্য করার জন্য অনুমোদিত ছিল না তারা নিশ্চিত করেছে যে আক্রমণটি এমন ডোমেন এবং সার্ভার ব্যবহার করেছে যা পূর্বে চার্মিং কিটেন নামে পরিচিত ইরানি হ্যাকিং গ্রুপ দ্বারা ব্যবহৃত হয়েছিল।
জাতিসংঘে ইরানের কূটনৈতিক মিশন এই ধরনের হামলায় জড়িত থাকার কথা অস্বীকার করেছে, মুখপাত্র আলিরেজা মিরিওসেফি বলেছে যে "ইরান সরকার সাইবার যুদ্ধে জড়িত নয়," যোগ করে "ইরান যে সাইবার কার্যকলাপে নিয়োজিত রয়েছে তা সম্পূর্ণরূপে প্রতিরক্ষামূলক এবং আরও আক্রমণ থেকে রক্ষা করার জন্য। ইরানের অবকাঠামো।"
সাম্প্রতিক ইরানি সাইবার প্রচারাভিযানে লক্ষ্যবস্তু দেশগুলি - উত্স: Stratfor.com
গিলিয়েড সাইবার নিরাপত্তা সংক্রান্ত বিষয়ে আলোচনা করার বিষয়ে কোম্পানির নীতি অনুসরণ করেছে এবং মন্তব্য করতে অস্বীকার করেছে। কোম্পানিটি সম্প্রতি অনেক মনোযোগ পেয়েছে, কারণ এটি অ্যান্টিভাইরাল ড্রাগ রেমডেসিভির প্রস্তুতকারক, যা বর্তমানে COVID-19-এ সংক্রামিত রোগীদের সাহায্য করার জন্য প্রমাণিত একমাত্র চিকিত্সা। গিলিয়েড সেই কোম্পানিগুলির মধ্যে একটি যা মারাত্মক রোগের চিকিত্সার গবেষণা এবং উন্নয়নে নেতৃত্ব দেয়, এটিকে বুদ্ধিমত্তা সংগ্রহের প্রচেষ্টার জন্য একটি প্রধান লক্ষ্য করে তোলে।
