ব্যালিস্টা বটনেট

ব্যালিস্টা নামে একটি নতুন বটনেট ক্যাম্পেইন সনাক্ত করা হয়েছে, যা স্পষ্টভাবে আনপ্যাচড টিপি-লিংক আর্চার রাউটারগুলিকে লক্ষ্য করে। সাইবার নিরাপত্তা গবেষকরা দেখেছেন যে বটনেট ইন্টারনেট জুড়ে ছড়িয়ে পড়ার জন্য রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতা - CVE-2023-1389 - এর সুযোগ নেয়। এই উচ্চ-তীব্র ত্রুটিটি TP-লিংক আর্চার AX-21 রাউটারগুলিকে প্রভাবিত করে, যার ফলে আক্রমণকারীরা দূরবর্তীভাবে কমান্ড কার্যকর করতে এবং ডিভাইসের নিয়ন্ত্রণ নিতে পারে।

শোষণের একটি সময়রেখা

সক্রিয় শোষণের প্রমাণ পাওয়া যায় ২০২৩ সালের এপ্রিলে, যখন অজানা হুমকিদাতারা প্রথম Mirai botnet ম্যালওয়্যার বিতরণের জন্য দুর্বলতা ব্যবহার করেছিল। তারপর থেকে, এটি Condi এবং AndroxGh0st সহ অন্যান্য ম্যালওয়্যার স্ট্রেন ছড়িয়ে দেওয়ার জন্য ব্যবহার করা হয়েছে, যার ফলে এর নাগাল এবং প্রভাব আরও বৃদ্ধি পেয়েছে।

আক্রমণ কিভাবে কাজ করে

আক্রমণের ক্রমটি একটি ম্যালওয়্যার ড্রপার দিয়ে শুরু হয় - 'dropbpb.sh' নামক একটি শেল স্ক্রিপ্ট - যা লক্ষ্যযুক্ত রাউটারগুলিতে একটি ক্ষতিকারক বাইনারি ডাউনলোড করে এবং কার্যকর করে। ম্যালওয়্যারটি MIPS, mipsel, armv5l, armv7l এবং x86_64 সহ একাধিক সিস্টেম আর্কিটেকচারে চালানোর জন্য ডিজাইন করা হয়েছে। একবার ইনস্টল হয়ে গেলে, এটি পোর্ট 82-এ একটি এনক্রিপ্ট করা কমান্ড-এন্ড-কন্ট্রোল (C2) চ্যানেল স্থাপন করে, যা আক্রমণকারীদের সংক্রামিত ডিভাইসটিকে দূরবর্তীভাবে নিয়ন্ত্রণ করতে দেয়।

ব্যালিস্টা বটনেটের ক্ষমতা

একবার একটি সিস্টেমের ভেতরে ঢুকে গেলে, ব্যালিস্টা আক্রমণকারীদের বিভিন্ন ধরণের কমান্ড কার্যকর করতে সক্ষম করে, যার মধ্যে রয়েছে:

• ফ্লাডার - বন্যা-ভিত্তিক পরিষেবা অস্বীকার (DoS) আক্রমণ শুরু করে।
• এক্সপ্লোইটার - অতিরিক্ত রাউটারগুলিকে সংক্রামিত করার জন্য CVE-2023-1389 ব্যবহার করে।
• শুরু করুন - এক্সপ্লোইটার মডিউলটি শুরু করে।
• বন্ধ করুন – এক্সপ্লাইট মডিউল বন্ধ করে।
• শেল – সংক্রামিত সিস্টেমে লিনাক্স শেল কমান্ড কার্যকর করে।
• কিল্লাল - চলমান ম্যালওয়্যার পরিষেবা বন্ধ করে দেয়।

উপরন্তু, ম্যালওয়্যারটি তার নিজস্ব উপস্থিতির চিহ্ন মুছে ফেলতে পারে এবং দুর্বল ডিভাইসগুলি খুঁজে বের করে এবং কাজে লাগিয়ে স্বায়ত্তশাসিতভাবে ছড়িয়ে পড়তে পারে।

ইতালীয় সংযোগের লক্ষণ

ব্যালিস্টার পরিকাঠামো বিশ্লেষণ করলে একটি ইতালীয় লিঙ্ক পাওয়া যায়। ম্যালওয়্যার বাইনারিগুলিতে ইতালীয় ভাষার স্ট্রিং রয়েছে এবং প্রাথমিক C2 সার্ভারটি 2.237.57.70 এ হোস্ট করা হয়েছিল, একটি ইতালীয় আইপি ঠিকানা। তবে, ম্যালওয়্যারটি ক্রমাগত বিকাশের অধীনে রয়েছে বলে মনে হচ্ছে, কারণ নতুন সংস্করণগুলি এখন হার্ডকোডেড আইপি ঠিকানার পরিবর্তে TOR নেটওয়ার্ক ডোমেন ব্যবহার করে।

বিশ্বব্যাপী প্রভাব: ঝুঁকিতে হাজার হাজার রাউটার

একটি লক্ষ্যবস্তু অনুসন্ধান থেকে জানা যায় যে, ইতিমধ্যেই ৬,০০০ এরও বেশি ডিভাইস ব্যালিস্টা দ্বারা প্রভাবিত হয়েছে। সবচেয়ে ঝুঁকিপূর্ণ অঞ্চলগুলির মধ্যে রয়েছে ব্রাজিল, পোল্যান্ড, যুক্তরাজ্য, বুলগেরিয়া এবং তুরস্ক। এর সক্রিয় বিবর্তনের কারণে, এই বটনেট বিশ্বব্যাপী আনপ্যাচড রাউটারের জন্য একটি উল্লেখযোগ্য হুমকি হিসেবে রয়ে গেছে।