গোল্ডেনজ্যাকাল হুমকি অভিনেতা
গোল্ডেনজ্যাকাল নামে পরিচিত একজন স্বল্প পরিচিত হুমকি অভিনেতা দুটি স্বতন্ত্র কাস্টম টুলসেটের মাধ্যমে এয়ার-গ্যাপড সিস্টেমগুলিকে লঙ্ঘন করার অভিপ্রায়ে দূতাবাস এবং সরকারী সংস্থাগুলিকে লক্ষ্য করে সাইবার আক্রমণের একটি সিরিজের সাথে যুক্ত।
লক্ষ্যগুলির মধ্যে রয়েছে বেলারুশে অবস্থিত একটি দক্ষিণ এশিয়ার দূতাবাস এবং ইউরোপীয় ইউনিয়নের (ইইউ) মধ্যে একটি সরকারী সংস্থা। গোল্ডেনজ্যাকলের প্রাথমিক উদ্দেশ্য সংবেদনশীল তথ্য চুরি করা বলে মনে হয়, বিশেষ করে হাই-প্রোফাইল সিস্টেম থেকে যা ইন্টারনেট থেকে সংযোগ বিচ্ছিন্ন থাকতে পারে।
সুচিপত্র
গোল্ডেনজ্যাকাল কয়েক বছর ধরে সক্রিয়
গোল্ডেনজ্যাকালকে 2023 সালের মে মাসে প্রথম শনাক্ত করা হয়েছিল, যখন গবেষকরা মধ্যপ্রাচ্য এবং দক্ষিণ এশিয়ার কূটনৈতিক এবং সরকারী সংস্থাগুলিকে লক্ষ্য করে হুমকি ক্লাস্টারের আক্রমণের কথা জানিয়েছেন। গোষ্ঠীর অপারেশনগুলি অন্তত 2019-এ চিহ্নিত করা যেতে পারে। এই অনুপ্রবেশগুলির একটি উল্লেখযোগ্য দিক হল জ্যাকালওয়ার্ম নামে পরিচিত একটি কীট স্থাপন করা, যা সংযুক্ত ইউএসবি ড্রাইভগুলিকে সংক্রামিত করতে পারে এবং জ্যাকালকন্ট্রোল হিসাবে উল্লেখ করা একটি ট্রোজান সরবরাহ করতে পারে।
যদিও নির্দিষ্টভাবে এই ক্রিয়াকলাপগুলিকে একটি নির্দিষ্ট জাতি-রাষ্ট্রের হুমকির সাথে যুক্ত করার জন্য যথেষ্ট প্রমাণ নেই, কিছু কৌশলগত মিল রয়েছে যা তুর্লা এবং মাউস্ট্যাচেডবাউন্সারকে দায়ী করা প্রচারাভিযানে ব্যবহৃত দূষিত সরঞ্জামগুলির সাথে রয়েছে, যার পরবর্তীটি বেলারুশের বিদেশী দূতাবাসগুলিতেও দৃষ্টি নিবদ্ধ করেছে।
একাধিক ম্যালওয়্যার হুমকি GoldenJackal দ্বারা স্থাপন করা হয়েছে
তথ্য সুরক্ষা বিশেষজ্ঞরা আগস্ট এবং সেপ্টেম্বর 2019 এর মধ্যে বেলারুশের একটি দক্ষিণ এশীয় দূতাবাসে গোল্ডেনজ্যাকালের সাথে যুক্ত নিদর্শনগুলি শনাক্ত করেছেন, জুলাই 2021 সালে আরও আবিষ্কারের সাথে। উল্লেখযোগ্যভাবে, হুমকি অভিনেতা সফলভাবে মে 2022 থেকে মার্চের মধ্যে ইউরোপীয় ইউনিয়ন সরকারের একটি সত্তার বিরুদ্ধে সম্পূর্ণ আপডেট করা টুলসেট স্থাপন করেছিলেন। 2024।
পাঁচ বছর ধরে এয়ার-গ্যাপড সিস্টেমের সাথে আপস করার জন্য বিশেষভাবে ডিজাইন করা দুটি স্বতন্ত্র টুলসেট বিকাশ এবং স্থাপনে পরিশীলিততা প্রদর্শন করেছে গ্রুপের সম্পদপূর্ণতাকে তুলে ধরে।
বেলারুশের দক্ষিণ এশীয় দূতাবাসে হামলার জন্য জ্যাকালকন্ট্রোল, জ্যাক্যালস্টিল এবং জ্যাকালওয়ার্মের পাশাপাশি তিনটি ভিন্ন ম্যালওয়্যার পরিবারকে ব্যবহার করা হয়েছে:
- গোল্ডেনডিলার, যা আপস করা ইউএসবি ড্রাইভের মাধ্যমে এয়ার-গ্যাপড সিস্টেমে এক্সিকিউটেবল সরবরাহের সুবিধা দেয়।
- GoldenHowl, একটি মডুলার ব্যাকডোর ফাইল চুরি করতে সক্ষম, নির্ধারিত কাজ তৈরি করতে, দূরবর্তী সার্ভারে এবং থেকে ফাইল আপলোড এবং ডাউনলোড করতে এবং একটি SSH টানেল স্থাপন করতে পারে।
- GoldenRobo, ফাইল সংগ্রহ এবং ডেটা এক্সফিল্ট্রেশনের জন্য ডিজাইন করা একটি টুল।
আক্রমণে ব্যবহৃত হুমকির টুলের নতুন সেট
বিপরীতে, ইউরোপের নামহীন সরকারী সংস্থাকে লক্ষ্য করে আক্রমণগুলি প্রাথমিকভাবে Go-তে লেখা ম্যালওয়্যার সরঞ্জামগুলির একটি সম্পূর্ণ নতুন স্যুট নিয়োগ করেছে। এই টুলগুলি ইউএসবি ড্রাইভ থেকে ফাইল সংগ্রহ করতে, ইউএসবি ড্রাইভের মাধ্যমে ম্যালওয়্যার প্রচার করতে, ডেটা এক্সফিল্ট্রেট করার জন্য এবং নির্দিষ্ট মেশিন সার্ভারগুলিকে অন্যান্য হোস্টে পেলোড বিতরণ করার জন্য স্টেজিং সার্ভার হিসাবে ব্যবহার করার জন্য ডিজাইন করা হয়েছে:
- GoldenUsbCopy এবং এর বর্ধিত উত্তরসূরী, GoldenUsbGo, যা ইউএসবি ড্রাইভ নিরীক্ষণ করে এবং এক্সফিল্ট্রেশনের জন্য ফাইল কপি করে।
- GoldenAce, যা ইউএসবি ড্রাইভের মাধ্যমে অন্যান্য সিস্টেমে (অগত্যা এয়ার-গ্যাপড নয়) JackalWorm-এর একটি হালকা সংস্করণ সহ ম্যালওয়্যার ছড়িয়ে দিতে ব্যবহৃত হয়।
- গোল্ডেনব্ল্যাকলিস্ট এবং এর পাইথন ভেরিয়েন্ট, গোল্ডেনপাইব্ল্যাকলিস্ট, যা ভবিষ্যত বহিষ্কারের জন্য আগ্রহের ইমেল বার্তাগুলিকে প্রক্রিয়া করে।
- GoldenMailer, যা ইমেলের মাধ্যমে আক্রমণকারীদের কাছে সংগ্রহ করা ডেটা পাঠায়।
- গোল্ডেনড্রাইভ, যা সংগ্রহ করা তথ্য Google ড্রাইভে আপলোড করে।
বর্তমানে, গোল্ডেনজ্যাকাল প্রাথমিকভাবে লক্ষ্য পরিবেশের সাথে কিভাবে আপস করে তা এখনও অস্পষ্ট। যাইহোক, গবেষকরা পূর্বে পরামর্শ দিয়েছেন যে ট্রোজানাইজড স্কাইপ ইনস্টলার এবং দূষিত মাইক্রোসফ্ট ওয়ার্ড ডকুমেন্টগুলি সম্ভাব্য এন্ট্রি পয়েন্ট হিসাবে কাজ করতে পারে।
কিভাবে GoldenJackal আক্রমণ এগিয়ে?
গোল্ডেনডিলার, একবার একটি অজ্ঞাত পদ্ধতির মাধ্যমে একটি ইন্টারনেট-সংযুক্ত কম্পিউটারে ইনস্টল করা হলে, একটি USB ড্রাইভ ঢোকানো হলে সক্রিয় হয়৷ এই ক্রিয়াটির ফলে অপসারণযোগ্য ডিভাইসে নিজের এবং একটি অজানা কীট উপাদান অনুলিপি করা হয়। এটি বিশ্বাস করা হয় যে এই অজানা উপাদানটি কার্যকর হয় যখন সংক্রামিত ইউএসবি ড্রাইভ একটি এয়ার-গ্যাপড সিস্টেমের সাথে সংযুক্ত থাকে, যার পরে গোল্ডেনডিলার মেশিন সম্পর্কে তথ্য সংগ্রহ করে এবং এটি USB ড্রাইভে সংরক্ষণ করে।
ইউএসবি ডিভাইসটি ইন্টারনেট-সংযুক্ত কম্পিউটারে পুনরায় প্রবেশ করানো হলে, গোল্ডেনডিলার ড্রাইভে সংরক্ষিত তথ্য একটি বাহ্যিক সার্ভারে স্থানান্তর করে, যা তারপরে বায়ু-গ্যাপড সিস্টেমে কার্যকর করার জন্য উপযুক্ত পেলোডগুলি ফেরত পাঠায়। ইউএসবি ড্রাইভে ডাউনলোড করা এক্সিকিউটেবল কপি করার জন্যও ম্যালওয়্যার দায়ী। চূড়ান্ত পর্যায়ে, যখন ডিভাইসটি আবার এয়ার-গ্যাপড মেশিনের সাথে সংযুক্ত হয়, গোল্ডেনডিলার কপি করা এক্সিকিউটেবলগুলি চালায়।
উপরন্তু, GoldenRobo ইন্টারনেট-সংযুক্ত পিসিতে চলে, যা USB ড্রাইভ থেকে ফাইল পুনরুদ্ধার করতে এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভারে পাঠাতে ডিজাইন করা হয়েছে। এই ম্যালওয়্যারটি, Go-তে বিকশিত হয়েছে, এর নামটি রোবোকপি নামক একটি বৈধ উইন্ডোজ ইউটিলিটি থেকে এসেছে, যা এটি ফাইল স্থানান্তর করতে ব্যবহার করে।
এখন পর্যন্ত, গবেষকরা এয়ার-গ্যাপড কম্পিউটার থেকে ইউএসবি ড্রাইভে ফাইল স্থানান্তর করার জন্য দায়ী একটি পৃথক মডিউল সনাক্ত করতে পারেননি।
মাত্র পাঁচ বছরের মধ্যে এয়ার-গ্যাপড নেটওয়ার্কের সাথে আপস করার জন্য দুটি স্বতন্ত্র টুলসেট স্থাপন করার ক্ষমতা দেখায় যে গোল্ডেনজ্যাকাল একটি অত্যাধুনিক হুমকি অভিনেতা যে তার লক্ষ্যগুলির দ্বারা নিযুক্ত নেটওয়ার্ক বিভাজন কৌশলগুলি বোঝে।
