FIRESTARTER ব্যাকডোর

সাইবার নিরাপত্তা বিশ্লেষকরা প্রকাশ করেছেন যে, ২০২৫ সালের সেপ্টেম্বরে নাম প্রকাশে অনিচ্ছুক একটি ফেডারেল বেসামরিক সংস্থা অ্যাডাপ্টিভ সিকিউরিটি অ্যাপ্লায়েন্স (এএসএ) সফটওয়্যার চালিত একটি সিসকো ফায়ারপাওয়ার ডিভাইসের মাধ্যমে সাইবার আক্রমণের শিকার হয়। তদন্তকারীরা ফায়ারস্টারটার (FIRESTARTER) নামে পূর্বে অনুল্লিখিত একটি ম্যালওয়্যার স্ট্রেইন শনাক্ত করেছেন, যা আক্রান্ত সিস্টেমগুলোতে গোপনে দূরবর্তী অ্যাক্সেস এবং দীর্ঘমেয়াদী নিয়ন্ত্রণ প্রদানের জন্য ডিজাইন করা হয়েছিল।

ধারণা করা হচ্ছে, এই অনুপ্রবেশটি একটি অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (APT) গ্রুপের পরিচালিত একটি বৃহত্তর অভিযানের অংশ, যা পরবর্তীতে প্যাচ করা পরিচিত দুর্বলতাগুলোকে কাজে লাগিয়ে সিসকো এএসএ (Cisco ASA) ফার্মওয়্যারকে লক্ষ্যবস্তু করেছিল।

উচ্চ-ঝুঁকিপূর্ণ সিসকো দুর্বলতার মাধ্যমে প্রাথমিক অনুপ্রবেশ

জানা গেছে, আক্রমণকারীরা সিসকোর দুটি গুরুতর নিরাপত্তা ত্রুটিকে কাজে লাগিয়ে অরক্ষিত ডিভাইসগুলোতে প্রবেশ করেছিল:

• CVE-2025-20333 (CVSS 9.9): ত্রুটিপূর্ণ ইনপুট যাচাইকরণের কারণে, বৈধ VPN ক্রেডেনশিয়ালসহ একজন প্রমাণীকৃত দূরবর্তী আক্রমণকারী বিশেষভাবে তৈরি করা HTTP অনুরোধের মাধ্যমে রুট হিসেবে যথেচ্ছ কোড কার্যকর করতে পারে।
• CVE-2025-20362 (CVSS 6.5): ত্রুটিপূর্ণ ইনপুট যাচাইকরণের কারণে একজন প্রমাণীকরণবিহীন দূরবর্তী আক্রমণকারী বিশেষভাবে তৈরি করা HTTP অনুরোধ ব্যবহার করে সীমাবদ্ধ URL এন্ডপয়েন্টগুলিতে অ্যাক্সেস করতে পারে।

যদিও প্যাচ পাওয়া যায়, প্রতিকারের আগে লঙ্ঘিত সিস্টেমগুলো ঝুঁকিপূর্ণ থেকে যেতে পারে।

ফায়ারস্টারটার প্যাচের পরেও স্থায়ী অ্যাক্সেস সক্ষম করে।

FIRESTARTER ফার্মওয়্যার আপগ্রেড এবং সাধারণ রিবুটের পরেও টিকে থাকার ক্ষমতার জন্য উল্লেখযোগ্য। এই ম্যালওয়্যারটি ডিভাইসের মাউন্ট সিকোয়েন্স পরিবর্তন করে স্টার্টআপ প্রক্রিয়ার মধ্যে নিজেকে গেঁথে ফেলে, যার ফলে অ্যাপ্লায়েন্সটি স্বাভাবিকভাবে রিবুট হলেই এটি স্বয়ংক্রিয়ভাবে পুনরায় সক্রিয় হয়ে যায়।

শুধুমাত্র হার্ড পাওয়ার সাইকেলই ইমপ্লান্টটিকে সাময়িকভাবে ব্যাহত করতে পারে। সাধারণ শাটডাউন, রিলোড বা রিবুট কমান্ড এটিকে অপসারণ করে না। গবেষকরা ফায়ারস্টারটার এবং রে ইনিশিয়েটর নামে পরিচিত একটি পূর্ববর্তী বুটকিটের মধ্যে সাদৃশ্যও লক্ষ্য করেছেন।

লিনা হুকিংয়ের মাধ্যমে গভীর সিস্টেম ম্যানিপুলেশন

তদন্তকারীরা দেখেছেন যে FIRESTARTER, Cisco ASA নেটওয়ার্ক প্রসেসিং এবং নিরাপত্তা কার্যক্রমের জন্য দায়ী মূল ইঞ্জিন LINA-এর ভেতরে একটি হুক প্রবেশ করানোর চেষ্টা করে। এই কৌশলের মাধ্যমে আক্রমণকারীরা স্বাভাবিক কার্যকারিতা ব্যাহত করতে পারে এবং তথাকথিত 'ম্যাজিক প্যাকেট' সম্বলিত বিশেষভাবে তৈরি WebVPN প্রমাণীকরণ অনুরোধের মাধ্যমে পাঠানো যথেচ্ছ শেলকোড কার্যকর করতে পারে।

এই ব্যবস্থাটি দুর্বলতাগুলো সংশোধন করার পরেও ক্ষতিকর কার্যকলাপ অব্যাহত রাখতে সক্ষম করে।

লাইন ভাইপার টুলকিট আক্রমণকারীর সক্ষমতা প্রসারিত করে

একই ঘটনা চলাকালীন, অপারেটররা LINE VIPER নামক একটি পোস্ট-এক্সপ্লয়টেশন ফ্রেমওয়ার্ক মোতায়েন করে, যা আক্রান্ত পরিবেশের উপর নিয়ন্ত্রণ উল্লেখযোগ্যভাবে বাড়িয়ে দেয়। টুলকিটটিকে নিম্নলিখিত কাজগুলো করতে দেখা গেছে:

• CLI কমান্ড কার্যকর করা
• নেটওয়ার্ক ট্র্যাফিক ক্যাপচার করা
• আক্রমণকারী-নিয়ন্ত্রিত ডিভাইসগুলির জন্য ভিপিএন প্রমাণীকরণ, অনুমোদন এবং অ্যাকাউন্টিং (AAA) বাইপাস করা
• সিস্টেম লগ অ্যালার্ট দমন করা
• হার্ভেস্টিং অ্যাডমিনিস্ট্রেটর সিএলআই কার্যকলাপ
• বিলম্বিত সিস্টেম রিবুট বাধ্য করা

প্রাপ্ত তথ্য অনুযায়ী, LINE VIPER কর্তৃক প্রদত্ত উন্নততর সুযোগ-সুবিধা ২৫ সেপ্টেম্বর, ২০২৫-এর আগে FIRESTARTER স্থাপনের পথ প্রশস্ত করেছিল। আক্রমণকারীরা গত মাসেই ডিভাইসটিতে পুনরায় প্রবেশ করতে সক্ষম হয়েছিল।

বৃহত্তর গুপ্তচরবৃত্তি কার্যক্রমের সাথে সংযোগ

UAT4356, যা Storm-1849 নামেও পরিচিত, এর অধীনে সংঘটিত কার্যকলাপ পর্যবেক্ষণকারী গবেষকরা এই কার্যক্রমকে পূর্ববর্তী অভিযানগুলোর সাথে সংযুক্ত করেছেন। ২০২৪ সালের মে মাসের পূর্ববর্তী মূল্যায়নগুলোতে চীনের সাথে সম্ভাব্য সংযোগের ইঙ্গিত দেওয়া হয়েছিল।

এই ক্লাস্টারটি পূর্বে ArcaneDoor-এর সাথে যুক্ত ছিল, যা ছিল এমন একটি অভিযান যা সিসকোর দুটি জিরো-ডে দুর্বলতাকে কাজে লাগিয়ে গোয়েন্দাগিরি এবং নেটওয়ার্ক ট্র্যাফিক আড়িপাতার জন্য ব্যবহৃত কাস্টম ম্যালওয়্যার স্থাপন করেছিল।

ক্ষতিগ্রস্ত সংস্থাগুলির জন্য গুরুত্বপূর্ণ প্রতিকারমূলক ব্যবস্থা

নিরাপত্তা বিশেষজ্ঞরা জোরালোভাবে পরামর্শ দিচ্ছেন যে, Cisco Secure ASA বা Firepower Threat Defense (FTD) প্ল্যাটফর্ম সম্পর্কিত যেকোনো নিশ্চিত নিরাপত্তা লঙ্ঘনকে সম্পূর্ণ আস্থার ব্যর্থতা হিসেবে বিবেচনা করা উচিত। বিদ্যমান ডিভাইস কনফিগারেশনগুলোকে অবিশ্বস্ত বলে গণ্য করা উচিত।

FIRESTARTER সম্পূর্ণরূপে নির্মূল করতে, প্রতিষ্ঠানগুলোর উচিত ক্ষতিগ্রস্ত ডিভাইসগুলোকে রিইমেজ করা এবং সিসকোর ফিক্সড সফটওয়্যার রিলিজে আপগ্রেড করা। রিইমেজিং সম্পন্ন না হওয়া পর্যন্ত, অ্যাপ্লায়েন্সটির পাওয়ার সংযোগ বিচ্ছিন্ন করে পুনরায় সংযোগ দিয়ে একটি কোল্ড রিস্টার্ট করার পরামর্শ দেওয়া হয়, কারণ সফটওয়্যার-ভিত্তিক রিবুট কমান্ড এই স্থায়ী ইমপ্লান্টটি অপসারণ করতে পারবে না।