হর্স শেল ম্যালওয়্যার
"ক্যামারো ড্রাগন" নামে পরিচিত একটি হ্যাকিং গ্রুপ, যা চীন দ্বারা রাষ্ট্র-স্পন্সর বলে বিশ্বাস করা হয়, আবাসিক টিপি-লিংক রাউটারগুলিকে হর্স শেল নামে একটি কাস্টম ম্যালওয়্যার দ্বারা সংক্রামিত করতে দেখা গেছে। এই আক্রমণ প্রচারণা বিশেষভাবে ইউরোপীয় বিদেশী বিষয়ক সংস্থাগুলিকে লক্ষ্য করে।
হ্যাকাররা এই ব্যাকডোর ম্যালওয়্যারটি টিপি-লিঙ্ক রাউটারের জন্য তৈরি কাস্টমাইজড এবং হুমকিমূলক ফার্মওয়্যারের মাধ্যমে স্থাপন করে। এটি করার মাধ্যমে, তারা এমন আক্রমণ চালাতে পারে যা আবাসিক নেটওয়ার্ক থেকে উদ্ভূত বলে মনে হয়।
এই ধরনের আক্রমণ নিয়মিত আবাসিক এবং হোম নেটওয়ার্ককে লক্ষ্য করে। অতএব, একটি হোম রাউটারের সংক্রমণ অগত্যা নির্দেশ করে না যে বাড়ির মালিকরা একটি নির্দিষ্ট লক্ষ্য ছিল; বরং, তাদের ডিভাইস আক্রমণকারীদের তাদের লক্ষ্য অর্জনের পথ সহজতর করে।
একবার ম্যালওয়্যার স্থাপন করা হলে, হুমকি অভিনেতারা সংক্রামিত ডিভাইসে সম্পূর্ণ অ্যাক্সেস লাভ করে। এর মধ্যে রয়েছে শেল কমান্ড চালানো, ফাইল আপলোড এবং ডাউনলোড করার ক্ষমতা এবং ডিভাইসগুলির মধ্যে যোগাযোগের সুবিধার্থে SOCKS প্রক্সি হিসাবে রাউটার ব্যবহার করা।
গবেষণাটি জানুয়ারী 2023-এ Horse Shell TP-Link ফার্মওয়্যার ইমপ্লান্ট আবিষ্কার করেছে। তারা দেখেছে যে হ্যাকারদের কার্যকলাপ অন্য চীনা হ্যাকিং গ্রুপের সাথে ওভারল্যাপ করে যা Mustang Panda নামে পরিচিত, কিন্তু তারা আলাদা ক্যামারো ড্রাগন নামে হুমকি অভিনেতাদের ট্র্যাক করছে।
হর্স শেল অনিরাপদ টিপি-লিঙ্ক ফার্মওয়্যারের মাধ্যমে স্থাপন করা হয়
সাইবারসিকিউরিটি গবেষকদের ফলাফল অনুসারে, আক্রমণকারীরা একটি হুমকিমূলক ফার্মওয়্যার ইমেজ প্রবর্তন করে টিপি-লিঙ্ক রাউটারগুলিকে সংক্রামিত করে। এটি রাউটারের সফ্টওয়্যারের দুর্বলতাগুলিকে কাজে লাগিয়ে বা ব্রুট-ফোর্স পদ্ধতির মাধ্যমে প্রশাসকের শংসাপত্র অনুমান করার চেষ্টা করে অর্জন করা হতে পারে।
হুমকি অভিনেতা রাউটারের ম্যানেজমেন্ট ইন্টারফেসে প্রশাসনিক অ্যাক্সেস লাভ করার পরে, তারা হর্স শেল ম্যালওয়্যার ধারণকারী কাস্টম ফার্মওয়্যার ইমেজ সহ ডিভাইসটিকে দূরবর্তীভাবে আপডেট করার ক্ষমতা রাখে।
TP-Link রাউটারগুলির জন্য বিশেষভাবে ডিজাইন করা ট্রোজানাইজড ফার্মওয়্যার ইমেজের দুটি নমুনা এখনও পর্যন্ত আবিষ্কৃত হয়েছে। এই ক্ষতিকারক ফার্মওয়্যার সংস্করণগুলিতে মূল ফাইলগুলিতে ব্যাপক পরিবর্তন এবং সংযোজন রয়েছে৷
টেম্পার করা TP-Link ফার্মওয়্যারকে একটি বৈধ সংস্করণের সাথে তুলনা করে, বিশেষজ্ঞরা খুঁজে পেয়েছেন যে কার্নেল এবং uBoot বিভাগগুলি অভিন্ন। যাইহোক, অনিরাপদ ফার্মওয়্যারটি একটি কাস্টম স্কোয়াশএফএস ফাইল সিস্টেমকে অন্তর্ভুক্ত করেছে যাতে হর্স শেল ব্যাকডোর ইমপ্লান্টের সাথে যুক্ত অতিরিক্ত দূষিত ফাইল উপাদান রয়েছে। উপরন্তু, অনিরাপদ ফার্মওয়্যার ব্যবস্থাপনা ওয়েব প্যানেলকেও পরিবর্তন করে, কার্যকরভাবে ডিভাইসের মালিককে রাউটারে একটি নতুন ফার্মওয়্যার ইমেজ ফ্ল্যাশ করা থেকে প্রতিরোধ করে এবং সেইসাথে সংক্রমণের স্থিরতা নিশ্চিত করে।
হর্স শেল ইমপ্লান্টের ক্ষতিকারক ক্ষমতা
একবার হর্স শেল ব্যাকডোর ইমপ্লান্ট সক্রিয় হয়ে গেলে, এটি এর স্থিরতা এবং গোপন অপারেশন নিশ্চিত করতে বিভিন্ন কৌশল নিযুক্ত করে। প্রথমত, এটি অপারেটিং সিস্টেমকে নির্দেশ দেয় যে কিছু নির্দিষ্ট কমান্ড, যেমন SIGPIPE, SIGIN বা SIGABRT জারি করা হলে তার প্রক্রিয়াটি বন্ধ না করা। উপরন্তু, এটি নিজেকে একটি ডেমনে রূপান্তরিত করে, এটিকে পটভূমিতে নীরবে চালানোর অনুমতি দেয়।
এর পরে, ব্যাকডোরটি অপারেশনের কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে একটি সংযোগ স্থাপন করে। এটি শিকারের মেশিন প্রোফাইল পাঠায়, যার মধ্যে ব্যবহারকারীর নাম, অপারেটিং সিস্টেম সংস্করণ, ডিভাইসের বিবরণ, আইপি ঠিকানা, MAC ঠিকানা এবং ইমপ্লান্টের সমর্থিত বৈশিষ্ট্যগুলির মতো তথ্য অন্তর্ভুক্ত থাকে।
সেটআপ পর্ব শেষ করার পর, হর্স শেল ধৈর্য সহকারে C2 সার্ভার থেকে নির্দেশাবলীর জন্য অপেক্ষা করছে। এটি তিনটি নির্দিষ্ট আদেশের জন্য শোনে:
- একটি দূরবর্তী শেল শুরু করুন: এই কমান্ড হুমকি অভিনেতাদের আপোসকৃত ডিভাইসে সম্পূর্ণ অ্যাক্সেস প্রদান করে, তাদের কমান্ড কার্যকর করতে এবং অনিরাপদ ক্রিয়াকলাপ চালাতে সক্ষম করে।
- ফাইল স্থানান্তর কার্যক্রম সম্পাদন করুন: ব্যাকডোর ফাইল আপলোড এবং ডাউনলোড, মৌলিক ফাইল ম্যানিপুলেশন, এবং ডিরেক্টরি গণনা সহজতর করে, হুমকি অভিনেতাদের আপস করা ডিভাইসে ডেটা ম্যানিপুলেট করার অনুমতি দেয়।
- টানেলিং শুরু করুন: হর্স শেল নেটওয়ার্ক ট্র্যাফিকের গন্তব্য এবং উত্সকে অস্পষ্ট করতে টানেলিং শুরু করতে পারে। C2 সার্ভারের ঠিকানা লুকিয়ে রেখে, এই কৌশলটি আক্রমণকারীদের ক্রিয়াকলাপের গোপনীয়তা বজায় রাখতে সাহায্য করে।
গবেষকরা নোট করেছেন যে হর্স শেল ফার্মওয়্যার ইমপ্লান্ট একটি স্বতন্ত্র ধরণের ফার্মওয়্যারের মধ্যে সীমাবদ্ধ নয় তবে ফার্মওয়্যার-অজ্ঞেয়বাদী। অতএব, তাত্ত্বিকভাবে, এটি বিভিন্ন বিক্রেতাদের রাউটারগুলির জন্য ফার্মওয়্যার চিত্রগুলিতে সম্ভাব্যভাবে ব্যবহার করা যেতে পারে।
রাষ্ট্র-স্পন্সরড হ্যাকারদের দ্বারা খারাপভাবে সুরক্ষিত রাউটারগুলিকে টার্গেট করা আশ্চর্যজনক নয়। ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণ বা ক্রিপ্টো-মাইনিং অপারেশনের মতো ক্রিয়াকলাপের জন্য রাউটারগুলিকে প্রায়শই বটনেট দ্বারা লক্ষ্য করা হয়। এই আক্রমণগুলি রাউটারের প্রায়ই উপেক্ষা করা নিরাপত্তা ব্যবস্থার সুবিধা নেয়, যার ফলে আপোসকৃত ডিভাইসগুলি আক্রমণকারীর উত্সকে অস্পষ্ট করে ক্ষতিকারক কার্যকলাপের জন্য অস্পষ্ট লঞ্চপ্যাড হিসাবে কাজ করতে দেয়।
