KadNap ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা KadNap নামে একটি নতুন উদ্ভূত ম্যালওয়্যার স্ট্রেন সনাক্ত করেছেন, যা মূলত Asus রাউটারগুলিকে লক্ষ্য করে এবং ক্ষতিকারক ইন্টারনেট ট্র্যাফিকের প্রক্সি করার জন্য ডিজাইন করা একটি বটনেটে তাদের নিয়োগ করে। ২০২৫ সালের আগস্টে প্রথম দেখা যায়, ম্যালওয়্যারটি ইতিমধ্যেই বিশ্বব্যাপী ১৪,০০০ এরও বেশি ডিভাইসকে সংক্রামিত করেছে। বিশ্লেষণে দেখা গেছে যে ৬০% এরও বেশি ক্ষতিগ্রস্ত সিস্টেম মার্কিন যুক্তরাষ্ট্রে অবস্থিত, যেখানে তাইওয়ান, হংকং, রাশিয়া, যুক্তরাজ্য, অস্ট্রেলিয়া, ব্রাজিল, ফ্রান্স, ইতালি এবং স্পেনে সংক্রমণের ছোট ছোট ক্লাস্টার সনাক্ত করা হয়েছে।

যদিও আসুস রাউটারগুলি প্রাথমিক লক্ষ্যবস্তু বলে মনে হচ্ছে, তদন্তে দেখা গেছে যে KadNap-এর পিছনে থাকা অপারেটররা বিস্তৃত পরিসরের এজ নেটওয়ার্কিং ডিভাইস অন্তর্ভুক্ত করার জন্য তাদের প্রচেষ্টা প্রসারিত করেছে। এই সম্প্রসারণটি বটনেট অবকাঠামোর আকার এবং স্থিতিস্থাপকতা সর্বাধিক করার জন্য একটি ইচ্ছাকৃত প্রচেষ্টার ইঙ্গিত দেয়।

কেডেমলিয়া প্রযুক্তির মাধ্যমে পিয়ার-টু-পিয়ার গোপনকরণ

KadNap অপারেশনের একটি নির্দিষ্ট বৈশিষ্ট্য হল Kademlia Distributed Hash Table (DHT) প্রোটোকলের পরিবর্তিত বাস্তবায়নের উপর নির্ভরতা। এই প্রোটোকলটি একটি পিয়ার-টু-পিয়ার আর্কিটেকচারের সাথে একীভূত করা হয়েছে যা বিতরণকৃত নোডের মধ্যে কমান্ড সিস্টেম লুকিয়ে বটনেটের অবকাঠামোর অবস্থান গোপন করে।

ঝুঁকিপূর্ণ ডিভাইসগুলি DHT নেটওয়ার্কের মাধ্যমে যোগাযোগ করে কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারগুলি আবিষ্কার এবং সংযোগ স্থাপন করে। একটি বিকেন্দ্রীভূত পরিবেশে যোগাযোগ ছড়িয়ে দেওয়ার মাধ্যমে, ম্যালওয়্যারটি একটি একক অবকাঠামো বিন্দুর উপর নির্ভরতা এড়ায়, যা ঐতিহ্যবাহী সনাক্তকরণ এবং সরিয়ে ফেলার প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে তোলে। এই পদ্ধতিটি কার্যকরভাবে দূষিত ট্র্যাফিককে বৈধ পিয়ার-টু-পিয়ার নেটওয়ার্ক কার্যকলাপের সাথে মিশ্রিত করে, যা রক্ষাকারীদের জন্য পর্যবেক্ষণ এবং ব্যাঘাতকে যথেষ্ট কঠিন করে তোলে।

সংক্রমণ প্রক্রিয়া এবং স্থায়িত্ব কৌশল

সংক্রমণ শৃঙ্খলটি aic.sh নামের একটি শেল স্ক্রিপ্ট দিয়ে শুরু হয়, যা 212.104.141.140 আইপি ঠিকানায় হোস্ট করা একটি কমান্ড সার্ভার থেকে ডাউনলোড করা হয়। এই স্ক্রিপ্টটি বটনেটের পিয়ার-টু-পিয়ার ইকোসিস্টেমের সাথে আপোস করা ডিভাইসটিকে একীভূত করার প্রক্রিয়া শুরু করে।

স্ক্রিপ্টটি একটি নির্ধারিত ক্রোন জব তৈরি করে স্থায়িত্ব প্রতিষ্ঠা করে যা প্রতি ঘন্টায় ৫৫ মিনিটের ব্যবধানে একই স্ক্রিপ্টটি পুনরুদ্ধার করে। প্রতিবার ডাউনলোড করার সময়, স্ক্রিপ্টটির নাম পরিবর্তন করে '.asusrouter' করা হয় এবং কার্যকর করা হয়। স্থায়িত্ব সুরক্ষিত হয়ে গেলে, স্ক্রিপ্টটি একটি ক্ষতিকারক ELF বাইনারি ডাউনলোড করে, এটির নাম পরিবর্তন করে kad করে এবং এটি চালায়, কার্যকরভাবে KadNap ম্যালওয়্যার পেলোড স্থাপন করে। ম্যালওয়্যারটি ARM এবং MIPS উভয় প্রসেসর ব্যবহার করে ডিভাইসগুলিতে কাজ করার জন্য তৈরি করা হয়েছে, যা এটিকে বিস্তৃত রাউটার আর্কিটেকচারের সাথে আপস করতে সক্ষম করে।

সময়-ভিত্তিক পিয়ার আবিষ্কার এবং নেটওয়ার্ক সমন্বয়

KadNap তার বিকেন্দ্রীভূত নেটওয়ার্ক জুড়ে কার্যকলাপ সিঙ্ক্রোনাইজ করার জন্য একটি প্রক্রিয়া অন্তর্ভুক্ত করে। ম্যালওয়্যারটি বর্তমান সিস্টেম সময় পুনরুদ্ধার করার জন্য একটি নেটওয়ার্ক টাইম প্রোটোকল (NTP) সার্ভারের সাথে সংযোগ স্থাপন করে এবং এটি সংক্রামিত ডিভাইসের আপটাইম তথ্যের সাথে একত্রিত করে। এই মানগুলি একটি হ্যাশ তৈরি করতে ব্যবহৃত হয় যা সংক্রামিত ডিভাইসটিকে বিতরণ করা নেটওয়ার্কের মধ্যে সমকক্ষদের সনাক্ত করতে সহায়তা করে।

এই প্রক্রিয়াটি আপোসপ্রাপ্ত সিস্টেমগুলিকে কেন্দ্রীভূত কমান্ড কাঠামোর উপর নির্ভর না করেই অন্যান্য নোড আবিষ্কার করতে, নির্দেশাবলী পেতে এবং অতিরিক্ত ক্ষতিকারক ফাইল ডাউনলোড করতে সক্ষম করে। fwr.sh এবং /tmp/.sose এর মতো সাপোর্টিং স্ক্রিপ্টগুলি অতিরিক্ত কাজও সম্পাদন করে, যার মধ্যে রয়েছে পোর্ট 22, সিকিউর শেল (SSH) দ্বারা ব্যবহৃত স্ট্যান্ডার্ড TCP পোর্ট নিষ্ক্রিয় করা এবং আরও যোগাযোগের জন্য ব্যবহৃত C2 সার্ভার ঠিকানা এবং পোর্ট সংমিশ্রণের তালিকা বের করা।

প্রক্সি পরিষেবার মাধ্যমে বটনেটের বাণিজ্যিকীকরণ

রাউটারগুলি একবার ক্ষতিগ্রস্ত হলে, সেগুলিকে doppelganger.shop ওয়েবসাইটের মাধ্যমে Doppelgänger নামে বাজারজাত করা একটি বাণিজ্যিক প্রক্সি নেটওয়ার্কের সাথে একীভূত করা হয়। নিরাপত্তা গবেষকরা এই পরিষেবাটিকে Faceless-এর একটি পুনঃব্র্যান্ডেড সংস্করণ বলে মূল্যায়ন করেন, যা পূর্বে TheMoon ম্যালওয়্যারের সাথে যুক্ত একটি প্রক্সি প্ল্যাটফর্ম।

পরিষেবাটি দ্বারা প্রকাশিত প্রচারমূলক উপাদান অনুসারে, নেটওয়ার্কটি ৫০ টিরও বেশি দেশে আবাসিক প্রক্সি অ্যাক্সেস প্রদান করে এবং ব্যবহারকারীদের জন্য '১০০% বেনামী' বিজ্ঞাপন দেয়। প্রমাণ থেকে জানা যায় যে প্ল্যাটফর্মটি ২০২৫ সালের মে বা জুনের দিকে চালু হয়েছিল। অবকাঠামোগতভাবে ডিভাইসগুলিকে ধরণ এবং মডেল অনুসারে ভাগ করা হয়েছে, কারণ প্রতিটি আপোস করা ডিভাইস প্রতিটি কমান্ড সার্ভারের সাথে যোগাযোগ করে না। এই ভাগাভাগি একটি কাঠামোগত এবং স্কেলেবল বটনেট ব্যবস্থাপনা কৌশল নির্দেশ করে।

প্রক্সি নেটওয়ার্কটি ইতিমধ্যেই একাধিক হুমকিদাতা দ্বারা শোষিত হচ্ছে বলে দেখা গেছে। তবে, অ্যাট্রিবিউশন এখনও কঠিন কারণ নেটওয়ার্কের সাথে জড়িত রাউটারগুলি কখনও কখনও একই সাথে অতিরিক্ত ম্যালওয়্যার পরিবারের দ্বারা সংক্রামিত হয়, যা নির্দিষ্ট দূষিত কার্যকলাপের জন্য কোন অভিনেতা দায়ী তা অস্পষ্ট করে।

রাউটার মালিকদের জন্য প্রতিরক্ষামূলক ব্যবস্থা

KadNap-এর উত্থান বাসা এবং ছোট অফিস উভয় পরিবেশেই দুর্বল সুরক্ষিত এজ ডিভাইসগুলির দ্বারা সৃষ্ট ক্রমবর্ধমান ঝুঁকিকে তুলে ধরে। নেটওয়ার্ক ডিফেন্ডার এবং ব্যক্তিগত ব্যবহারকারীরা বেশ কয়েকটি সুরক্ষা পদ্ধতি গ্রহণ করে এক্সপোজার উল্লেখযোগ্যভাবে হ্রাস করতে পারেন:

• রাউটার এবং নেটওয়ার্কিং ডিভাইসগুলিকে সর্বশেষ ফার্মওয়্যার এবং নিরাপত্তা আপডেট সহ রক্ষণাবেক্ষণ করুন।
• প্রযোজ্য ক্ষেত্রে অস্থায়ী ক্ষতিকারক প্রক্রিয়াগুলি সাফ করতে পর্যায়ক্রমে ডিভাইসগুলি পুনরায় বুট করুন।
• ডিফল্ট শংসাপত্রগুলিকে শক্তিশালী, অনন্য পাসওয়ার্ড দিয়ে প্রতিস্থাপন করুন।
• প্রশাসনিক ব্যবস্থাপনা ইন্টারফেসগুলিকে সীমাবদ্ধ এবং সুরক্ষিত করুন।
• যেসব রাউটার মেয়াদ শেষ হয়ে গেছে এবং আর বিক্রেতার নিরাপত্তা আপডেট পাচ্ছে না, সেগুলোকে অবসর দিন এবং প্রতিস্থাপন করুন।

গোপনে ব্যবহারের জন্য তৈরি একটি বিকেন্দ্রীভূত বটনেট

KadNap বিকেন্দ্রীভূত পিয়ার-টু-পিয়ার আর্কিটেকচার ব্যবহারের মাধ্যমে বেনামী প্রক্সি পরিষেবা সমর্থনকারী অনেক ঐতিহ্যবাহী বটনেট থেকে নিজেকে আলাদা করে। Kademlia DHT প্রোটোকল ব্যবহার করে, বটনেট সহজেই শনাক্তযোগ্য কেন্দ্রীভূত সার্ভারের উপর নির্ভর না করে সংক্রামিত ডিভাইসগুলিতে নিয়ন্ত্রণ বিতরণ করে।

এই স্থাপত্য অপারেটরদের এমন স্থিতিস্থাপক যোগাযোগ চ্যানেল প্রদান করে যা সনাক্ত করা, ব্লক করা বা ভেঙে ফেলা উল্লেখযোগ্যভাবে কঠিন। কৌশলগত লক্ষ্য স্পষ্ট: অপারেশনাল ধারাবাহিকতা বজায় রাখা, নিরাপত্তা পর্যবেক্ষণ এড়ানো এবং সাইবার নিরাপত্তা দলগুলির জন্য প্রতিরক্ষামূলক প্রতিক্রিয়া প্রচেষ্টা জটিল করা।