LightSpy Spyware

নিরাপত্তা বিশ্লেষকরা প্রকাশ করেছেন যে লাইটস্পাই স্পাইওয়্যার, প্রাথমিকভাবে অ্যাপল আইওএস ব্যবহারকারীদের লক্ষ্য করার কথা ভাবা হয়েছিল, এটি ম্যালওয়্যারের একটি অনথিভুক্ত macOS বৈকল্পিক। এই অন্তর্দৃষ্টিগুলি সাইবারসিকিউরিটি বিশেষজ্ঞদের কাছ থেকে এসেছে যারা এই ক্রস-প্ল্যাটফর্ম হুমকির সাথে যুক্ত ট্রেসগুলি পরীক্ষা করেছেন। ম্যালওয়্যার ফ্রেমওয়ার্ক সম্ভবত Android, iOS, Windows, macOS, এবং Linux, সেইসাথে NETGEAR, Linksys এবং ASUS দ্বারা নির্মিত রাউটার সহ বিস্তৃত সিস্টেমগুলিকে সংক্রামিত করার সম্ভাবনা রয়েছে৷

সাইবার অপরাধীরা লাইটস্পাই দিয়ে ডিভাইসগুলিকে সংক্রমিত করার জন্য দুর্বলতাকে কাজে লাগায়

হুমকি অভিনেতা গোষ্ঠী ম্যাকওএস-এ ইমপ্লান্ট স্থাপনের জন্য দুটি সর্বজনীনভাবে উপলব্ধ শোষণ (CVE-2018-4233, CVE-2018-4404) ব্যবহার করেছে, যার একটি অংশ CVE-2018-4404 সম্ভাব্যভাবে Metasploit ফ্রেমওয়ার্ক থেকে উদ্ভূত হয়েছে। শোষণ লক্ষ্যবস্তু macOS সংস্করণ 10.

প্রাথমিকভাবে 2020 সালে রিপোর্ট করা হয়েছিল, LightSpy তখন থেকে DragonEgg নামে একটি অ্যান্ড্রয়েড নজরদারি সরঞ্জামের সাথে লিঙ্ক করা হয়েছে।

2024 সালের এপ্রিলে, গবেষকরা দক্ষিণ এশিয়ার ব্যবহারকারীদের লক্ষ্য করে একটি "নবায়নকৃত" সাইবার গুপ্তচরবৃত্তির প্রচারণা প্রকাশ করেছিলেন, প্রাথমিকভাবে LightSpy-এর একটি iOS সংস্করণ সরবরাহ করার জন্য বিশ্বাস করা হয়েছিল। যাইহোক, এটি একটি আরও পরিশীলিত macOS বৈকল্পিক হিসাবে আবিষ্কৃত হয়েছে যা বিভিন্ন ধরণের তথ্য সংগ্রহ করতে একটি প্লাগইন-ভিত্তিক সিস্টেম ব্যবহার করে।

লাইটস্পাই ক্যাম্পেইনের অ্যাটাক চেইন

বিশ্লেষণ ইঙ্গিত করে যে ম্যাকোস বৈকল্পিকটি কমপক্ষে জানুয়ারী 2024 সাল থেকে বন্য অঞ্চলে কার্যকর হয়েছে, প্রায় 20টি ডিভাইসকে লক্ষ্য করে, যার বেশিরভাগই পরীক্ষামূলক ডিভাইস বলে মনে করা হয়।

আক্রমণের ক্রমটি CVE-2018-4233 এর শোষণের সাথে শুরু হয়, একটি Safari WebKit দুর্বলতা, এইচটিএমএল পৃষ্ঠাগুলিকে হুমকির মাধ্যমে, কোড এক্সিকিউশনকে ট্রিগার করে৷ এটি একটি PNG ইমেজ ফাইলের ছদ্মবেশে একটি 64-বিট Mach-O বাইনারি স্থাপনের দিকে নিয়ে যায়।

বাইনারিটির প্রধান কাজ হল একটি শেল স্ক্রিপ্ট বের করা এবং কার্যকর করা, যা তারপরে তিনটি অতিরিক্ত পেলোড পুনরুদ্ধার করে: একটি বিশেষাধিকার বৃদ্ধি শোষণ, একটি এনক্রিপশন/ডিক্রিপশন টুল এবং একটি জিপ সংরক্ষণাগার।

এটি অনুসরণ করে, স্ক্রিপ্টটি 'আপডেট' এবং 'update.plist' ফাইল সমন্বিত ZIP সংরক্ষণাগারটি আনপ্যাক করে এবং উভয়কে রুট সুবিধা প্রদান করে। 'plist' ফাইলটি স্থিরতা নিশ্চিত করে, প্রতিটি সিস্টেম রিস্টার্ট করার পরে অন্য ফাইল চালু হয় তা নিশ্চিত করে।

ক্ষতিকারক প্লাগইন সাইবার অপরাধীদের অসংখ্য ডেটা ক্যাপচার করার অনুমতি দেয়

'আপডেট' ফাইল, যা ম্যাকিরলোডার নামেও পরিচিত, লাইটস্পাই কোর উপাদানের জন্য লোডার হিসেবে কাজ করে। এই উপাদানটি একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ সক্ষম করে, কমান্ড এবং প্লাগইন ডাউনলোডগুলি পুনরুদ্ধার করার অনুমতি দেয়।

ম্যাকওএস সংস্করণটি 10টি ভিন্ন প্লাগইন সমর্থন করে, মাইক্রোফোন থেকে অডিও ক্যাপচার, ফটো তোলা, স্ক্রীন কার্যকলাপ রেকর্ড করা, ফাইল সংগ্রহ এবং মুছে ফেলা, শেল কমান্ড কার্যকর করা, ইনস্টল করা অ্যাপ্লিকেশনগুলির তালিকা পুনরুদ্ধার করা এবং ওয়েব ব্রাউজার থেকে ডেটা বের করা ইত্যাদি বিভিন্ন কার্যকারিতা সক্ষম করে। (সাফারি এবং গুগল ক্রোম) এবং আইক্লাউড কীচেন।

অতিরিক্তভাবে, অন্য দুটি প্লাগইন একই নেটওয়ার্কের সাথে সম্পর্কিত অন্যান্য ডিভাইসের তথ্য সংগ্রহের সুবিধা দেয়, ডিভাইসটি সংযুক্ত Wi-Fi নেটওয়ার্কগুলির তালিকা করে এবং কাছাকাছি Wi-Fi নেটওয়ার্কগুলির বিবরণ প্রদান করে৷

প্ল্যাটফর্মের লক্ষ্য নির্বিশেষে, হুমকি অভিনেতা গোষ্ঠীর প্রাথমিক লক্ষ্য ছিল মেসেঞ্জার কথোপকথন এবং ভয়েস রেকর্ডিং সহ শিকারের যোগাযোগগুলিকে আটকানো। macOS-এর জন্য একটি ডেডিকেটেড প্লাগইন বিশেষভাবে নেটওয়ার্ক আবিষ্কারের জন্য তৈরি করা হয়েছে, যার লক্ষ্য শিকারের অবস্থানের কাছাকাছি ডিভাইসগুলি সনাক্ত করা।