হুমকি ডাটাবেস ম্যালওয়্যার AryStinger ম্যালওয়্যার

AryStinger ম্যালওয়্যার

AryStinger নামের নতুন আবিষ্কৃত একটি ম্যালওয়্যার পরিবার, সাধারণত হ্যাক হওয়া নেটওয়ার্কিং ডিভাইসের সাথে যুক্ত প্রচলিত ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) বটনেটের পরিবর্তে, পরিত্যক্ত হোম রাউটারগুলোকে একটি বৃহৎ পরিসরের নজরদারি ও প্রক্সি নেটওয়ার্কে রূপান্তরিত করছে। নিরাপত্তা গবেষকরা ইতিমধ্যেই কমপক্ষে ৪,৩০০টি সংক্রমিত রাউটার শনাক্ত করেছেন এবং এই সংখ্যা আরও বাড়বে বলে আশঙ্কা করা হচ্ছে।

প্রচলিত ম্যালওয়্যার ক্যাম্পেইনগুলো যেখানে পরিষেবা ব্যাহত করার উপর মনোযোগ দেয়, তার থেকে ভিন্নভাবে AryStinger-কে সাইবার অনুপ্রবেশের প্রাথমিক পর্যায়কে সমর্থন করার জন্য ডিজাইন করা হয়েছে। হ্যাক হওয়া ডিভাইসগুলো ইন্টারনেট স্ক্যান করতে, চলমান পরিষেবাগুলো শনাক্ত করতে, সাবডোমেইন গণনা করতে, নেটওয়ার্ক ট্র্যাফিক টানেল করতে এবং দূর থেকে কমান্ড কার্যকর করতে ব্যবহৃত হয়, এবং সবশেষে সংগৃহীত তথ্য অপারেটরদের কাছে ফেরত পাঠায়। প্রতিটি সংক্রমিত রাউটার কার্যকরভাবে একটি রিকনেসান্স নোড এবং একটি অ্যানোনিমাইজিং রিলে উভয় হিসেবেই কাজ করে, যা আক্রমণকারীর আসল উৎস গোপন রাখে।

পুরোনো হার্ডওয়্যার এবং দীর্ঘ-বিস্মৃত দুর্বলতাগুলোকে লক্ষ্য করা

এই ক্যাম্পেইনটি মূলত রিয়েলটেক RTL819X চিপসেট চালিত রাউটারগুলোকে লক্ষ্য করে, যা ২০১২ থেকে ২০১৫ সালের মধ্যে ব্যাপকভাবে ব্যবহৃত হতো। গবেষকরা সর্বপ্রথম ২০২৬ সালের ১২ই মার্চ ম্যালওয়্যারটি পর্যবেক্ষণ করেন, যখন একটিমাত্র আইপি অ্যাড্রেস থেকে এর সংক্রমণ শুরু হয়।

ছড়ানো ম্যালওয়্যারটি ছিল একটি লিনাক্স ELF বাইনারি, যা প্রাথমিকভাবে VirusTotal-এর প্রতিটি ইঞ্জিন দ্বারা শনাক্তকরণ এড়াতে সক্ষম হয়েছিল। এটি দুটি পুরোনো দুর্বলতার সুযোগ নিয়ে সংক্রমণ ঘটিয়েছিল:

  • CVE-2013-3307, যা নির্দিষ্ট কিছু Linksys রাউটারকে প্রভাবিত করে।
  • CVE-2016-5681 নির্দিষ্ট কিছু ডি-লিঙ্ক ডিভাইসকে প্রভাবিত করছে।

আক্রান্ত সিস্টেমগুলোর অধিকাংশই ডি-লিঙ্ক-এর পণ্য, যার মধ্যে ডিআইআর-৮৫০এল মডেলটি প্রায় ৭৫ শতাংশ সংক্রমণের জন্য দায়ী। ভৌগোলিকভাবে, সংক্রমণগুলো দক্ষিণ কোরিয়া (৪৮ শতাংশ) এবং চীনে (৩২ শতাংশ) কেন্দ্রীভূত, এরপর রয়েছে সুইডেন, মালয়েশিয়া এবং সিঙ্গাপুর।

রাউটারের বাইরে সম্প্রসারণ

২৬ এপ্রিল ২০২৬-এ ম্যালওয়্যারের দ্বিতীয় একটি ভ্যারিয়েন্ট আবির্ভূত হয়, যা QNAP-এর ম্যালওয়্যার রিমুভার ইউটিলিটিকে প্রভাবিতকারী একটি কোড ইনজেকশন দুর্বলতা CVE-2025-11837-এর মাধ্যমে QNAP NAS ডিভাইসগুলোকে লক্ষ্যবস্তু করে। যদিও নভেম্বর ২০২৫-এই দুর্বলতাটি প্যাচ করে ঠিক করা হয়েছিল, আক্রমণকারীরা এর কয়েক মাস পরেই এর অপব্যবহার শুরু করে।

পরিহাসের বিষয় হলো, সংক্রমণের মাধ্যমটি হলো NAS অ্যাপ্লায়েন্সটির নিজস্ব ম্যালওয়্যার-অপসারণ অ্যাপ্লিকেশন। রিপোর্ট করা ৪,৩০০টি আক্রান্ত সিস্টেমের সংখ্যাটিতে শুধুমাত্র সংক্রমিত RTL819X রাউটারগুলো অন্তর্ভুক্ত এবং এতে ক্ষতিগ্রস্ত NAS ডিভাইসগুলোর হিসাব নেই।

শক্তিশালী ক্ষমতা সম্পন্ন হালকা ম্যালওয়্যার

AryStinger-এর রাউটার সংস্করণটি C ভাষায় লেখা এবং পুরোনো হার্ডওয়্যারের সীমিত সম্পদের কারণে এটিকে ইচ্ছাকৃতভাবে হালকা রাখা হয়েছে। এর প্রধান কাজগুলো হলো ব্যাপক ডিএনএস স্ক্যানিং এবং ট্র্যাফিক টানেলিং।

Go-তে তৈরি NAS সংস্করণটি উল্লেখযোগ্যভাবে আরও ব্যাপক সক্ষমতা প্রদান করে। এটি অভ্যন্তরীণ এবং বাহ্যিক উভয় নেটওয়ার্ক স্ক্যান করতে পারে এবং fscan, ksubdomain, ও httpx-এর মতো রিকনেসান্স ইউটিলিটিগুলো ব্যবহার করতে পারে। ScriptWork নামে পরিচিত একটি ফিচার অপারেটরদেরকে আক্রমণকারীর সরবরাহ করা Go, Java, বা Python সোর্স কোড সরাসরি সংক্রমিত সিস্টেমে এক্সিকিউট করার সুযোগ দেয়, যার ফলে প্রতিটি টার্গেটের জন্য আলাদা বাইনারি কম্পাইল করার প্রয়োজন হয় না।

সংক্রমিত ডিভাইস এবং কমান্ড-অ্যান্ড-কন্ট্রোল (C2) সার্ভারের মধ্যে যোগাযোগ HTTP এবং HTTPS-এর মাধ্যমে সম্পন্ন হয়, যেখানে একটি সাধারণ XOR স্কিম দ্বারা অস্পষ্ট করা প্রোটোবাফ-এনকোডেড ট্র্যাফিক ব্যবহৃত হয়, এবং এর Go-ভিত্তিক সংস্করণে gzip কম্প্রেশন যুক্ত করা হয়। বড় স্ক্যানিং কাজগুলোকে ছোট ছোট অংশে ভাগ করে বটনেট জুড়ে বিতরণ করা হয়, যা সমান্তরাল গোয়েন্দা কার্যক্রম পরিচালনায় সক্ষম করে।

অধ্যবসায় এবং অপব্যবহারের সম্ভাবনা

ম্যালওয়্যারটি আক্রান্ত NAS সিস্টেমের রাউটার এবং gs-netcat-এর জন্য পোর্ট 2332-এ একটি Dropbear SSH সার্ভার স্থাপন করে দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখে। তদন্তকারীরা 'sh_#@!_2024_secret' নামে একটি হার্ডকোডেড অথেনটিকেশন কী-ও শনাক্ত করেছেন, যার মধ্যে '2024' সংখ্যাটির উপস্থিতি থেকে বোঝা যায় যে অপারেশনটির উন্নয়ন সেই বছর শুরু হয়েছিল, যদিও এটি নিশ্চিতভাবে বলা যায় না।

যদিও তথ্য সংগ্রহই এর প্রধান উদ্দেশ্য বলে মনে হয়, প্রয়োজনে ম্যালওয়্যারটির ডিএনএস স্ক্যানিং ক্ষমতাকে ডিএনএস রিজলভারের দিকেও চালিত করা যায়, যাতে ডিনায়াল-অফ-সার্ভিস ট্র্যাফিক তৈরি করা যায়।

একটি পরিচিত প্যাটার্ন: অপারেশনাল রিলে বক্স নেটওয়ার্ক

AryStinger দ্বারা তৈরি পরিকাঠামোটি অপারেশনাল রিলে বক্স (ORB) নেটওয়ার্কের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ। এই নেটওয়ার্কগুলো হ্যাক হওয়া মেয়াদোত্তীর্ণ রাউটার এবং IoT ডিভাইস দ্বারা গঠিত, যা আক্রমণকারীদের স্ক্যানিং কার্যক্রম পরিচালনা করতে এবং ক্ষতিকারক ট্র্যাফিক রিলে করতে সক্ষম করে, এবং একই সাথে এদের শনাক্ত করা কঠিন থাকে।

এই পদ্ধতিটি পূর্ববর্তী ঘটনাগুলোরই প্রতিধ্বনি। ২০২৫ সালের মে মাসে, এফবিআই এবং মার্কিন বিচার বিভাগ 5socks এবং Anyproxy পরিষেবাগুলোকে বন্ধ করে দেয়, যেগুলো TheMoon ম্যালওয়্যারে আক্রান্ত পুরোনো Linksys এবং Cisco রাউটারগুলোকে কাজে লাগিয়ে আবাসিক প্রক্সি অ্যাক্সেসের মাধ্যমে অর্থ উপার্জন করত। অতি সম্প্রতি, LapDogs-এর মতো ORB অপারেশনগুলোও একইভাবে পুরোনো ডিভাইসগুলোর প্যাচবিহীন দুর্বলতার ওপর নির্ভর করেছে।

বর্তমানে, AryStinger-এর পেছনে কোনো নির্দিষ্ট হুমকি সৃষ্টিকারী পক্ষের হাত রয়েছে বলে নিশ্চিতভাবে বলা যায় না। তবে, এর কার্যপ্রণালী সুস্পষ্ট: পুরোনো হার্ডওয়্যার এবং বিস্মৃত দুর্বলতাগুলোকে এমন এক গোপনীয় অবকাঠামোতে রূপান্তরিত করা হচ্ছে, যা অত্যাধুনিক সাইবার অনুপ্রবেশের প্রাথমিক পর্যায়গুলোকে সমর্থন করে।

সনাক্তকরণ এবং প্রশমন কৌশল

যেসব সংস্থা ও ব্যক্তি সম্ভাব্য ক্ষতিগ্রস্ত সরঞ্জাম পরিচালনা করেন, তাদের অবিলম্বে নিরাপত্তা লঙ্ঘনের লক্ষণগুলো তদন্ত করে দীর্ঘমেয়াদী প্রতিকারমূলক ব্যবস্থা গ্রহণ করা উচিত।

  • AryStinger কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভার এবং ডাউনলোড ডোমেইনগুলিতে বহির্গামী সংযোগগুলি নিরীক্ষণ করুন।
  • অপরিচিত বাইনারি ফাইলের জন্য /tmp/bin ডিরেক্টরিটি পরীক্ষা করুন।
  • syswapd0h বা syswapd0w নামের সন্দেহজনক প্রসেসগুলো অনুসন্ধান করুন।

সবচেয়ে কার্যকর প্রতিরক্ষা ব্যবস্থাটি বেশ সহজ: মেয়াদোত্তীর্ণ নেটওয়ার্কিং সরঞ্জাম, যেগুলোতে আর ফার্মওয়্যার আপডেট আসে না, সেগুলোকে পরিষেবা থেকে সরিয়ে ফেলুন এবং যখনই সম্ভব ইন্টারনেট-সংযুক্ত ডিভাইসগুলোতে রিমোট অ্যাডমিনিস্ট্রেশন নিষ্ক্রিয় করুন। যে হার্ডওয়্যার বহু বছর আগে নিরাপত্তা প্যাচ পাওয়া বন্ধ করে দিয়েছে, আধুনিক হুমকির বিরুদ্ধে সেটির সুরক্ষা পাওয়ার সম্ভাবনা কম।

লোড হচ্ছে...