মাডিওয়াটার ফলস ফ্ল্যাগ র‍্যানসমওয়্যার আক্রমণ

ইরানের রাষ্ট্র-সমর্থিত হুমকি সৃষ্টিকারী গোষ্ঠী মাডিওয়াটার, যা ম্যাঙ্গো স্যান্ডস্টর্ম, সিডওয়ার্ম এবং স্ট্যাটিক কিটেন-এর মতো ছদ্মনামেও পরিচিত, একটি অত্যাধুনিক র‍্যানসমওয়্যার অভিযানের সাথে জড়িত বলে জানা গেছে, যাকে তদন্তকারীরা একটি ‘ফলস-ফ্ল্যাগ’ অপারেশন হিসেবে বর্ণনা করেছেন। যদিও এই অনুপ্রবেশটি প্রাথমিকভাবে ক্যাওস র‍্যানসমওয়্যার ব্র্যান্ড ব্যবহার করে একটি প্রচলিত র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস (RaaS) অপারেশনের কার্যকলাপের মতো মনে হয়েছিল, গভীরতর বিশ্লেষণে এমন কিছু বৈশিষ্ট্য প্রকাশ পেয়েছে যা আর্থিকভাবে উদ্দেশ্যপ্রণোদিত চাঁদাবাজির ছদ্মবেশে পরিচালিত একটি লক্ষ্যবস্তুভিত্তিক রাষ্ট্র-সমর্থিত সাইবার আক্রমণের সাথে সামঞ্জস্যপূর্ণ।

২০২৬ সালের শুরুতে শনাক্ত হওয়া এই অপারেশনটি মাইক্রোসফট টিমস-এর মাধ্যমে সোশ্যাল ইঞ্জিনিয়ারিংয়ের ওপর ব্যাপকভাবে নির্ভরশীল ছিল। আক্রমণকারীরা স্ক্রিন-শেয়ারিং সুবিধা ব্যবহার করে ক্রেডেনশিয়াল সংগ্রহ এবং মাল্টি-ফ্যাক্টর অথেনটিকেশন প্রক্রিয়াকে ম্যানিপুলেট করার মাধ্যমে ভুক্তভোগীদের সাথে অত্যন্ত ইন্টারেক্টিভ এনগেজমেন্ট সেশন পরিচালনা করত। অ্যাক্সেস পাওয়ার পর, এই হুমকিদাতারা বড় আকারের ফাইল এনক্রিপশনের মতো প্রচলিত র‍্যানসমওয়্যার কৌশলগুলো পরিত্যাগ করে এবং এর পরিবর্তে ডেটা চুরি, গোপনে নেটওয়ার্কে টিকে থাকা এবং রিমোট ম্যানেজমেন্ট ইউটিলিটির মাধ্যমে দীর্ঘমেয়াদী নেটওয়ার্ক অ্যাক্সেসের ওপর মনোযোগ দেয়।

রাষ্ট্রীয় কার্যক্রম গোপন করতে ব্যবহৃত সাইবার অপরাধের কৌশল

গবেষকদের মতে, এই অভিযানটি সাইবার অপরাধী চক্রের সঙ্গে সাধারণত যুক্ত সরঞ্জাম ও কৌশল অবলম্বন করে নিজেদের পরিচয় গোপন করার জন্য মাডিওয়াটারের একটি ইচ্ছাকৃত প্রচেষ্টাকে প্রতিফলিত করে। দলটি তাদের কার্যক্রমে বাণিজ্যিকভাবে উপলব্ধ গোপন ম্যালওয়্যার এবং রিমোট অ্যাক্সেস ফ্রেমওয়ার্ক ক্রমবর্ধমানভাবে অন্তর্ভুক্ত করেছে, যার মধ্যে ক্যাসেলর‍্যাট (CastleRAT) এবং সুন্ডেরে (Tsundere)-এর মতো সরঞ্জামও রয়েছে।

এই কৌশলটি মাডিওয়াটারের পূর্ববর্তী অভিযানগুলোর সাথে সামঞ্জস্যপূর্ণ, যেখানে গুপ্তচরবৃত্তি ও ধ্বংসাত্মক কার্যকলাপের সাথে র‍্যানসমওয়্যার-ধাঁচের কার্যক্রমকে মিশ্রিত করা হয়েছিল। ২০২০ সালে, দলটি পাওগুপ লোডার ব্যবহার করে থানোস র‍্যানসমওয়্যারের একটি ধ্বংসাত্মক সংস্করণ প্রয়োগ করার জন্য প্রধান প্রধান ইসরায়েলি সংস্থাগুলোকে লক্ষ্যবস্তু করেছিল। ২০২৩ সালে, মাইক্রোসফট র‍্যানসমওয়্যার হামলার ছদ্মবেশে চালানো আক্রমণের সময় দলটিকে ডার্কবিট ছদ্মনামের সাথে যুক্ত ডিইভি-১০৮৪ নামক এক অ্যাক্টরের সাথে যুক্ত করে। ২০২৫ সালের শেষের দিকে, ইরান-সম্পর্কিত অপারেটররা একটি ইসরায়েলি সরকারি হাসপাতালের বিরুদ্ধে কিলিন র‍্যানসমওয়্যার ব্যবহার করেছে বলেও সন্দেহ করা হয়।

নিরাপত্তা গবেষকরা এই সিদ্ধান্তে উপনীত হয়েছেন যে, সাম্প্রতিক এই অভিযানটিতে সম্ভবত ইরান-সমর্থিত অপারেটররা প্রতিষ্ঠিত সাইবার অপরাধী পরিকাঠামোর মাধ্যমে বৃহত্তর ভূ-রাজনৈতিক উদ্দেশ্য সাধনের জন্য কাজ করেছে। কিলিনের ব্যবহার এবং র‍্যানসমওয়্যার অ্যাফিলিয়েট ইকোসিস্টেমে অংশগ্রহণ সম্ভবত আক্রমণকারীদেরকে অভিযানিক সুরক্ষা, বিশ্বাসযোগ্য অস্বীকৃতি এবং উন্নত আক্রমণ সক্ষমতা ব্যবহারের সুযোগ করে দিয়েছে, যা তাদেরকে ইসরায়েলের কড়া প্রতিরক্ষা নজরদারি এড়াতেও সাহায্য করেছে।

ক্যাওস রাএস: একটি ক্রমবর্ধমান চাঁদাবাজির বাস্তুতন্ত্র

২০২৫ সালের শুরুর দিকে ‘ক্যাওস’ একটি ‘র‍্যানসমওয়্যার-অ্যাজ-এ-সার্ভিস’ অপারেশন হিসেবে আত্মপ্রকাশ করে, যা আগ্রাসী দ্বৈত চাঁদাবাজির কৌশলের জন্য পরিচিত ছিল। দলটি RAMP এবং RehubCom-এর মতো আন্ডারগ্রাউন্ড সাইবারক্রাইম ফোরামগুলোতে তাদের অ্যাফিলিয়েট প্রোগ্রামের প্রচার চালায় এবং দ্রুত তাদের কার্যক্রমের পরিধি প্রসারিত করে।

ক্যাওস ক্যাম্পেইনগুলোতে সাধারণত ইমেল ফ্লাডিং, ভয়েস ফিশিং এবং মাইক্রোসফট টিমস ইমপার্সোনেশন অ্যাটাকের মতো আক্রমণগুলো একত্রিত করা হয়, যেখানে আক্রমণকারীরা আইটি সাপোর্ট স্টাফ হিসেবে নিজেদের পরিচয় দেয়। ভুক্তভোগীদেরকে মাইক্রোসফট কুইক অ্যাসিস্টের মতো রিমোট অ্যাক্সেস অ্যাপ্লিকেশন ইনস্টল করতে প্ররোচিত করা হয়, যা আক্রমণকারীদের কর্পোরেট পরিবেশে নিজেদের অবস্থান তৈরি করতে এবং পরবর্তীতে প্রিভিলেজ বৃদ্ধি, পার্শ্বীয়ভাবে অগ্রসর হওয়া ও র‍্যানসমওয়্যার পেলোড স্থাপন করতে সক্ষম করে।

গোষ্ঠীটি ক্রমবর্ধমানভাবে আগ্রাসী চাঁদাবাজির মডেলও প্রদর্শন করেছে:

• তথ্য চুরি এবং মুক্তিপণের দাবির মাধ্যমে দ্বৈত চাঁদাবাজি
• ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণের হুমকির মাধ্যমে ত্রিমুখী চাঁদাবাজি।
• চতুর্মুখী চাঁদাবাজির কৌশল, যার মধ্যে ভুক্তভোগীদের উপর চাপ বাড়ানোর জন্য গ্রাহক, অংশীদার বা প্রতিযোগীদের সাথে যোগাযোগ করার হুমকি অন্তর্ভুক্ত।

২০২৬ সালের মার্চের মধ্যে, ক্যাওস তার তথ্য ফাঁসের প্ল্যাটফর্মে ৩৬টি প্রতিষ্ঠানকে শিকার বানিয়েছিল, যাদের অধিকাংশই ছিল মার্কিন যুক্তরাষ্ট্রে অবস্থিত। নির্মাণ, উৎপাদন এবং ব্যবসায়িক পরিষেবা খাতগুলো সবচেয়ে বেশি লক্ষ্যবস্তু হওয়া শিল্পগুলোর মধ্যে অন্যতম বলে মনে হয়েছিল।

অনুপ্রবেশের শারীরস্থান

তদন্তাধীন অনুপ্রবেশ চলাকালীন, আক্রমণকারীরা বিশ্বাস অর্জন করতে এবং স্ক্রিন-শেয়ারিং সেশনে উৎসাহিত করার জন্য কর্মীদের সাথে মাইক্রোসফট টিমস-এ বাহ্যিক কথোপকথন শুরু করে। এরপর হ্যাক হওয়া ব্যবহারকারী অ্যাকাউন্টগুলো তথ্য সংগ্রহ, সিস্টেমে টিকে থাকা, পার্শ্বীয় স্থানান্তর এবং ডেটা পাচারের জন্য ব্যবহার করা হয়।

ভুক্তভোগী সিস্টেমের সাথে সংযুক্ত থাকাকালীন, আক্রমণকারীরা তথ্য সংগ্রহের কমান্ড চালায়, ভিপিএন-সম্পর্কিত ফাইল অ্যাক্সেস করে এবং ব্যবহারকারীদের স্থানীয়ভাবে তৈরি টেক্সট ডকুমেন্টে ম্যানুয়ালি ক্রেডেনশিয়াল প্রবেশ করাতে নির্দেশ দেয়। বেশ কয়েকটি ক্ষেত্রে, রিমোট অ্যাক্সেসের সক্ষমতা জোরদার করার জন্য AnyDesk ইনস্টল করা হয়েছিল।

আক্রমণকারীরা অতিরিক্তভাবে রিমোট ডেস্কটপ প্রোটোকল (RDP) ব্যবহার করে কার্ল (curl) ইউটিলিটির মাধ্যমে 172.86.126.208 বাহ্যিক সার্ভার ঠিকানা থেকে “ms_upd.exe” নামের একটি এক্সিকিউটেবল ফাইল সংগ্রহ করে। একবার চালু হলে, ম্যালওয়্যারটি একটি বহু-পর্যায়ের সংক্রমণ শৃঙ্খল শুরু করে, যা অতিরিক্ত ক্ষতিকারক উপাদান স্থাপন এবং স্থায়ী কমান্ড-অ্যান্ড-কন্ট্রোল যোগাযোগ প্রতিষ্ঠার জন্য পরিকল্পিত ছিল।

এই প্রচারণার নেপথ্যে থাকা ম্যালওয়্যার অস্ত্রাগার

সংক্রমণ শৃঙ্খলটিতে বেশ কয়েকটি স্বতন্ত্র ম্যালওয়্যার উপাদান অন্তর্ভুক্ত ছিল, যেগুলো স্থায়িত্ব বজায় রাখতে এবং দূরবর্তী কমান্ড কার্যকর করতে একত্রে কাজ করত:

• 'ms_upd.exe' (Stagecomp) সিস্টেমের তথ্য সংগ্রহ করেছে এবং 'game.exe,' 'WebView2Loader.dll,' ও 'visualwincomp.txt' সহ সেকেন্ডারি পেলোডগুলো ডাউনলোড করার জন্য একটি কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করেছে।

একবার সক্রিয় হলে, রিমোট অ্যাক্সেস ট্রোজানটি প্রতি ৬০ সেকেন্ড পর পর তার কমান্ড সার্ভারের সাথে ক্রমাগত যোগাযোগ করত, যার ফলে ব্যবহারকারীরা পাওয়ারশেল স্ক্রিপ্ট চালাতে, সিস্টেম কমান্ড রান করতে, ফাইল পরিবর্তন করতে এবং ইন্টারেক্টিভ কমান্ড-লাইন সেশন চালু করতে পারত।

অপারেশনটির সাথে মাডিওয়াটারের সংযোগকারী প্রমাণ

'ডোনাল্ড গে'-এর সাথে যুক্ত একটি কোড-সাইনিং সার্টিফিকেট আবিষ্কারের মাধ্যমে মাডিওয়াটারের ওপর এর দায় আরও জোরালো হয়, যা 'ms_upd.exe' ম্যালওয়্যার স্যাম্পলটিতে স্বাক্ষর করতে ব্যবহৃত হয়েছিল। একই সার্টিফিকেটটি এর আগেও মাডিওয়াটার ম্যালওয়্যারের সাথে যুক্ত ছিল, যার মধ্যে ফেকসেট নামে পরিচিত ক্যাসেললোডার ডাউনলোডার ভ্যারিয়েন্টটিও অন্তর্ভুক্ত।

গবেষকরা উল্লেখ করেছেন যে, এই অভিযানটি রাষ্ট্র-পৃষ্ঠপোষকতায় পরিচালিত গুপ্তচরবৃত্তি এবং সাইবার অপরাধীদের কার্যপদ্ধতির মধ্যে একটি উল্লেখযোগ্য সাদৃশ্য প্রদর্শন করেছে। র‍্যানসমওয়্যার ব্র্যান্ডিং, চাঁদাবাজির আলোচনা এবং বাণিজ্যিকভাবে উপলব্ধ ম্যালওয়্যার ফ্রেমওয়ার্কের সংযোজন অপরাধীর পরিচয় শনাক্ত করার প্রচেষ্টাকে জটিল করে তুলেছিল এবং দূরবর্তী অ্যাক্সেস টুলের মাধ্যমে প্রতিষ্ঠিত দীর্ঘমেয়াদী স্থিতিশীলতা ব্যবস্থার পরিবর্তে প্রতিরক্ষা ব্যবস্থার মনোযোগকে তাৎক্ষণিক মুক্তিপণ আদায়ের কার্যক্রমের দিকে সরিয়ে দিয়েছিল।

কেন আক্রমণটি স্বতন্ত্র ছিল

এই অভিযানের সবচেয়ে অস্বাভাবিক দিকগুলোর মধ্যে একটি ছিল, ক্যাওস র‍্যানসমওয়্যার আর্টিফ্যাক্ট ব্যবহার করা সত্ত্বেও ফাইল এনক্রিপশনের ব্যাপক অনুপস্থিতি। র‍্যানসমওয়্যারের সাধারণ আচরণ থেকে এই বিচ্যুতি জোরালোভাবে ইঙ্গিত দেয় যে, র‍্যানসমওয়্যারের উপাদানটি মূল লক্ষ্য পূরণের পরিবর্তে প্রধানত ছদ্মবেশ বা কার্যপরিচালনার ক্ষেত্রে বিভ্রান্তি সৃষ্টির জন্য কাজ করেছিল।

এই প্রচারণাটি ইরানি হুমকি সৃষ্টিকারী গোষ্ঠীগুলোর মধ্যে রাষ্ট্র-পরিচালিত কার্যক্রমে সাইবার অপরাধমূলক সরঞ্জাম অন্তর্ভুক্ত করার একটি ক্রমবর্ধমান প্রবণতাকেও তুলে ধরে। বিদ্যমান গোপন পরিকাঠামো এবং ম্যালওয়্যার ইকোসিস্টেমকে কাজে লাগিয়ে, মাডিওয়াটারের মতো গোষ্ঠীগুলো অধিকতর কার্যক্ষম নমনীয়তা লাভ করে, অভ্যন্তরীণ উন্নয়ন খরচ কমায় এবং প্রতিরোধকারী ও গোয়েন্দা বিশ্লেষক উভয়ের জন্যই অপরাধীর পরিচয় শনাক্ত করার প্রচেষ্টাকে উল্লেখযোগ্যভাবে জটিল করে তোলে।