GoGra লিনাক্স ব্যাকডোর
হারভেস্টার নামে পরিচিত হুমকি সৃষ্টিকারী গোষ্ঠীটি তার গোগ্রা ব্যাকডোরের একটি নতুন শনাক্তকৃত লিনাক্স সংস্করণের সাথে যুক্ত হয়েছে, যা তার সাইবার-গুপ্তচরবৃত্তি কার্যক্রমের ক্রমাগত সম্প্রসারণের ইঙ্গিত দেয়। ধারণা করা হয়, এই হামলাগুলো মূলত দক্ষিণ এশিয়ার বিভিন্ন প্রতিষ্ঠানকে লক্ষ্য করে চালানো হয় এবং ফরেনসিক প্রমাণ থেকে এই কার্যকলাপের উৎস হিসেবে ভারত ও আফগানিস্তানকে নির্দেশ করা হচ্ছে। এটি এই অঞ্চলগুলোর সংস্থাগুলোকে লক্ষ্য করে পরিচালিত একটি সুনির্দিষ্ট গোয়েন্দা তথ্য সংগ্রহ অভিযানের ইঙ্গিত দেয়।
সুচিপত্র
বিশ্বস্ত চ্যানেলের মাধ্যমে গোপনীয়তা: ক্লাউড পরিকাঠামোর অপব্যবহার
এই ক্যাম্পেইনের একটি প্রধান বৈশিষ্ট্য হলো গোপন যোগাযোগের জন্য বৈধ ক্লাউড পরিষেবাগুলোর অপব্যবহার। ম্যালওয়্যারটি একটি গোপন কমান্ড-অ্যান্ড-কন্ট্রোল (C2) চ্যানেল হিসেবে মাইক্রোসফট গ্রাফ এপিআই এবং আউটলুক মেইলবক্স ব্যবহার করে। বিশ্বস্ত প্ল্যাটফর্মের মধ্যে ক্ষতিকারক যোগাযোগ স্থাপন করার মাধ্যমে, আক্রমণকারীরা কার্যকরভাবে প্রচলিত নিরাপত্তা ব্যবস্থাগুলোকে এড়িয়ে যায়, ফলে এটিকে শনাক্ত করা উল্লেখযোগ্যভাবে আরও কঠিন হয়ে পড়ে।
গ্রাফন থেকে গোগ্রা: এক হুমকি সৃষ্টিকারীর বিবর্তন
২০২১ সালের শেষের দিকে হারভেস্টার প্রথম জনসমক্ষে আসে, যখন এটি দক্ষিণ এশিয়ার টেলিযোগাযোগ, সরকার এবং তথ্যপ্রযুক্তি খাতকে লক্ষ্য করে পরিচালিত একটি তথ্য চুরির অভিযানের সাথে জড়িত ছিল। সেই পর্যায়ে, দলটি গ্রাফন নামে পরিচিত একটি কাস্টম ইমপ্লান্ট ব্যবহার করে, যা সি২ যোগাযোগের জন্য মাইক্রোসফট গ্রাফ এপিআই-ও কাজে লাগাত।
২০২৪ সালের আগস্টে, আরও কিছু কার্যকলাপের মাধ্যমে এই গোষ্ঠীটিকে অঞ্চলের একটি গণমাধ্যম সংস্থার বিরুদ্ধে পরিচালিত একটি অভিযানের সাথে যুক্ত করা হয়। এই অভিযানের মাধ্যমে GoGra নামক একটি পূর্বে অদেখা Go-ভিত্তিক ব্যাকডোর চালু করা হয়। সাম্প্রতিক তথ্যে নিশ্চিত হওয়া গেছে যে, হারভেস্টার এই সক্ষমতা উইন্ডোজ পরিবেশের বাইরেও প্রসারিত করেছে এবং এখন একই ম্যালওয়্যার পরিবারের একটি লিনাক্স-নির্দিষ্ট সংস্করণ ব্যবহার করছে।
প্রতারণামূলক প্রবেশ: সামাজিক প্রকৌশল এবং বাস্তবায়ন কৌশল
প্রাথমিক সংক্রমণ মূলত সোশ্যাল ইঞ্জিনিয়ারিং কৌশলের উপর নির্ভর করে। ভুক্তভোগীদেরকে পিডিএফ ডকুমেন্টের ছদ্মবেশে থাকা ইএলএফ (ELF) বাইনারি ফাইল খুলতে প্ররোচিত করা হয়। ফাইলটি চালু হয়ে গেলে, ড্রপারটি বৈধতার বিভ্রম বজায় রাখার জন্য একটি নকল ডকুমেন্ট প্রদর্শন করে এবং একই সাথে নীরবে নেপথ্যে ব্যাকডোরটি স্থাপন করে।
কমান্ড-অ্যান্ড-কন্ট্রোল ওয়ার্কফ্লো: নির্ভুলতা এবং স্থায়িত্ব
GoGra-র লিনাক্স সংস্করণটি তার যোগাযোগ কৌশল এবং কার্যপ্রণালীর দিক থেকে উইন্ডোজ সংস্করণেরই অনুরূপ। এটি 'Zomato Pizza' লেবেলযুক্ত একটি নির্দিষ্ট আউটলুক মেইলবক্স ফোল্ডারের সাথে যোগাযোগ করে এবং ওপেন ডেটা প্রোটোকল (OData) কোয়েরির মাধ্যমে প্রতি দুই সেকেন্ডে ফোল্ডারটিকে পোল করে। ম্যালওয়্যারটি আগত বার্তাগুলো পর্যবেক্ষণ করে এবং শুধুমাত্র নির্দিষ্ট শর্ত পূরণকারী বার্তাগুলোকেই প্রক্রিয়াজাত করে।
- যেসব ইমেলের সাবজেক্ট লাইন 'Input' দিয়ে শুরু হয়, সেগুলোকে টাস্কিং ইনস্ট্রাকশন হিসেবে চিহ্নিত করা হয়।
বিভিন্ন প্ল্যাটফর্মে সামঞ্জস্যপূর্ণ উন্নয়নের ছাপ
অপারেটিং সিস্টেম এবং ডেপ্লয়মেন্ট পদ্ধতির ভিন্নতা থাকা সত্ত্বেও, উইন্ডোজ এবং লিনাক্স সংস্করণ দুটির অন্তর্নিহিত C2 আর্কিটেকচার একই থাকে। গবেষকরা উভয় সংস্করণে অভিন্ন হার্ড-কোডেড বানান ভুলও লক্ষ্য করেছেন, যা জোরালোভাবে ইঙ্গিত দেয় যে এই টুলগুলোর পেছনে একই ডেভেলপার বা ডেভেলপমেন্ট টিম রয়েছে।
কৌশলগত প্রভাব: আক্রমণের ক্ষেত্র প্রসারিত করা
লিনাক্স-ভিত্তিক একটি ব্যাকডোরের সংযোজন হারভেস্টারের সক্ষমতা বৈচিত্র্যময় করা এবং পরিচালনগত নমনীয়তা বাড়ানোর চলমান প্রচেষ্টাকেই তুলে ধরে। একাধিক অপারেটিং সিস্টেমকে লক্ষ্যবস্তু করে এবং বিশ্বস্ত ক্লাউড পরিষেবাগুলোকে কাজে লাগিয়ে, এই গোষ্ঠীটি নিজেদের শনাক্তকরণযোগ্যতা বজায় রেখে আরও বিস্তৃত পরিসরের পরিবেশে অনুপ্রবেশ করার জন্য নিজেদের প্রস্তুত করছে।
এই বিবর্তন আধুনিক হুমকি সৃষ্টিকারীদের ক্রমবর্ধমান পরিশীলিত কৌশল এবং অভিযোজনযোগ্য ও আচরণ-ভিত্তিক সাইবার নিরাপত্তা প্রতিরক্ষার প্রয়োজনীয়তাকে তুলে ধরে।
