হাইটাসরাট

সাইবারসিকিউরিটি বিশেষজ্ঞরা একটি পূর্বে অজানা আক্রমণ অভিযান আবিষ্কার করেছেন যাতে আপোসকৃত রাউটার জড়িত। 'হায়াটাস' নামে পরিচিত ক্যাম্পেইনটি জটিল এবং বিজনেস-গ্রেড রাউটারকে লক্ষ্য করে। এটি দুটি আপসযুক্ত বাইনারি স্থাপন করে, যার মধ্যে একটি রিমোট অ্যাকসেস ট্রোজান (RAT) 'HiatusRAT' এবং tcpdump এর একটি রূপ যা লক্ষ্য ডিভাইসে প্যাকেট ক্যাপচার করতে পারে। হুমকিমূলক প্রচারণা এবং জড়িত ম্যালওয়্যার সম্পর্কে বিশদ একটি নিরাপত্তা গবেষকের একটি প্রতিবেদনে প্রকাশ করা হয়েছে

একবার টার্গেট করা সিস্টেমগুলি সংক্রামিত হলে, HiatusRAT হুমকি অভিনেতাকে ডিভাইসগুলির সাথে দূরবর্তীভাবে যোগাযোগ করতে দেয়। এটি পূর্বনির্মাণ কার্যকারিতা ব্যবহার করে যা হুমকি অভিনেতার জন্য আপোসকৃত মেশিনগুলিকে একটি গোপন প্রক্সিতে রূপান্তর করতে অত্যন্ত অস্বাভাবিক। প্যাকেট-ক্যাপচার বাইনারি হুমকি অভিনেতাদের ইমেল এবং ফাইল-ট্রান্সফার যোগাযোগের সাথে যুক্ত পোর্টে রাউটার ট্র্যাফিক নিরীক্ষণ করতে দেয়, কার্যকরভাবে তাদের গোপনীয় তথ্য চুরি করার ক্ষমতা দেয়।

আক্রমণকারীরা জীবনের শেষ বিজনেস রাউটারকে টার্গেট করে

হায়াটাস নামে পরিচিত এই প্রচারাভিযানটি জীবনের শেষ-কালের DrayTek Vigor মডেল 2960 এবং 3900 কে লক্ষ্য করে যা একটি i386 আর্কিটেকচারে কাজ করে। যাইহোক, ইনফোসেক গবেষকরা পূর্বনির্মাণ বাইনারিগুলিও পর্যবেক্ষণ করেছেন যা MIPS, i386 এবং ARM-ভিত্তিক আর্কিটেকচারকেও লক্ষ্য করে। এই রাউটারগুলি সাধারণত মাঝারি আকারের ব্যবসার দ্বারা ব্যবহৃত হয় এবং শত শত দূরবর্তী কর্মীদের জন্য VPN সংযোগ সমর্থন করতে পারে।

সন্দেহ করা হয় যে প্রচারণার পিছনে হুমকি অভিনেতারা তথ্য সংগ্রহের জন্য আগ্রহের লক্ষ্যগুলিকে সংক্রামিত করে এবং একটি গোপন প্রক্সি নেটওয়ার্ক স্থাপনের সুযোগগুলিকে লক্ষ্য করে। প্রচারাভিযানের তিনটি প্রধান উপাদান রয়েছে: একটি ব্যাশ স্ক্রিপ্ট স্থাপন করা পোস্ট-শোষণ, দুটি এক্সিকিউটেবল ব্যাশ স্ক্রিপ্ট দ্বারা পুনরুদ্ধার করা হয়েছে - HiatusRAT এবং tcpdump এর একটি রূপ যা প্যাকেট ক্যাপচার সক্ষম করে।

বিশ্লেষণের পরে, এটি পাওয়া গেছে যে HiatusRAT দুটি প্রাথমিক উদ্দেশ্য পরিবেশন করে। প্রথমত, এটি অভিনেতাকে প্রভাবিত ডিভাইসের সাথে দূরবর্তীভাবে ইন্টারঅ্যাক্ট করতে দেয়, তাদের ফাইল ডাউনলোড করতে বা নির্বিচারে কমান্ড চালাতে সক্ষম করে। দ্বিতীয়ত, এটি রাউটারে একটি SOCKS5 প্রক্সি ডিভাইস হিসাবে কাজ করতে পারে। এটি সম্ভবত রাউটারের মাধ্যমে প্রক্সি করার জন্য কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) ট্র্যাফিকের সুবিধার্থে ব্যবহৃত হয় যাতে এটি অন্য কোথাও অতিরিক্ত এজেন্টের কাছ থেকে অস্পষ্ট হয়।

হাইটুসরাটে পাওয়া হুমকির ক্ষমতা

আক্রমণটি একটি ব্যাশ স্ক্রিপ্ট স্থাপনের মাধ্যমে শুরু হয় যা RAT ম্যালওয়্যার ডাউনলোড এবং কার্যকর করে, এটিকে আপস করা রাউটার থেকে সিস্টেম, নেটওয়ার্ক, ফাইল সিস্টেম এবং প্রক্রিয়া ডেটা সংগ্রহ করার অনুমতি দেয়।

HiatusRAT প্রতি 8 ঘন্টায় একটি কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ স্থাপন করে এবং সফল হলে আক্রমণকারীদের সংক্রামিত ডিভাইসের তত্ত্বাবধানে দূরবর্তী অ্যাক্সেস দেয়। রিভার্স ইঞ্জিনিয়ারিং বিশ্লেষণে ম্যালওয়্যারের বেশ কিছু অত্যন্ত বিপজ্জনক বৈশিষ্ট্য প্রকাশ করা হয়েছে, যার মধ্যে রয়েছে সংক্রামিত ডিভাইসে রিমোট শেল তৈরি করা, C2 সার্ভারে ফাইল পড়া/মুছে ফেলা/এক্সফিলট্রেট করা, C2 সার্ভার থেকে ফাইল আনা ও এক্সিকিউট করা, C2 সার্ভার থেকে স্ক্রিপ্ট এক্সিকিউট করা, TCP ডেটা ট্রান্সমিট করা। লঙ্ঘিত রাউটারগুলিতে সেট আপ করা SOCKS v5 প্রক্সিগুলির মাধ্যমে ফরওয়ার্ডিং অবস্থানগুলিতে সেট করে। যদি আক্রমণকারীরা তা করার সিদ্ধান্ত নেয়, তাহলে তারা হুমকিকে নিজেই শেষ করার নির্দেশ দিতে পারে।

উপরন্তু, আক্রমণকারীরা সংক্রামিত রাউটারের মাধ্যমে অন্যান্য লঙ্ঘিত ডিভাইস থেকে ডেটা সরাতে SOCKS v5 প্রক্সি ব্যবহার করে। এটি অস্পষ্ট নেটওয়ার্ক ডেটা এবং বৈধ ক্রিয়াগুলি অনুকরণ করতে সহায়তা করে৷ সংস্থাগুলিকে এই হুমকি সম্পর্কে সচেতন হওয়া উচিত এবং এই ধরনের আক্রমণের বিরুদ্ধে তাদের নেটওয়ার্কগুলিকে সুরক্ষিত করার ব্যবস্থা নেওয়া উচিত৷