GoBruteforcer বটনেট আক্রমণ

GoBruteforcer কার্যকলাপের একটি নতুন ঢেউ সক্রিয়ভাবে ক্রিপ্টোকারেন্সি এবং ব্লকচেইন প্রকল্পের সাথে সম্পর্কিত ডেটাবেসগুলিকে লক্ষ্য করে তৈরি হচ্ছে। আক্রমণকারীরা দুর্বল সার্ভারগুলিকে একটি বিতরণকৃত বটনেটে কো-অপ্ট করছে যা লিনাক্স সিস্টেমে FTP, MySQL, PostgreSQL এবং phpMyAdmin সহ সাধারণ পরিষেবাগুলির বিরুদ্ধে বৃহৎ আকারের ব্রুট-ফোর্স আক্রমণ করতে সক্ষম।

এই প্রচারণাটি নির্বিচারে নয়। প্রমাণ দেখায় যে ব্লকচেইন ইকোসিস্টেমের সাথে যুক্ত অবকাঠামোর উপর একটি স্পষ্ট দৃষ্টি নিবদ্ধ করা হয়েছে, যা আর্থিক প্রেরণা এবং এই খাতে দুর্বল সুরক্ষিত উন্নয়ন পরিবেশের প্রাচুর্য উভয়কেই প্রতিফলিত করে।

কেন এই প্রচারণা গতি পাচ্ছে

দুটি অভিন্ন প্রবণতা বর্তমান উত্থানকে আরও বাড়িয়ে তুলছে। প্রথমত, প্রশাসকরা ক্রমবর্ধমানভাবে কৃত্রিম বুদ্ধিমত্তা (AI) দ্বারা তৈরি স্থাপনার নির্দেশিকা এবং সার্ভারের উদাহরণ পুনঃব্যবহার করছেন, যার মধ্যে অনেকগুলি অনলাইন টিউটোরিয়াল এবং ডকুমেন্টেশনে পাওয়া একই দুর্বল ডিফল্ট ব্যবহারকারীর নাম এবং শংসাপত্রের প্রতিলিপি তৈরি করে। দ্বিতীয়ত, লিগ্যাসি ওয়েব স্ট্যাকগুলি, বিশেষ করে XAMPP ইনস্টলেশনগুলি, উন্মুক্ত FTP পরিষেবা এবং প্রশাসনিক ইন্টারফেসের সাথে স্থাপন করা অব্যাহত রয়েছে যার পর্যাপ্ত কঠোরতার অভাব রয়েছে।

একসাথে, এই পরিস্থিতি আক্রমণকারীদের একটি অনুমানযোগ্য এবং উর্বর আক্রমণ পৃষ্ঠ প্রদান করে।

২০২৩ সালের উৎপত্তি থেকে ২০২৫ সালের আরও বিপজ্জনক রূপে

GoBruteforcer, যা GoBrut নামেও পরিচিত, প্রাথমিকভাবে ২০২৩ সালের মার্চ মাসে নথিভুক্ত করা হয়েছিল। প্রাথমিক গবেষণায় x86, x64 এবং ARM আর্কিটেকচার জুড়ে ইউনিক্স-সদৃশ সিস্টেমের জন্য ডিজাইন করা গোল্যাং-ভিত্তিক ম্যালওয়্যার পরিবারের বর্ণনা দেওয়া হয়েছিল। এটি কমান্ড-এন্ড-কন্ট্রোলের জন্য একটি IRC বট স্থাপন করেছিল, স্থায়ী দূরবর্তী অ্যাক্সেসের জন্য একটি ওয়েব শেল ইনস্টল করেছিল এবং অতিরিক্ত দুর্বল হোস্টগুলির জন্য স্ক্যান করার জন্য একটি ব্রুট-ফোর্স মডিউল পুনরুদ্ধার করেছিল।

২০২৫ সালের সেপ্টেম্বরের মধ্যে, গবেষকরা আবিষ্কার করেন যে বটনেটের কিছু অংশ আরেকটি ম্যালওয়্যার স্ট্রেন, সিস্টেমবিসি-এর সাথে একযোগে কাজ করছে, যা ভাগ করা অবকাঠামো বা সমন্বিত নিয়ন্ত্রণ নির্দেশ করে।

২০২৫ সালের মাঝামাঝি সময়ে প্রযুক্তিগতভাবে একটি উল্লেখযোগ্য অগ্রগতি লক্ষ্য করা গেছে। বিশ্লেষকরা আরও উন্নত একটি রূপ চিহ্নিত করেছেন যার মধ্যে গোল্যাং-এ পুনর্লিখিত একটি অত্যন্ত অস্পষ্ট IRC বট, উন্নত স্থায়িত্ব প্রক্রিয়া, প্রক্রিয়া-মাস্কিং ক্ষমতা এবং গতিশীলভাবে পরিচালিত শংসাপত্রের তালিকা রয়েছে যা চাহিদা অনুসারে আপডেট করা যেতে পারে।

AI এবং ডেভেলপার অভ্যাস দ্বারা গঠিত শংসাপত্র কৌশল

ম্যালওয়্যারের ব্রুট-ফোর্স উপাদানটি 'myuser:Abcd@123' বা 'appeaser:admin123456' এর মতো সাধারণ ব্যবহারকারীর নাম এবং পাসওয়ার্ডের সংমিশ্রণের উপর নির্ভর করে। এগুলি এলোমেলো নির্বাচন নয়। অনেকগুলি ডাটাবেস টিউটোরিয়াল, হোস্টিং ডকুমেন্টেশন এবং বিক্রেতার উদাহরণ থেকে উদ্ভূত হয় - এমন উপাদান যা বৃহৎ ভাষা মডেল প্রশিক্ষণ কর্পোরায় ব্যাপকভাবে অন্তর্ভুক্ত করা হয়েছে। ফলস্বরূপ, AI সরঞ্জামগুলি প্রায়শই জেনারেট করা কনফিগারেশন স্নিপেটে একই ডিফল্ট পুনরুত্পাদন করে, অনিচ্ছাকৃতভাবে স্থাপনা জুড়ে দুর্বল শংসাপত্রগুলিকে মানসম্মত করে।

ঘূর্ণন রেফারেন্স ক্রিপ্টোকারেন্সি ওয়ার্কফ্লোতে অতিরিক্ত ব্যবহারকারীর নাম (যেমন 'cryptouser,' 'appcrypto,' 'crypto_app,' এবং 'crypto') অথবা বিশেষভাবে 'root,' 'wordpress,' এবং 'wpuser' সহ phpMyAdmin পরিবেশগুলিকে লক্ষ্য করে।

আক্রমণকারীরা প্রতিটি প্রচারণার জন্য একটি অপেক্ষাকৃত ছোট, স্থিতিশীল পাসওয়ার্ড পুল বজায় রাখে, সেই বেস থেকে প্রতি-টাস্ক তালিকা রিফ্রেশ করে এবং প্রতি সপ্তাহে একাধিকবার ব্যবহারকারীর নাম এবং বিশেষ সংযোজন পরিবর্তন করে। FTP আক্রমণগুলিকে ভিন্নভাবে বিবেচনা করা হয়: bruteforcer বাইনারিটিতে একটি হার্ডকোডেড শংসাপত্র সেট থাকে যা ডিফল্ট ওয়েব-হোস্টিং স্ট্যাক এবং পরিষেবা অ্যাকাউন্টগুলির সাথে ঘনিষ্ঠভাবে ম্যাপ করে।

সংক্রমণ শৃঙ্খল এবং বটনেট ক্ষমতা

পর্যবেক্ষণকৃত অনুপ্রবেশ প্রায়শই XAMPP সার্ভারে ইন্টারনেট-এক্সপোজড FTP পরিষেবা দিয়ে শুরু হয়। অ্যাক্সেস পাওয়ার পরে, আক্রমণকারীরা একটি PHP ওয়েব শেল আপলোড করে। সেই শেলটি হোস্টের আর্কিটেকচারের সাথে মানানসই একটি শেল স্ক্রিপ্টের মাধ্যমে একটি আপডেটেড IRC বট আনতে এবং কার্যকর করতে ব্যবহৃত হয়।

আপোষের পরে, একটি সংক্রামিত সিস্টেমকে বিভিন্ন উপায়ে পুনর্ব্যবহার করা যেতে পারে:

• এটি ইন্টারনেট জুড়ে FTP, MySQL, PostgreSQL, এবং phpMyAdmin পরিষেবাগুলির বিরুদ্ধে লগইন করার চেষ্টা করার জন্য ব্রুট-ফোর্স মডিউল চালায়।
• এটি নতুন ক্ষতিগ্রস্ত মেশিনগুলিতে ক্ষতিকারক পেলোড হোস্ট এবং বিতরণ করে।
• এটি বটনেট স্থিতিস্থাপকতা উন্নত করার জন্য IRC-স্টাইলের কমান্ড-এন্ড-কন্ট্রোল এন্ডপয়েন্ট বা ফলব্যাক C2 সার্ভার হিসাবে ফাংশন প্রদান করে।

ব্লকচেইন-কেন্দ্রিক কার্যক্রমের প্রত্যক্ষ প্রমাণ

আরও তদন্তে দেখা গেছে যে কমপক্ষে একটি আপোস করা সার্ভার TRON ব্লকচেইন ঠিকানার তালিকার মাধ্যমে পুনরাবৃত্তি করার জন্য ডিজাইন করা একটি বিশেষ মডিউল তৈরি করছিল। পাবলিক tronscanapi.com পরিষেবা ব্যবহার করে, ম্যালওয়্যারটি শূন্য-বহির্ভূত তহবিল ধারণকারী ওয়ালেটগুলি সনাক্ত করার জন্য অ্যাকাউন্ট ব্যালেন্স অনুসন্ধান করেছিল। এই ক্ষমতা দৃঢ়ভাবে ইঙ্গিত দেয় যে শুধুমাত্র সুযোগবাদী স্ক্যানিংয়ের পরিবর্তে ব্লকচেইন প্রকল্প এবং ক্রিপ্টো-সম্পর্কিত অবকাঠামোর লক্ষ্যে ইচ্ছাকৃতভাবে পুনর্বিবেচনা করা হয়েছে।

ডিফেন্ডারদের জন্য একটি স্থায়ী শিক্ষা

GoBruteforcer একটি বৃহত্তর, চলমান নিরাপত্তা ব্যর্থতার চিত্র তুলে ধরে: উন্মুক্ত পরিষেবাগুলির বিপজ্জনক ছেদ, দুর্বল বা পুনর্ব্যবহৃত শংসাপত্র এবং ক্রমবর্ধমান স্বয়ংক্রিয় আক্রমণ সরঞ্জাম। যদিও বটনেট নিজেই প্রযুক্তিগতভাবে যুগান্তকারী নয়, এর অপারেটররা এখনও পাবলিক ইন্টারনেটে অ্যাক্সেসযোগ্য ভুল কনফিগার করা সার্ভারের বিশাল পরিমাণ থেকে প্রচুর উপকৃত হয়।

ডিফেন্ডারদের জন্য, এই প্রচারণা একটি পরিচিত কিন্তু গুরুত্বপূর্ণ বার্তাকে আরও জোরদার করে: ডিফল্ট শংসাপত্রগুলি বাদ দিন, প্রশাসনিক ইন্টারফেস সীমাবদ্ধ করুন, লিগ্যাসি স্ট্যাকগুলি অবসর দিন এবং AI-উত্পাদিত স্থাপনার উদাহরণগুলিকে উৎপাদন-প্রস্তুত কনফিগারেশনের পরিবর্তে অবিশ্বস্ত সূচনা পয়েন্ট হিসাবে বিবেচনা করুন।