Lotus Wiper
সাইবার নিরাপত্তা বিশ্লেষকরা পূর্বে অনুল্লিখিত একটি ডেটা-মুছে ফেলার ম্যালওয়্যার শনাক্ত করেছেন, যা এখন লোটাস ওয়াইপার নামে পরিচিত। এটি ২০২৫ সালের শেষ থেকে ২০২৬ সালের শুরুর মধ্যে ভেনিজুয়েলার জ্বালানি ও পরিষেবা খাতে লক্ষ্যভিত্তিক হামলায় ব্যবহার করা হবে। এই ম্যালওয়্যারটি সর্বোচ্চ ধ্বংসযজ্ঞের জন্য তৈরি করা হয়েছে, যা আক্রান্ত সিস্টেমগুলোকে সম্পূর্ণ অকার্যকর করে দেয়।
সুচিপত্র
সমন্বিত আক্রমণ পরিচালনা: বহু-পর্যায়ের মোতায়েন
এই আক্রমণটি দুটি ব্যাচ স্ক্রিপ্টের উপর নির্ভর করে, যা একটি সুপরিকল্পিত অভিযান পরিচালনা করে। এই স্ক্রিপ্টগুলো চূড়ান্ত পেলোডটি কার্যকর করার আগে নেটওয়ার্ক জুড়ে কার্যকলাপগুলোকে সমন্বিত করে, সিস্টেমের প্রতিরক্ষা ব্যবস্থা দুর্বল করে এবং স্বাভাবিক কার্যক্রম ব্যাহত করে। এদের ভূমিকার মধ্যে রয়েছে ওয়াইপার কম্পোনেন্টটি পুনরুদ্ধার, ডিওবিফাসকেটিং এবং কার্যকর করা, যা ধ্বংসাত্মক পর্যায়ে একটি নির্বিঘ্ন রূপান্তর নিশ্চিত করে।
পরিকল্পিত ধ্বংস: লোটাস ওয়াইপার যেভাবে কাজ করে
একবার সক্রিয় হলে, লোটাস ওয়াইপার একটি ব্যাপক ডেটা মুছে ফেলার প্রক্রিয়া চালায় যা সিস্টেমের কার্যকারিতা এবং পুনরুদ্ধারের বিকল্প উভয়ই নষ্ট করে দেয়। এর ধ্বংসাত্মক ক্ষমতাগুলোর মধ্যে রয়েছে:
- পুনরুদ্ধার ব্যবস্থা অপসারণ, যার মধ্যে রিস্টোর পয়েন্ট অন্তর্ভুক্ত
- ফিজিক্যাল ড্রাইভ সেক্টরগুলোকে শূন্য ডেটা দিয়ে ওভাররাইট করা হচ্ছে
- মাউন্ট করা সমস্ত ভলিউম থেকে ফাইল মুছে ফেলা
- ভলিউম জার্নালে আপডেট সিকোয়েন্স নম্বর (USN) এর নিষ্পত্তি
এই সম্মিলিত পদক্ষেপগুলো নিশ্চিত করে যে ক্ষতিগ্রস্ত সিস্টেমগুলোকে প্রচলিত উপায়ে পুনরুদ্ধার বা পুনর্নির্মাণ করা যাবে না।
অভিপ্রায়ের সূচক: আর্থিকভাবে উদ্দেশ্যপ্রণোদিত নয়
র্যানসমওয়্যারের মতো নয়, লোটাস ওয়াইপারে কোনো চাঁদাবাজির বার্তা বা অর্থ প্রদানের নির্দেশাবলী নেই। এই অনুপস্থিতি জোরালোভাবে ইঙ্গিত দেয় যে এই অভিযানটি আর্থিক উদ্দেশ্য দ্বারা চালিত নয়, বরং অন্তর্ঘাত বা ভূ-রাজনৈতিক উদ্দেশ্যপ্রণোদিত। উল্লেখযোগ্যভাবে, ম্যালওয়্যারের নমুনাটি ২০২৫ সালের ডিসেম্বরের মাঝামাঝি সময়ে, ২০২৬ সালের জানুয়ারিতে মার্কিন সামরিক কার্যকলাপের ঠিক আগে, ভেনিজুয়েলার একটি সিস্টেম থেকে প্রকাশ্যে আপলোড করা হয়েছিল। যদিও কোনো সরাসরি সংযোগ নিশ্চিত করা হয়নি, তবে এই সময়কালটি একই খাতকে লক্ষ্য করে সাইবার কার্যকলাপের ক্রমবর্ধমান প্রতিবেদনের সাথে মিলে যায়, যা একটি অত্যন্ত সুনির্দিষ্ট অভিযানের ইঙ্গিত দেয়।
লিগ্যাসি সিস্টেমকে লক্ষ্য করা: সেকেলে পরিবেশের অপব্যবহার
আক্রমণ শৃঙ্খলটি একটি ব্যাচ স্ক্রিপ্ট দিয়ে শুরু হয়, যা একটি বহু-পর্যায়ের প্রক্রিয়া চালু করে। এর প্রাথমিক কাজগুলোর মধ্যে একটি হলো উইন্ডোজ ইন্টারঅ্যাক্টিভ সার্ভিসেস ডিটেকশন (UI0Detect) সার্ভিসটিকে নিষ্ক্রিয় করার চেষ্টা করা। উইন্ডোজ ১০ ভার্সন ১৮০৩-এর পরের আধুনিক উইন্ডোজ সংস্করণগুলো থেকে এই সার্ভিসটি সরিয়ে ফেলা হয়েছে, যা থেকে বোঝা যায় যে ম্যালওয়্যারটি বিশেষভাবে পুরোনো অপারেটিং সিস্টেমগুলোকে লক্ষ্য করে তৈরি করা হয়েছে।
স্ক্রিপ্টটি একটি NETLOGON শেয়ারের উপস্থিতি পরীক্ষা করে এবং একটি রিমোট XML ফাইল সংগ্রহ করে। এটি এই ফাইলটিকে C:\lotus বা %SystemDrive%\lotus-এর মতো ডিরেক্টরিতে থাকা স্থানীয়ভাবে সংরক্ষিত সংস্করণের সাথে তুলনা করে। এই প্রক্রিয়াটি সম্ভবত নির্ধারণ করে যে সিস্টেমটি কোনো Active Directory ডোমেইনের অংশ কি না। যদি রিমোট ফাইলটি অনুপলব্ধ থাকে, তবে স্ক্রিপ্টটি বন্ধ হয়ে যায়; অন্যথায়, সংযোগ পুনরায় চেষ্টা করার জন্য এটি সম্ভাব্য ২০ মিনিট পর্যন্ত একটি র্যান্ডমাইজড বিলম্ব যোগ করার পর আবার চলতে শুরু করে।
পরিবেশ প্রস্তুতি: সিস্টেম অক্ষম ও ব্যাহত করা
দ্বিতীয় ব্যাচ স্ক্রিপ্টটি পদ্ধতিগতভাবে আপোসকৃত সিস্টেমটির কার্যক্ষম অবস্থা দুর্বল করার মাধ্যমে সেটিকে ধ্বংসের জন্য প্রস্তুত করে। এর কার্যক্রমগুলোর মধ্যে রয়েছে:
- স্থানীয় ব্যবহারকারী অ্যাকাউন্টগুলি গণনা করা এবং ক্যাশ করা প্রমাণপত্র নিষ্ক্রিয় করা
- সক্রিয় ব্যবহারকারী সেশনগুলি লগ অফ করা হচ্ছে
- নেটওয়ার্ক ইন্টারফেস নিষ্ক্রিয় করা
- লজিক্যাল ড্রাইভগুলো মুছে ফেলার জন্য diskpart clean all কমান্ডটি চালানো হচ্ছে
এছাড়াও, এটি ফাইল ওভাররাইট বা ডিলিট করার জন্য robocopy-এর মতো উইন্ডোজের নিজস্ব ইউটিলিটি এবং ডিস্কের সমস্ত উপলব্ধ স্থান দখল করে এমন বড় ফাইল তৈরি করার জন্য fsutil ব্যবহার করে, যা কার্যকরভাবে ডেটা পুনরুদ্ধারের প্রচেষ্টাকে বাধা দেয়।
চূড়ান্ত পেলোড কার্যকরকরণ: অপরিবর্তনযোগ্য ক্ষতি
প্রস্তুতির পর, লোটাস ওয়াইপার পেলোডটি স্থাপন করা হয়। এটি রিস্টোর পয়েন্ট মুছে ফেলা, ফিজিক্যাল সেক্টর ওভাররাইট করা, জার্নাল রেকর্ড পরিষ্কার করা এবং মাউন্ট করা ভলিউমগুলো থেকে সমস্ত সিস্টেম ফাইল সরিয়ে ফেলার মাধ্যমে ধ্বংস প্রক্রিয়াটি সম্পন্ন করে। এই পর্যায়ে, বাহ্যিক ব্যাকআপ ছাড়া পুনরুদ্ধার করা কার্যত অসম্ভব হয়ে পড়ে।
প্রতিরক্ষামূলক সুপারিশ: পর্যবেক্ষণ ও প্রশমন
প্রতিষ্ঠানগুলোর, বিশেষ করে গুরুত্বপূর্ণ অবকাঠামো খাতের প্রতিষ্ঠানগুলোর, সক্রিয় পর্যবেক্ষণ ও শনাক্তকরণ কৌশল গ্রহণ করা উচিত। এক্ষেত্রে প্রধান বিবেচ্য বিষয়গুলো হলো:
NETLOGON শেয়ারের পরিবর্তন পর্যবেক্ষণ করা হচ্ছে
ক্রেডেনশিয়াল ডাম্পিং বা প্রিভিলেজ এসক্যালেশন প্রচেষ্টা সনাক্তকরণ
fsutil, robocopy, এবং diskpart-এর মতো নেটিভ টুলগুলির অস্বাভাবিক ব্যবহার ট্র্যাক করা
কৌশলগত অন্তর্দৃষ্টি: পূর্ববর্তী আপোসের প্রমাণ
পুরানো উইন্ডোজ পরিবেশের জন্য তৈরি কার্যকারিতার উপস্থিতি পূর্ববর্তী পর্যবেক্ষণ এবং দীর্ঘমেয়াদী অ্যাক্সেসের ইঙ্গিত দেয়। আক্রমণকারীদের সম্ভবত লক্ষ্যবস্তু করা পরিকাঠামো সম্পর্কে বিস্তারিত জ্ঞান ছিল এবং তারা ধ্বংসাত্মক পর্যায় শুরু করার অনেক আগেই ডোমেইন পরিবেশে অনুপ্রবেশ করে থাকতে পারে।
