কেটিএলভিডোর ব্যাকডোর

আর্থ লুসকা নামে পরিচিত চীনা-ভাষী হুমকি গোষ্ঠীটি চীনের একটি অপ্রকাশিত ট্রেডিং কোম্পানির বিরুদ্ধে সাইবার আক্রমণে KTLVdoor নামক একটি নতুন ব্যাকডোর স্থাপন করছে বলে সনাক্ত করা হয়েছে। এই সদ্য উন্মোচিত ম্যালওয়্যার, গোলং-এ বিকশিত, মাইক্রোসফ্ট উইন্ডোজ এবং লিনাক্স উভয় সিস্টেমকে লক্ষ্য করে ক্রস-প্ল্যাটফর্ম হিসাবে ডিজাইন করা হয়েছে।

KTLVdoor-এ ভারী অস্পষ্টতা রয়েছে এবং নিজেকে বিভিন্ন সিস্টেম ইউটিলিটি হিসাবে ছদ্মবেশ ধারণ করে। এটি আক্রমণকারীদের ফাইল ম্যানিপুলেশন, কমান্ড এক্সিকিউশন এবং রিমোট পোর্ট স্ক্যানিং সহ বিভিন্ন ধরনের দূষিত কার্যকলাপ সম্পাদন করতে দেয়।

ছদ্মবেশী বৈধ সরঞ্জাম

KTLVdoor sshd, Java, SQLite, bash, এবং edr-এজেন্ট সহ বিভিন্ন টুল হিসাবে মাশকারা করে। ম্যালওয়্যারটি একটি ডাইনামিক-লিঙ্ক লাইব্রেরি (.dll) বা একটি শেয়ার করা অবজেক্ট (.so) হিসাবে বিতরণ করা হয়৷

এই ক্রিয়াকলাপের একটি উল্লেখযোগ্য দিক হল 50টিরও বেশি কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারের শনাক্তকরণ, সবগুলোই চীনা কোম্পানি আলিবাবা দ্বারা হোস্ট করা হয়েছে। এই সার্ভারগুলিকে বিভিন্ন ম্যালওয়্যার ভেরিয়েন্টের সাথে সংযুক্ত করা হয়েছে, যা অন্যান্য চীনা হুমকি অভিনেতাদের সাথে ভাগ করা অবকাঠামোর সম্ভাব্যতার পরামর্শ দেয়।

হুমকি অভিনেতারা বেশ কয়েক বছর ধরে সক্রিয়

আর্থ লুসকা কমপক্ষে 2021 সাল থেকে সক্রিয় রয়েছে, এশিয়া, অস্ট্রেলিয়া, ইউরোপ এবং উত্তর আমেরিকা জুড়ে সরকারী এবং বেসরকারী উভয় প্রতিষ্ঠানকে লক্ষ্য করে সাইবার হামলা চালিয়েছে। RedHotel এবং APT27 (এছাড়াও Budworm, Emissary Panda এবং Iron Tiger নামেও পরিচিত) নামে পরিচিত অন্যান্য অনুপ্রবেশ সেটের সাথে গ্রুপটির কিছু কৌশলগত মিল রয়েছে বলে মনে করা হয়।

গ্রুপের সর্বশেষ ম্যালওয়্যার, KTLVdoor, অত্যন্ত অস্পষ্ট। এটির কনফিগারেশন ফাইলে পাওয়া 'KTLV' লেবেলযুক্ত একটি মার্কার থেকে এটির নামটি এসেছে, যা এটির ক্রিয়াকলাপের জন্য প্রয়োজনীয় বিভিন্ন পরামিতি অন্তর্ভুক্ত করে, যেমন কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারগুলির সাথে এটি সংযোগ করে।

অনেক অজানা এখনো রয়ে গেছে

একবার সক্রিয় হয়ে গেলে, ম্যালওয়্যারটি বারবার কমান্ড-এন্ড-কন্ট্রোল (C&C) সার্ভারের সাথে যোগাযোগ করে, আপোষকৃত সিস্টেমে কার্যকর করার জন্য পরবর্তী নির্দেশের জন্য অপেক্ষা করে। এটি ফাইলগুলি ডাউনলোড এবং আপলোড করা, ফাইল সিস্টেমের গণনা করা, একটি ইন্টারেক্টিভ শেল চালু করা, শেলকোড চালানো এবং স্ক্যানটিসিপি, স্ক্যানআরডিপি, ডায়ালটিএলএস, স্ক্যানপিং এবং স্ক্যানওয়েবের মতো সরঞ্জামগুলি ব্যবহার করে স্ক্যান পরিচালনা সহ বিভিন্ন কমান্ড সমর্থন করে।

যাইহোক, কীভাবে ম্যালওয়্যারটি বিতরণ করা হয় এবং এটি বিশ্বব্যাপী অন্যান্য লক্ষ্যগুলির বিরুদ্ধে ব্যবহার করা হয়েছে কিনা সে সম্পর্কে বিশদটি অস্পষ্ট রয়ে গেছে।

যদিও আর্থ লুসকা এই নতুন টুলটি ব্যবহার করে, সেখানে একটি সম্ভাবনা রয়েছে যে এটি অন্যান্য চীনা-ভাষী হুমকি অভিনেতাদের দ্বারাও ব্যবহার করা হতে পারে। যে সমস্ত C&C সার্ভারগুলি একটি চীনা প্রদানকারী, Alibaba-এর IP ঠিকানায় হোস্ট করা হয়েছিল, তা গবেষকদের অনুমান করতে পরিচালিত করেছে যে ম্যালওয়্যার এবং এর C&C পরিকাঠামো নতুন সরঞ্জামগুলির জন্য প্রাথমিক পরীক্ষার পর্যায়ের অংশ হতে পারে।

ব্যাকডোর থ্রেট ভিকটিমদের মারাত্মক পরিণতির মুখোমুখি করে

ব্যাকডোর ম্যালওয়্যার গুরুতর বিপদ ডেকে আনে কারণ এটি আক্রমণকারীদের অননুমোদিত, আপোসকৃত সিস্টেমে গোপন অ্যাক্সেস প্রদান করে, স্বাভাবিক নিরাপত্তা ব্যবস্থাকে বাইপাস করে। ব্যাকডোর ম্যালওয়্যারের সাথে যুক্ত সবচেয়ে উল্লেখযোগ্য কিছু হুমকির মধ্যে রয়েছে:

• ক্রমাগত নিয়ন্ত্রণ : পিছনের দরজা আক্রমণকারীদের একটি সিস্টেমে দীর্ঘমেয়াদী অ্যাক্সেস বজায় রাখতে দেয়, প্রায়শই সনাক্ত করা যায় না। এই ক্রমাগত অ্যাক্সেস আক্রমণকারীদের ক্রমাগত নিরীক্ষণ এবং সময়ের সাথে সাথে সিস্টেমকে ম্যানিপুলেট করতে সক্ষম করে, যার ফলে হুমকি অপসারণ করা কঠিন হয়।
• ডেটা চুরি : আক্রমণকারীরা আর্থিক তথ্য, মেধা সম্পত্তি, লগইন শংসাপত্র এবং গোপনীয় যোগাযোগের মতো সংবেদনশীল তথ্য সংগ্রহ করতে পারে। এই সংগ্রহ করা ডেটা বিক্রি করা যেতে পারে, প্রতারণার জন্য ব্যবহার করা যেতে পারে বা পরিচয় চুরি বা গুপ্তচরবৃত্তি সহ আরও আক্রমণের দিকে নিয়ে যেতে পারে।
• নেটওয়ার্ক শোষণ : একবার ভিতরে গেলে, একটি ব্যাকডোর ম্যালওয়্যার একটি নেটওয়ার্ক জুড়ে পার্শ্ববর্তীভাবে ছড়িয়ে পড়তে পারে, অন্যান্য ডিভাইসগুলিকে সংক্রামিত করে এবং আক্রমণের সুযোগ প্রসারিত করতে পারে। এটি সম্পূর্ণ নেটওয়ার্ক সমঝোতার দিকে পরিচালিত করতে পারে, আক্রমণকারীদের একসাথে একাধিক সিস্টেম নিয়ন্ত্রণ করতে দেয়।
• অন্যান্য ম্যালওয়্যার ডেলিভারি : ব্যাকডোরগুলি অতিরিক্ত ম্যালওয়্যার যেমন র্যানসমওয়্যার, স্পাইওয়্যার বা কীলগারের জন্য ডেলিভারি প্রক্রিয়া হিসাবে ব্যবহার করা যেতে পারে, যা আরও ক্ষতি এবং ব্যাঘাত ঘটাতে পারে।
• সিস্টেম ম্যানিপুলেশন এবং নাশকতা : আক্রমণকারীরা সংক্রামিত সিস্টেমে কমান্ড চালাতে পারে, কনফিগারেশন পরিবর্তন করতে পারে, ফাইলগুলি মুছে ফেলতে বা দূষিত করতে পারে, সুরক্ষা সরঞ্জামগুলি অক্ষম করতে পারে এবং গুরুত্বপূর্ণ পরিষেবাগুলি ব্যাহত করতে পারে। শিল্প বা সরকারী ব্যবস্থার ক্ষেত্রে, এটি গুরুতর অপারেশনাল বা অবকাঠামোগত ক্ষতির কারণ হতে পারে।
• রিমোট মনিটরিং এবং কন্ট্রোল : ব্যাকডোর ম্যালওয়্যার আক্রমণকারীদের নিঃশব্দে কার্যকলাপ নিরীক্ষণ, কীস্ট্রোক রেকর্ডিং, স্ক্রিনশট ক্যাপচার এবং ব্যবহারকারীর আচরণ লগিং করতে দেয়। এই স্তরের নজরদারি নিরাপত্তা নীতির সাথে আপস করতে পারে এবং আক্রমণকারীকে সনাক্তকরণ ছাড়াই দুর্বলতাগুলিকে কাজে লাগাতে দেয়৷
• বিশেষাধিকার বৃদ্ধি : আক্রমণকারীরা প্রায়ই একটি সিস্টেমে তাদের বিশেষাধিকার বাড়াতে পিছনের দরজা ব্যবহার করে, তাদের সম্পূর্ণ প্রশাসনিক নিয়ন্ত্রণ দেয়। এটি তাদের নিরাপত্তা প্রোটোকলগুলিকে বাইপাস করতে দেয়, যা বৈধ ব্যবহারকারী বা নিরাপত্তা দলগুলির পক্ষে নিয়ন্ত্রণ পুনরুদ্ধার করা প্রায় অসম্ভব করে তোলে।

সংক্ষেপে, একটি ব্যাকডোর ম্যালওয়্যার একটি গুরুতর হুমকি কারণ এটি আক্রমণকারীদের দীর্ঘমেয়াদী, সিস্টেমে লুকানো অ্যাক্সেস মঞ্জুর করে, তাদের ডেটা চুরি করতে, ম্যালওয়্যার ছড়িয়ে দিতে, ক্রিয়াকলাপ পরিচালনা করতে এবং সমগ্র নেটওয়ার্কগুলিকে আপোস করতে সক্ষম করে, সমস্ত কিছু সনাক্ত করা এবং নির্মূল করা কঠিন।