কম্পিউটার নিরাপত্তা সিসকো নিশ্চিত করেছে যে লবণাক্ত টাইফুন CVE-2018-0171...

সিসকো নিশ্চিত করেছে যে লবণাক্ত টাইফুন CVE-2018-0171 মার্কিন টেলিকম নেটওয়ার্কগুলিকে লক্ষ্য করে ব্যবহার করা হয়েছে

সিসকো আনুষ্ঠানিকভাবে নিশ্চিত করেছে যে সল্ট টাইফুন নামে পরিচিত চীনা রাষ্ট্র-স্পন্সরিত হুমকি অভিনেতাটি একটি পরিচিত দুর্বলতা, CVE-2018-0171 ব্যবহার করে মার্কিন টেলিযোগাযোগ নেটওয়ার্কগুলিতে সফলভাবে অনুপ্রবেশ করেছে। এই নিরাপত্তা ত্রুটি, চুরি হওয়া লগইন শংসাপত্র ব্যবহারের সাথে মিলিত হয়ে, আক্রমণকারীদের দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখতে সক্ষম করেছিল, যার একটি ঘটনা তিন বছরেরও বেশি সময় ধরে স্থায়ী হয়েছিল।

সিসকো ট্যালোসের মতে, সল্ট টাইফুনের অভিযানগুলি উচ্চ স্তরের পরিশীলিততা, সমন্বয় এবং ধৈর্য প্রদর্শন করে - যা অ্যাডভান্সড পারসিস্ট্যান্ট থ্রেট (এপিটি) গোষ্ঠীগুলির সাধারণ বৈশিষ্ট্য। এই অভিযানটি জাতি-রাষ্ট্রীয় অভিনেতাদের দ্বারা সৃষ্ট চলমান ঝুঁকিগুলিকে তুলে ধরে যারা কৌশলগতভাবে গুরুত্বপূর্ণ অবকাঠামোতে অনুপ্রবেশ করে গভীর এবং স্থায়ী অবস্থান স্থাপন করে।

একটি দীর্ঘমেয়াদী, অত্যন্ত সমন্বিত সাইবার গুপ্তচরবৃত্তি অভিযান

সল্ট টাইফুনের বছরের পর বছর ধরে অধরা থাকার ক্ষমতা এই গোষ্ঠীর উন্নত কৌশলগুলিকে তুলে ধরে। একাধিক বিক্রেতার সরঞ্জামের উপর তাদের অধ্যবসায় সূক্ষ্ম পরিকল্পনা এবং সু-তহবিলযুক্ত অভিযানের ইঙ্গিত দেয়। সুযোগসন্ধানী সাইবার অপরাধীরা যারা তাৎক্ষণিক লাভের জন্য দুর্বলতাকে কাজে লাগায়, তাদের বিপরীতে, সল্ট টাইফুনের মতো রাষ্ট্র-স্পন্সরিত সংস্থাগুলি প্রায়শই টেকসই অ্যাক্সেসের লক্ষ্য রাখে, যাতে তারা গোয়েন্দা তথ্য সংগ্রহ করতে, অভিযান ব্যাহত করতে বা ভবিষ্যতের সাইবার আক্রমণের জন্য প্রস্তুত হতে পারে।

পূর্ববর্তী প্রতিবেদনগুলিতে বলা হয়েছিল যে সল্ট টাইফুন নতুন দুর্বলতাগুলিও ব্যবহার করেছে, যেমন CVE-2023-20198 এবং CVE-2023-20273, সিসকো এই দাবিগুলির সমর্থনে কোনও প্রমাণ খুঁজে পায়নি। পরিবর্তে, শোষণের প্রাথমিক পদ্ধতিটি CVE-2018-0171 রয়ে গেছে, যা সিসকোর স্মার্ট ইনস্টল (SMI) প্রোটোকলের একটি ত্রুটি, শংসাপত্র চুরির সাথে মিলিত।

চুরি যাওয়া শংসাপত্র: প্রাথমিক প্রবেশাধিকারের চাবিকাঠি

এই প্রচারণার একটি অপরিহার্য দিক হল নেটওয়ার্ক ডিভাইসগুলিতে অ্যাক্সেস পেতে বৈধ, চুরি হওয়া শংসাপত্রের ব্যবহার। যদিও সল্ট টাইফুন এই শংসাপত্রগুলি পেতে সঠিক পদ্ধতিটি এখনও স্পষ্ট নয়, প্রমাণ থেকে জানা যায় যে তারা সক্রিয়ভাবে ক্ষতিগ্রস্থ সিস্টেমের মধ্যে সঞ্চিত লগইন বিশদ অনুসন্ধান করেছিল। তারা প্রমাণীকরণ ডেটা ক্যাপচার করার জন্য নেটওয়ার্ক ট্র্যাফিকও পর্যবেক্ষণ করেছিল, বিশেষ করে SNMP, TACACS এবং RADIUS প্রোটোকলগুলিকে লক্ষ্য করে গোপন কী এবং অন্যান্য লগইন শংসাপত্রগুলি বের করে আনার জন্য।

একবার নেটওয়ার্কের ভেতরে ঢুকে গেলে, সল্ট টাইফুন তাদের নাগাল প্রসারিত করতে এবং দীর্ঘস্থায়ী অ্যাক্সেস নিশ্চিত করতে বিভিন্ন কৌশল ব্যবহার করত। এর মধ্যে ছিল নেটওয়ার্ক ডিভাইস কনফিগারেশন পরিবর্তন করা, অননুমোদিত স্থানীয় অ্যাকাউন্ট তৈরি করা, গেস্ট শেল অ্যাক্সেস সক্ষম করা এবং স্থায়ী SSH অ্যাক্সেস সেট আপ করা।

জমির বাইরে বসবাসের কৌশল এবং নেটওয়ার্ক পিভোটিং

সল্ট টাইফুন লিভিং-অফ-দ্য-ল্যান্ড (LOTL) কৌশল ব্যবহার করেছিল, যার মধ্যে সনাক্তকরণ এড়াতে বৈধ সিস্টেম সরঞ্জাম এবং অবকাঠামোর অপব্যবহার জড়িত। পিভট পয়েন্ট হিসাবে ক্ষতিগ্রস্থ নেটওয়ার্ক ডিভাইসগুলি ব্যবহার করে, তারা লুকিয়ে থাকা অবস্থায় এক টেলিকম নেটওয়ার্ক থেকে অন্য টেলিকম নেটওয়ার্কে ঝাঁপিয়ে পড়তে সক্ষম হয়েছিল। এই ক্ষতিগ্রস্থ ডিভাইসগুলি সম্ভবত মধ্যবর্তী রিলে হিসাবে কাজ করেছিল, আক্রমণকারীদের হয় পার্শ্বীয়ভাবে তাদের চূড়ান্ত লক্ষ্যবস্তুর দিকে যেতে বা বহির্গামী ডেটা এক্সফিল্ট্রেশন রুট স্থাপন করতে সহায়তা করেছিল।

সনাক্তকরণ এড়াতে, সল্ট টাইফুন নেটওয়ার্ক কনফিগারেশনগুলিকে কারচুপির মাধ্যমে ক্ষতিগ্রস্ত সুইচগুলিতে লুপব্যাক ইন্টারফেস ঠিকানা পরিবর্তন করে। এটি তাদের অ্যাক্সেস কন্ট্রোল লিস্ট (ACL) বাইপাস করে SSH সংযোগ স্থাপন করার অনুমতি দেয়, লক্ষ্য পরিবেশের মধ্যে অবাধ চলাচলের অনুমতি দেয়।

জাম্বলডপাথ: গোপনে কাজ করার জন্য একটি কাস্টম টুল

সবচেয়ে উদ্বেগজনক আবিষ্কারগুলির মধ্যে একটি হল সল্ট টাইফুনের জাম্বলডপাথ নামে একটি কাস্টম-বিল্ট টুল ব্যবহার, যা বিশেষভাবে গোপন নেটওয়ার্ক অনুপ্রবেশের জন্য ডিজাইন করা হয়েছে। এই গো-ভিত্তিক ELF বাইনারি আক্রমণকারীদের একটি অ্যাক্টর-নিয়ন্ত্রিত জাম্প হোস্টের মাধ্যমে দূরবর্তী সিসকো ডিভাইসে প্যাকেট ক্যাপচার কার্যকর করতে সক্ষম করে। এই টুলটি সিস্টেম লগগুলি সাফ করতে এবং লগিং সম্পূর্ণরূপে অক্ষম করতে পারে, যা ফরেনসিক বিশ্লেষণকে উল্লেখযোগ্যভাবে আরও কঠিন করে তোলে।

পর্যায়ক্রমিক লগ মুছে ফেলার প্রচেষ্টা তাদের কার্যকলাপের দৃশ্যমানতা আরও কমিয়ে দেয়। সল্ট টাইফুন তাদের ট্র্যাকগুলি ঢেকে রাখার জন্য এবং দীর্ঘ সময় ধরে তাদের ক্রিয়াকলাপগুলি অদৃশ্য রাখার জন্য .bash_history, auth.log, lastlog, wtmp, এবং btmp সহ গুরুত্বপূর্ণ লগগুলি মুছে ফেলতে দেখা গেছে।

সিসকো ডিভাইসের চলমান শোষণ

সল্ট টাইফুনের কার্যকলাপের বাইরে, সিসকো তার ডিভাইসগুলিকে উন্মুক্ত স্মার্ট ইনস্টল (SMI) বৈশিষ্ট্য সহ ব্যাপকভাবে লক্ষ্যবস্তুতে পরিণত করার বিষয়টিও সনাক্ত করেছে, যার ফলে CVE-2018-0171 এর ক্রমাগত শোষণ অব্যাহত রয়েছে। তবে, সিসকো স্পষ্ট করে জানিয়েছে যে এই কার্যকলাপ সল্ট টাইফুনের সাথে সম্পর্কিত নয় এবং এটি কোনও পরিচিত হুমকি গোষ্ঠীর সাথে সম্পর্কিত বলে মনে হয় না।

এই আক্রমণগুলির বিরুদ্ধে সংগঠনগুলি কীভাবে আত্মরক্ষা করতে পারে

সল্ট টাইফুনের কার্যক্রমের অবিরাম প্রকৃতির কারণে, সংস্থাগুলিকে - বিশেষ করে টেলিযোগাযোগ খাতে জড়িত সংস্থাগুলিকে - তাদের নেটওয়ার্ক সুরক্ষিত করার জন্য সক্রিয় পদক্ষেপ নিতে হবে। প্রস্তাবিত প্রতিরক্ষামূলক ব্যবস্থাগুলির মধ্যে রয়েছে:

  • স্মার্ট ইনস্টল (SMI) নিষ্ক্রিয় করা: যদি প্রয়োজন না হয়, তাহলে শোষণের ঝুঁকি কমাতে SMI বন্ধ করে দেওয়া উচিত।
  • মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) বলবৎ করা: যদি প্রমাণীকরণের জন্য MFA প্রয়োজন হয় তবে চুরি হওয়া শংসাপত্রগুলি কম কার্যকর হয়।
  • নিয়মিত ফার্মওয়্যার আপডেট করা এবং দুর্বলতাগুলি প্যাচ করা: CVE-2018-0171 বছরের পর বছর ধরে পরিচিত, তবুও আক্রমণকারীরা আনপ্যাচড সিস্টেমের কারণে এটিকে কাজে লাগাতে থাকে।
  • অসঙ্গতির জন্য নেটওয়ার্ক ট্র্যাফিক পর্যবেক্ষণ: প্রতিষ্ঠানগুলির প্রমাণীকরণ অনুরোধ, অস্বাভাবিক SSH কার্যকলাপ এবং অপ্রত্যাশিত কনফিগারেশন পরিবর্তনগুলি নিবিড়ভাবে পর্যবেক্ষণ করা উচিত।
  • শক্তিশালী অ্যাক্সেস নিয়ন্ত্রণ নীতি বাস্তবায়ন: গুরুত্বপূর্ণ অবকাঠামোতে অ্যাক্সেস সীমাবদ্ধ করলে আক্রমণকারীর নেটওয়ার্কের মধ্যে পার্শ্বীয়ভাবে চলাচলের ক্ষমতা সীমিত হতে পারে।
  • মার্কিন টেলিকম নেটওয়ার্কগুলিতে সল্ট টাইফুনের সফল অনুপ্রবেশ সাইবার নিরাপত্তায় সতর্কতার গুরুত্বকে আরও জোরদার করে। বছরের পর বছর ধরে বিদ্যমান দুর্বলতাকে কাজে লাগানো, তথ্য চুরি করা এবং দীর্ঘ সময় ধরে অজ্ঞাতভাবে বেঁচে থাকার ক্ষমতা ক্রমবর্ধমান হুমকির দৃশ্যপটকে তুলে ধরে। রাষ্ট্র-স্পন্সরিত সাইবার হুমকির ঝুঁকি কমাতে সংস্থাগুলিকে অবশ্যই সক্রিয় প্রতিরক্ষা কৌশলগুলিকে অগ্রাধিকার দিতে হবে, যার মধ্যে রয়েছে শক্তিশালী প্যাচ ব্যবস্থাপনা, নেটওয়ার্ক পর্যবেক্ষণ এবং কঠোর অ্যাক্সেস নিয়ন্ত্রণ।

    লোড হচ্ছে...