কুখ্যাত চিসেল মোবাইল ম্যালওয়্যার

রাশিয়ান ফেডারেশন আর্মড ফোর্সের জেনারেল স্টাফের প্রধান অধিদপ্তরের সাথে যুক্ত সাইবার অপারেটিভরা, সাধারণভাবে GRU নামে পরিচিত, ইউক্রেনের মধ্যে অ্যান্ড্রয়েড ডিভাইসগুলিকে লক্ষ্য করে একটি লক্ষ্যযুক্ত প্রচারণা শুরু করেছে৷ এই আক্রমণে তাদের পছন্দের অস্ত্র হল সম্প্রতি আবিষ্কৃত এবং অশুভ হুমকির টুলকিট যার নাম 'কুখ্যাত চিসেল'।

এই বাজে ফ্রেমওয়ার্ক দ্য অনিয়ন রাউটার (টর) নেটওয়ার্কের মধ্যে একটি গোপন পরিষেবার মাধ্যমে লক্ষ্যযুক্ত ডিভাইসগুলিতে হ্যাকারদের ব্যাকডোর অ্যাক্সেস প্রদান করে। এই পরিষেবাটি আক্রমণকারীদের স্থানীয় ফাইলগুলি স্ক্যান করার, নেটওয়ার্ক ট্র্যাফিককে বাধা দেওয়ার এবং সংবেদনশীল ডেটা বের করার ক্ষমতা দেয়৷

ইউক্রেনীয় সিকিউরিটি সার্ভিস (এসএসইউ) সর্বপ্রথম হুমকির সম্বন্ধে এলার্ম বাজিয়েছিল, এই ম্যালওয়্যার ব্যবহার করে স্যান্ডওয়ার্ম হ্যাকিং গ্রুপের সামরিক কমান্ড সিস্টেমে অনুপ্রবেশের জন্য জনসাধারণকে সতর্ক করে।

পরবর্তীতে, ইউকে ন্যাশনাল সাইবার সিকিউরিটি সেন্টার (এনসিএসসি) এবং ইউএস সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) উভয়ই কুখ্যাত চিসেলের জটিল প্রযুক্তিগত দিকগুলি নিয়ে আলোচনা করেছে। তাদের প্রতিবেদনগুলি এর ক্ষমতার উপর আলোকপাত করে এবং এই সাইবার হুমকির বিরুদ্ধে প্রতিরক্ষা ব্যবস্থা জোরদার করার জন্য অমূল্য অন্তর্দৃষ্টি সরবরাহ করে।

কুখ্যাত চিসেল ক্ষতিকারক ক্ষমতার বিস্তৃত পরিসরের গর্ব করে

কুখ্যাত চিজেল টর নেটওয়ার্কের মাধ্যমে আপস করা অ্যান্ড্রয়েড ডিভাইসগুলির উপর অবিচ্ছিন্ন নিয়ন্ত্রণ স্থাপনের জন্য ডিজাইন করা বেশ কয়েকটি উপাদানের সাথে আপস করা হয়েছে। পর্যায়ক্রমে, এটি সংক্রামিত ডিভাইসগুলি থেকে শিকারের ডেটা সংগ্রহ করে এবং স্থানান্তর করে।

একটি ডিভাইস সফলভাবে অনুপ্রবেশ করার পরে, কেন্দ্রীয় উপাদান, 'netd,' নিয়ন্ত্রণ গ্রহণ করে এবং কমান্ড এবং শেল স্ক্রিপ্টগুলির একটি সেট সম্পাদন করার জন্য প্রস্তুত থাকে। স্থায়ী অধ্যবসায় নিশ্চিত করতে, এটি বৈধ 'নেটডি' অ্যান্ড্রয়েড সিস্টেম বাইনারি প্রতিস্থাপন করে।

এই ম্যালওয়্যারটি বিশেষভাবে অ্যান্ড্রয়েড ডিভাইসগুলির সাথে আপস করার জন্য এবং ইউক্রেনীয় সামরিক বাহিনী সম্পর্কিত তথ্য এবং অ্যাপ্লিকেশনগুলির জন্য সতর্কতার সাথে স্ক্যান করার জন্য ডিজাইন করা হয়েছে৷ সমস্ত অর্জিত ডেটা তারপর অপরাধীর সার্ভারে ফরোয়ার্ড করা হয়।

প্রেরিত ফাইলের ডুপ্লিকেশন রোধ করতে, '.google.index' নামের একটি গোপন ফাইল MD5 হ্যাশ ব্যবহার করে প্রেরিত ডেটার উপর ট্যাব রাখতে। সিস্টেমের ক্ষমতা 16,384 ফাইলে সীমাবদ্ধ, তাই সদৃশ এই থ্রেশহোল্ডের বাইরে বের করা যেতে পারে।

.dat, .bak, .xml, .txt, .ovpn, .xml, wa.db, msgstore.db, .pdf, .xlsx সহ একটি বিস্তৃত তালিকাকে লক্ষ্য করে ফাইল এক্সটেনশনের ক্ষেত্রে কুখ্যাত চিসেল একটি বিস্তৃত নেট তৈরি করে , .csv, .zip, telephony.db, .png, .jpg, .jpeg, .kme, database.hik, database.hik-জার্নাল, ezvizlog.db, cache4.db, contacts2.db, .ocx, .gz , .rar, .tar, .7zip, .zip, .kmz, locksettings.db, mmssms.db, telephony.db, signal.db, mmssms.db, profile.db, accounts.db, PyroMsg.DB, .exe , .kml উপরন্তু, এটি ডিভাইসের অভ্যন্তরীণ মেমরি এবং উপলব্ধ যেকোন SD কার্ডগুলিকে স্ক্যান করে, ডেটার সন্ধানে কোন ছদ্মবেশ রাখে না।

আক্রমণকারীরা সংবেদনশীল তথ্য পেতে কুখ্যাত চিজেল ব্যবহার করতে পারে

কুখ্যাত চিজেল ম্যালওয়্যার অ্যান্ড্রয়েডের /ডেটা/ ডিরেক্টরির মধ্যে একটি ব্যাপক স্ক্যান পরিচালনা করে, গুগল প্রমাণীকরণকারী, ওপেনভিপিএন কানেক্ট, পেপ্যাল, ভাইবার, হোয়াটসঅ্যাপ, সিগন্যাল, টেলিগ্রাম, জিমেইল, ক্রোম, ফায়ারফক্স, ব্রেভ, মাইক্রোসফট ওয়ান ক্লাউড, অ্যান্ড্রয়েড পরিচিতিগুলির মতো অ্যাপ্লিকেশন অনুসন্ধান করে। , এবং অন্যদের একটি অ্যারে।

অধিকন্তু, এই হুমকি সফ্টওয়্যারটি হার্ডওয়্যার তথ্য সংগ্রহ করার এবং খোলা পোর্ট এবং সক্রিয় হোস্ট সনাক্ত করতে লোকাল এরিয়া নেটওয়ার্কে স্ক্যান করার ক্ষমতা রাখে। আক্রমণকারীরা SOCKS এবং একটি SSH সংযোগের মাধ্যমে দূরবর্তী অ্যাক্সেস লাভ করতে পারে, যা এলোমেলোভাবে জেনারেট করা .ONION ডোমেনের মাধ্যমে পুনরায় রুট করা হয়।

ফাইল এবং ডিভাইস ডেটা এক্সফিল্ট্রেশন নিয়মিত বিরতিতে ঘটে, অবিকল প্রতি 86,000 সেকেন্ডে, এক দিনের সমতুল্য। LAN স্ক্যানিং কার্যক্রম প্রতি দুই দিন অন্তর অন্তর সংঘটিত হয়, যখন অত্যন্ত সংবেদনশীল সামরিক তথ্য উত্তোলন 600 সেকেন্ডের ব্যবধানে (প্রতি 10 মিনিটে) অনেক বেশি ঘন ঘন হয়।

উপরন্তু, দূরবর্তী অ্যাক্সেসের সুবিধা প্রদানকারী টর পরিষেবাগুলির কনফিগারেশন এবং সঞ্চালন প্রতি 6,000 সেকেন্ডে ঘটতে নির্ধারিত হয়। নেটওয়ার্ক সংযোগ বজায় রাখার জন্য, ম্যালওয়্যারটি প্রতি 3 মিনিটে 'জিওডাটাটু(ডট)কম' ডোমেনে পরীক্ষা করে।

এটা লক্ষণীয় যে কুখ্যাত চিজেল ম্যালওয়্যার গোপনীয়তাকে অগ্রাধিকার দেয় না; পরিবর্তে, এটি দ্রুত ডেটা অপসারণ এবং দ্রুত আরও মূল্যবান সামরিক নেটওয়ার্কের দিকে অগ্রসর হতে অনেক বেশি আগ্রহী বলে মনে হচ্ছে।