AVrecon বটনেট ম্যালওয়্যার

2021 সালের মে থেকে, AVrecon নামে পরিচিত একটি অত্যন্ত গোপন লিনাক্স ম্যালওয়্যার লিনাক্স-ভিত্তিক সিস্টেমে অপারেটিং 70,000 টিরও বেশি ছোট অফিস/হোম অফিস (SOHO) রাউটারগুলিতে অনুপ্রবেশ করার জন্য নিযুক্ত করা হয়েছে। এই আপস করা রাউটারগুলিকে তারপরে একটি বটনেটে অন্তর্ভুক্ত করা হয়, একটি দ্বৈত উদ্দেশ্য পরিবেশন করে: ব্যান্ডউইথ চুরি করা এবং একটি গোপন আবাসিক প্রক্সি পরিষেবা প্রতিষ্ঠা করা। ইনফোসেক বিশেষজ্ঞদের মতে, AVrecon দ্বারা আপোস করা 70,000টি ডিভাইসের মধ্যে, প্রায় 40,000টি একটি বটনেটে অন্তর্ভুক্ত করা হয়েছিল।

এই বটনেট ব্যবহার করে, AVrecon এর অপারেটররা ক্ষতিকারক উদ্যোগের একটি বিন্যাস কার্যকরভাবে গোপন করতে পারে। এই ক্রিয়াকলাপগুলি প্রতারণামূলক ডিজিটাল বিজ্ঞাপন স্কিম থেকে পাসওয়ার্ড-স্প্রে করার আক্রমণ পর্যন্ত একটি বিস্তৃত বর্ণালীকে অন্তর্ভুক্ত করে। একটি লুকানো আবাসিক প্রক্সি পরিষেবার প্রাপ্যতা তাদের ক্রিয়াকলাপগুলিকে বেনামী করার একটি উপায় সরবরাহ করে এবং তাদের অনাকাঙ্খিত ক্রিয়াকলাপগুলি চালানোর জন্য আপস করা নেটওয়ার্ক অবকাঠামোকে কাজে লাগায়৷

AVrecon ম্যালওয়্যার লঙ্ঘন করা ডিভাইসগুলিতে নীরবে কাজ করে

2021 সালের মে মাসে প্রাথমিক সনাক্তকরণের পর থেকে, AVrecon সনাক্তকরণ এড়াতে একটি অসাধারণ ক্ষমতা প্রদর্শন করেছে। এটি প্রাথমিকভাবে নেটগিয়ার রাউটারগুলিকে টার্গেট করেছিল এবং নতুন বটগুলিকে আটকে রেখে ক্রমাগতভাবে এর নাগাল প্রসারিত করে দুই বছরেরও বেশি সময় ধরে সনাক্ত করা যায়নি। এই নিরলস বৃদ্ধি সাম্প্রতিক সময়ে ছোট অফিস/হোম অফিস (SOHO) রাউটারগুলিকে লক্ষ্য করে বৃহত্তম বটনেটগুলির মধ্যে একটি হয়ে উঠতে প্ররোচিত করেছে৷

এই ম্যালওয়্যারের পিছনে হুমকি অভিনেতারা কৌশলগতভাবে SOHO ডিভাইসগুলিকে কাজে লাগানোর উপর দৃষ্টি নিবদ্ধ করেছে বলে মনে হচ্ছে যে ব্যবহারকারীরা পরিচিত দুর্বলতা এবং এক্সপোজার (CVEs) এর বিরুদ্ধে প্যাচ করার সম্ভাবনা কম ছিল। আরও সতর্ক দৃষ্টিভঙ্গি অবলম্বন করে, অপারেটররা দুই বছরেরও বেশি সময় ধরে সনাক্তকরণ এড়িয়ে বর্ধিত সময়ের জন্য গোপনে কাজ করতে সক্ষম হয়েছিল। ম্যালওয়্যারের গোপন প্রকৃতির অর্থ হল যে সংক্রামিত ডিভাইসের মালিকরা খুব কমই লক্ষণীয় পরিষেবা ব্যাহত বা ব্যান্ডউইথের ক্ষতির সম্মুখীন হন, যা আরও বটনেটকে অবিকৃত অবস্থায় থাকতে সক্ষম করে।

একবার একটি রাউটার সংক্রমিত হলে, ম্যালওয়্যারটি আপোসকৃত ডিভাইসের তথ্য একটি এমবেডেড কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে প্রেরণ করে। পরবর্তীকালে, হ্যাক করা মেশিনটি দ্বিতীয় পর্যায়ের C2 সার্ভার নামে পরিচিত সার্ভারের একটি পৃথক সেটের সাথে যোগাযোগ স্থাপনের নির্দেশনা পায়। তাদের তদন্তের সময়, নিরাপত্তা গবেষকরা মোট 15টি দ্বিতীয় পর্যায়ের নিয়ন্ত্রণ সার্ভার সনাক্ত করেছেন। x.509 শংসাপত্রের তথ্য দ্বারা নির্ধারিত এই সার্ভারগুলি কমপক্ষে অক্টোবর 2021 থেকে চালু আছে।

এই দ্বিতীয় পর্যায়ের C2 সার্ভারগুলির উপস্থিতি ম্যালওয়্যারের পিছনে হুমকি অভিনেতাদের দ্বারা নিযুক্ত অত্যাধুনিক অবকাঠামো এবং সংস্থাকে হাইলাইট করে। এটি এই ক্রমাগত এবং অধরা বটনেটের প্রভাব মোকাবেলা এবং প্রশমিত করার ক্ষেত্রে সাইবারসিকিউরিটি বিশেষজ্ঞদের মুখোমুখি হওয়া চ্যালেঞ্জগুলিকে আরও আন্ডারস্কোর করে।

আপোস করা SOHO ডিভাইসগুলি গুরুতর পরিণতির দিকে নিয়ে যেতে পারে

সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) দ্বারা সম্প্রতি জারি করা একটি বাধ্যতামূলক অপারেশনাল নির্দেশিকায় (বিওডি) ইউএস ফেডারেল সংস্থাগুলিকে SOHO রাউটার সহ ইন্টারনেট-উন্মুক্ত নেটওয়ার্কিং সরঞ্জামগুলিকে সুরক্ষিত করার জন্য অবিলম্বে পদক্ষেপ নিতে বাধ্য করা হয়েছে৷ সম্ভাব্য লঙ্ঘনের প্রচেষ্টা রোধ করতে এই নির্দেশিকায় ফেডারেল সংস্থাগুলিকে আবিষ্কারের 14 দিনের মধ্যে এই ডিভাইসগুলিকে শক্তিশালী করতে হবে।

এই জরুরীতার পিছনে কারণ হল যে এই ধরনের ডিভাইসগুলির একটি সফল সমঝোতা হুমকি অভিনেতাদের তাদের আক্রমণ পরিকাঠামোতে আপস করা রাউটারগুলিকে অন্তর্ভুক্ত করার ক্ষমতা প্রদান করবে। এটি, পরিবর্তে, লক্ষ্যবস্তু সত্ত্বাগুলির অভ্যন্তরীণ নেটওয়ার্কগুলিতে পার্শ্বীয় আন্দোলনের জন্য একটি লঞ্চপ্যাড হিসাবে কাজ করবে, যেমন CISA তাদের সতর্কতায় জোর দিয়েছে।

হুমকি অভিনেতাদের দ্বারা AVrecon এর ব্যবহার একটি দ্বৈত উদ্দেশ্য সাধন করে: ট্র্যাফিক প্রক্সি করা এবং পাসওয়ার্ড স্প্রে করার মতো খারাপ কার্যকলাপে জড়িত হওয়া। এই স্বতন্ত্র পদ্ধতিটি এটিকে আমাদের রাউটার-ভিত্তিক ম্যালওয়ারের পূর্ববর্তী আবিষ্কারগুলি থেকে আলাদা করে, যা প্রাথমিকভাবে সরাসরি নেটওয়ার্ক টার্গেটিংকে কেন্দ্র করে।

এই হুমকির মাধ্যাকর্ষণ এই সত্য থেকে উদ্ভূত হয় যে SOHO রাউটারগুলি সাধারণত প্রচলিত নিরাপত্তা পরিধির বাইরে কাজ করে। ফলস্বরূপ, অনিরাপদ কার্যকলাপ সনাক্ত করার ডিফেন্ডারদের ক্ষমতা উল্লেখযোগ্যভাবে হ্রাস পেয়েছে। এই পরিস্থিতি সম্ভাব্য লঙ্ঘনের ঝুঁকি কমাতে এবং সামগ্রিক নেটওয়ার্ক নিরাপত্তা বাড়ানোর জন্য এই ডিভাইসগুলিকে অবিলম্বে সুরক্ষিত করার গুরুত্বপূর্ণ গুরুত্ব তুলে ধরে।