JDY Botnet

সাইবার নিরাপত্তা গবেষকরা চীন-সমর্থিত ও রাষ্ট্র-পৃষ্ঠপোষক হুমকি সৃষ্টিকারীদের সাথে যুক্ত একটি গোপন নেটওয়ার্ক JDY-এর উল্লেখযোগ্য পুনরুত্থান ও সম্প্রসারণ শনাক্ত করেছেন। মূলত ২০২৩ সালের ডিসেম্বরে বৃহত্তর KV-বটনেট পরিকাঠামোর মধ্যে একটি ক্লাস্টার হিসেবে শনাক্ত হওয়া JDY এখন একটি স্বাধীন ও অত্যন্ত কার্যকর গোয়েন্দা প্ল্যাটফর্মে পরিণত হয়েছে।

এই নেটওয়ার্কটিতে ১,৫০০-এরও বেশি হ্যাক হওয়া স্মল অফিস/হোম অফিস (SOHO) এবং ইন্টারনেট অফ থিংস (IoT) ডিভাইস রয়েছে। সরাসরি আক্রমণের জন্য ব্যবহৃত না হয়ে, JDY একটি কেন্দ্রীয়ভাবে পরিচালিত, উচ্চ-ক্ষমতাসম্পন্ন স্ক্যানিং সিস্টেম হিসেবে কাজ করে, যা বৃহৎ পরিসরে ইন্টারনেটে উন্মুক্ত সার্ভিসগুলোকে শনাক্ত করতে, তাদের ফিঙ্গারপ্রিন্ট তৈরি করতে এবং ক্রমাগত ম্যাপ করতে সক্ষম।

ভোল্ট টাইফুন সহ চীনা হুমকি গোষ্ঠীগুলো অতীতে গোয়েন্দা তথ্য সংগ্রহ এবং লক্ষ্যবস্তু শনাক্তকরণের প্রচেষ্টায় এই নেটওয়ার্কটি ব্যবহার করেছে।

কেভি-বটনেট নিষ্ক্রিয়করণের পর অভিযোজন

২০২৪ সালের শুরুতে মার্কিন সরকার কেভি-বটনেটটি ভেঙে দেওয়ার পর, জেডিওয়াই অপারেটররা তাদের কার্যপ্রণালীতে পরিবর্তন আনে। যদিও একটি দ্বিতীয় কেভি ক্লাস্টার প্রায় অদৃশ্য হয়ে যায়, জেডিওয়াই-এর বিবর্তন ও বিস্তার অব্যাহত থাকে। গবেষকদের ধারণা, এই পরিকাঠামোটি একাধিক চীনা হ্যাকিং গোষ্ঠীর সাথে ভাগ করে নেওয়া হতে পারে এবং একই সাথে এর অপারেটররা সরাসরি গোয়েন্দা কার্যক্রমের জন্যও এটি ব্যবহার করতে পারে।

সাম্প্রতিক তদন্তে জানা গেছে যে, ম্যালওয়্যারটি এখন আরও বিস্তৃত পরিসরের ডিভাইসকে লক্ষ্যবস্তু করছে এবং একটি বৃহত্তর স্ক্যানিং ইকোসিস্টেমের মধ্যে ডেটা সংগ্রহের স্তর হিসেবে কাজ করছে। JDY দ্বারা সংগৃহীত কাঠামোগত গোয়েন্দা তথ্য এমন সব সিস্টেমে পাঠানো হয়, যা লক্ষ্যবস্তু নির্বাচন এবং পরবর্তী শোষণমূলক কার্যকলাপকে সহজতর করে।

বিশেষভাবে উদ্বেগজনক হলো জনসমক্ষে দুর্বলতার তথ্য প্রকাশের পর দ্রুত ঝুঁকিপূর্ণ সিস্টেমগুলো শনাক্ত করার ক্ষেত্রে JDY-এর ভূমিকা। এই আচরণ একটি অত্যন্ত সুসংগঠিত গুপ্তচরবৃত্তি অভিযানের অস্তিত্বের ইঙ্গিত দেয়, যার প্রাপ্ত তথ্য পরবর্তীতে চীনের রাষ্ট্রীয় পক্ষগুলো ব্যবহার করে থাকে।

দ্রুত বৃদ্ধি এবং বিশ্বব্যাপী সম্প্রসারণ

বটনেটটির ব্যাপক বৃদ্ধি ঘটেছে, যা ২০২৪ সালের জানুয়ারিতে প্রায় ৬৫০টি সংক্রমিত ডিভাইস থেকে বেড়ে ১,৫০০টিরও বেশি হ্যাক হওয়া সিস্টেমে পরিণত হয়েছে। বেশিরভাগ সংক্রমিত নোড মার্কিন যুক্তরাষ্ট্র এবং ব্রাজিলে অবস্থিত, এবং এর পাশাপাশি ইউরোপ ও এশিয়া জুড়েও এর বিস্তার ঘটেছে। ব্রাজিলের ডিভাইসের এই ক্রমবর্ধমান সংখ্যাটি একটি বৃহত্তর প্রবণতাকে প্রতিফলিত করে, যেখানে বটনেটগুলো ব্রাজিলের হ্যাক হওয়া সিস্টেমগুলোর ওপর ক্রমবর্ধমানভাবে নির্ভর করছে।

JDY-এর ডিভাইস ইকোসিস্টেমও যথেষ্ট বৈচিত্র্যময় হয়ে উঠেছে। পূর্ববর্তী সংস্করণগুলি প্রধানত সিসকো RV320 এবং RV325 রাউটারের উপর নির্ভরশীল হলেও, বর্তমান নেটওয়ার্কে একাধিক বিক্রেতার হার্ডওয়্যার অন্তর্ভুক্ত রয়েছে:

• সিসকো
• আরাকনিস
• মিমোসা নেটওয়ার্কস
• সর্বব্যাপী

• ড্রেটেক

• হিকভিশন

• লিঙ্কসিস

এই বৈচিত্র্য নেটওয়ার্কের স্থিতিস্থাপকতাকে শক্তিশালী করে এবং এর কর্মপরিধিকে প্রসারিত করে।

বৈধ ইন্টারনেট ট্র্যাফিকের সাথে মিশে যাওয়া

JDY-এর অবকাঠামোর একটি উল্লেখযোগ্য অংশ মার্কিন যুক্তরাষ্ট্রে অবস্থিত SOHO এবং IoT ডিভাইস দ্বারা গঠিত। এই বিন্যাস অপারেটরদেরকে জিওফেন্সিং বিধিনিষেধ, আইপি রেপুটেশন ফিল্টারিং এবং স্ট্যাটিক ব্লক লিস্ট সহ অনেক প্রচলিত নিরাপত্তা নিয়ন্ত্রণ এড়িয়ে যেতে সক্ষম করে।

হাজার হাজার হ্যাক হওয়া আইপি অ্যাড্রেসে নজরদারি কার্যক্রম ছড়িয়ে দেওয়ার মাধ্যমে অপারেটররা কোনো একটি নির্দিষ্ট সিস্টেমকে স্ক্যানিং উৎস হিসেবে শনাক্ত ও ব্লক করার সম্ভাবনা কমিয়ে আনে। অধিকন্তু, বৈধ গ্রাহক ও ছোট ব্যবসার ডিভাইস ব্যবহারের ফলে ক্ষতিকারক ট্র্যাফিক সাধারণ ইন্টারনেট কার্যকলাপের সাথে আরও স্বাভাবিকভাবে মিশে যেতে পারে, যা এটিকে শনাক্ত করাকে উল্লেখযোগ্যভাবে আরও কঠিন করে তোলে।

গোপনীয়তার জন্য ডিজাইন করা স্তরযুক্ত অবকাঠামো

JDY একটি অত্যাধুনিক, স্তরযুক্ত স্থাপত্যের মাধ্যমে কাজ করে। হুমকি সৃষ্টিকারীরা কমান্ড-অ্যান্ড-কন্ট্রোল (C2) পরিকাঠামো এবং পেলোড ডেলিভারি সার্ভার উভয়ই পরিচালনা করতে টর নোড ব্যবহার করে, যা তাদের অভিযানিক কার্যকলাপ গোপন রাখতে সাহায্য করে।

নির্বিচারে ইন্টারনেট জুড়ে স্ক্যান চালানোর পরিবর্তে, সি২ সার্ভারগুলো আক্রান্ত ডিভাইসগুলোকে লক্ষ্যভিত্তিক নজরদারি ও প্রোফাইলিংয়ের কাজ দেয়। সংগৃহীত গোয়েন্দা তথ্য কেন্দ্রীয় সার্ভারগুলোতে ফেরত পাঠানো হয়, যেখানে চীনের বৃহত্তর সাইবার অভিযান ও কৌশলগত উদ্দেশ্য সাধনের জন্য সেগুলোকে একত্রিত ও বিশ্লেষণ করা হয়।

নতুন প্রকাশিত দুর্বলতার সুযোগ গ্রহণ

JDY-এর সাথে যুক্ত আক্রমণ শৃঙ্খলগুলো প্রায়শই এজ ডিভাইসে সদ্য প্রকাশিত দুর্বলতাগুলোকে অস্ত্র হিসেবে ব্যবহার করে, যার মধ্যে CVE-2026-35616-এর মতো দুর্বলতাও অন্তর্ভুক্ত। সফলভাবে এই দুর্বলতা কাজে লাগালে একটি শেল-স্ক্রিপ্ট ড্রপার পাঠানো হয়, যা প্রথমে পরীক্ষা করে দেখে যে ম্যালওয়্যারটি টার্গেট সিস্টেমে আগে থেকেই উপস্থিত আছে কিনা।

যদি কোনো সক্রিয় সংক্রমণ শনাক্ত না হয়, তবে ড্রপারটি ভুক্তভোগীর প্রসেসর আর্কিটেকচারের উপর ভিত্তি করে উপযুক্ত ম্যালওয়্যার পেলোড সংগ্রহ করে, যার মধ্যে MIPS, MIPS64, MIPSEL, এবং MIPSEL64 সিস্টেমের সংস্করণগুলো অন্তর্ভুক্ত থাকে। একবার কার্যকর হলে, ডাউনলোড করা ম্যালওয়্যারটি ফরেনসিক দৃশ্যমানতা কমাতে ডিস্ক থেকে নিজেকে মুছে ফেলে।

উন্নত অনুসন্ধান এবং অভিযোজিত স্ক্যানিং ক্ষমতা

ম্যালওয়্যারটির প্রধান উদ্দেশ্য সরাসরি আক্রমণ করার পরিবর্তে তথ্য সংগ্রহ করা। একবার সক্রিয় হলে, এটি আক্রান্ত হোস্টের ফিঙ্গারপ্রিন্ট নেয়, কেন্দ্রীয় কমান্ড পরিকাঠামো থেকে স্ক্যানিংয়ের দায়িত্ব গ্রহণ করে, বড় পরিসরে নেটওয়ার্ক অনুসন্ধান চালায়, TLS সার্টিফিকেট এবং পরিষেবা মেটাডেটার মতো প্রতিক্রিয়া ডেটা সংগ্রহ করে এবং প্রাপ্ত ফলাফল ডিসপ্যাচ সার্ভারগুলিতে ফেরত পাঠায়।

এর স্ক্যানিং ইঞ্জিনটি অত্যন্ত অভিযোজনক্ষম এবং আক্রান্ত ডিভাইসে উপলব্ধ সুযোগ-সুবিধা অনুযায়ী নিজের আচরণ সামঞ্জস্য করে নেয়:

যখন রুট-লেভেল অ্যাক্সেস পাওয়া যায়, তখন ম্যালওয়্যারটি র সকেট খোলে এবং বিশেষভাবে তৈরি TCP প্যাকেট ব্যবহার করে উচ্চ-গতির SYN স্ক্যানিং সম্পাদন করে।
যখন উচ্চতর বিশেষাধিকার উপলব্ধ থাকে না, অথবা যখন ওয়েব-ভিত্তিক অনুসন্ধানের প্রয়োজন হয়, তখন এটি সাধারণ TCP এবং TLS সংযোগের উপর নির্ভর করে এবং UDP ও ICMP-ভিত্তিক অনুসন্ধান কৌশলও ব্যবহার করতে পারে।

এই নমনীয়তা JDY-কে বিভিন্ন ধরনের ক্ষতিগ্রস্ত সিস্টেম জুড়ে গোয়েন্দা কার্যক্রমের কার্যকারিতা সর্বোচ্চ করতে সক্ষম করে।

চীনা হুমকি সৃষ্টিকারীদের জন্য একটি অবিরাম গোয়েন্দা সক্ষমতা

গবেষকদের মতে, JDY-এর মাধ্যমে সংগৃহীত গোয়েন্দা তথ্য অ্যাসেট ডিসকভারি অপারেশন, ভালনারেবিলিটি-টার্গেটিং ওয়ার্কফ্লো এবং ডাউনস্ট্রিম এক্সপ্লয়টেশন বা অ্যাটাক অর্কেস্ট্রেশন প্ল্যাটফর্মকে সহায়তা করে।

বটনেটটি দেখায় যে কীভাবে আধুনিক IoT এবং SOHO ডিভাইস নেটওয়ার্কগুলো ক্রমশ দ্রুত-প্রতিক্রিয়াশীল পর্যবেক্ষণ প্ল্যাটফর্মে রূপান্তরিত হচ্ছে, যা নিরাপত্তা ত্রুটি প্রকাশ্যে আসার অল্প সময়ের মধ্যেই দুর্বল অবকাঠামো শনাক্ত করতে সক্ষম। এর ক্রমাগত বৃদ্ধি প্রমাণ করে যে, স্বতন্ত্র ক্লাস্টার বা নোড ব্যাহত করা হলেই এর অন্তর্নিহিত সক্ষমতা সম্পূর্ণরূপে নির্মূল হয়ে যায় না।

কেভি-বটনেটের একটি সহায়ক উপাদান থেকে একটি স্বাধীন, উচ্চ-ক্ষমতাসম্পন্ন গোয়েন্দা প্ল্যাটফর্মে জেডিওয়াই-এর রূপান্তর আধুনিক সাইবার হুমকি ইকোসিস্টেমের অধ্যবসায় এবং অভিযোজন ক্ষমতাকে তুলে ধরে। নিষ্ক্রিয় করার প্রচেষ্টার পরেও, এর অবকাঠামো ক্রমাগত বিকশিত হতে থাকে, যা প্রতিপক্ষকে প্রায়শই একটি নতুন দুর্বলতা প্রকাশের কয়েক ঘণ্টার মধ্যেই কার্যকর লক্ষ্যবস্তু-সংক্রান্ত গোয়েন্দা তথ্য সরবরাহ করে।