নাইকন এপিটি
নাইকন হল একটি APT (Advanced Persistent Threat) এর নাম যা চীন থেকে উদ্ভূত বলে মনে করা হয়। নাইকন হ্যাকিং গ্রুপটিকে প্রথম দেখা গিয়েছিল এক দশকেরও বেশি আগে, 2010 সালে। নাইকন এপিটি 2015 সালে শিরোনাম করেছিল যখন সাইবার ক্রুকদের দ্বারা ব্যবহৃত পরিকাঠামো ম্যালওয়্যার গবেষকদের দ্বারা উন্মোচিত হয়েছিল। এই প্রকাশের জন্য ধন্যবাদ, নাইকন হ্যাকিং গ্রুপের একজন সদস্য আইন প্রয়োগকারীর হাতে ধরা পড়ে। এই গ্যাফের পরে, সাইবার নিরাপত্তা বিশ্লেষকরা ধরে নিয়েছিলেন যে নাইকন এপিটি ব্যবসার বাইরে চলে গেছে। যাইহোক, নাইকন হ্যাকিং গ্রুপটি সম্প্রতি আরিয়া-বডি ব্যাকডোর ট্রোজানের সাথে পুনরায় আবির্ভূত হয়েছে - একটি নতুন হুমকি যার অনেকগুলি বৈশিষ্ট্য রয়েছে।
সুচিপত্র
নিয়াকন আক্রমণ সনাক্তকরণ এড়াতে চেষ্টা করে
নাইকন এপিটি একটি হ্যাকিং গ্রুপ যা সরকারী কর্মকর্তা এবং প্রতিষ্ঠানকে টার্গেট করে। নাইকন হ্যাকিং গ্রুপ দ্বারা পরিচালিত বেশিরভাগ আক্রমণ ফিলিপাইন, ভিয়েতনাম, ইন্দোনেশিয়া, মায়ানমার, ব্রুনাই এবং অস্ট্রেলিয়ায় কেন্দ্রীভূত। নাইকন এপিটি থেকে সাইবার অপরাধীদের দ্বারা লক্ষ্য করা বেশিরভাগ সরকারী প্রতিষ্ঠান সাধারণত বৈদেশিক বিষয়ক খাত বা বিজ্ঞান ও প্রযুক্তি শিল্পে কাজ করে। সরকারী মালিকানাধীন কিছু ব্যবসা এবং কোম্পানি, নাইকন এপিটি দ্বারাও লক্ষ্যবস্তু করা হয়েছে বলে জানা গেছে।
নাইকন এপিটি-এর হ্যাকিং অস্ত্রাগার পর্যবেক্ষণ করে, ম্যালওয়্যার গবেষকরা এই সিদ্ধান্তে পৌঁছেছেন যে এই ব্যক্তিরা দীর্ঘমেয়াদী পুনরুদ্ধার এবং গুপ্তচরবৃত্তি পরিচালনা করার প্রবণতা রাখে। বিদেশী সরকার এবং কর্মকর্তাদের টার্গেট করে এমন হ্যাকিং গ্রুপগুলির জন্য এটি খুবই সাধারণ। সাম্প্রতিক নাইকন অপারেশন যা উপরে উল্লিখিত আরিয়া-বডি হ্যাকিং টুল জড়িত ছিল অস্ট্রেলিয়ান সরকারকে লক্ষ্য করে। আরিয়া-বডি ব্যাকডোর ট্রোজানের লক্ষ্য ছিল ডেটা সংগ্রহ করা এবং লক্ষ্যযুক্ত সরকার-সংযুক্ত সিস্টেমগুলির নিয়ন্ত্রণ গ্রহণ করা। সম্ভবত 2015 সালে নাইকন APT-এর একজন সদস্য ধরা পড়ার পরে, হ্যাকিং গ্রুপটি ম্যালওয়্যার বিশ্লেষকদের দ্বারা সনাক্তকরণ এড়াতে আরও নীরবে কাজ শুরু করার সিদ্ধান্ত নিয়েছে। এটি সম্ভবত বিশেষজ্ঞদের এই বিশ্বাসে বিভ্রান্ত করেছে যে নাইকন হ্যাকিং গ্রুপ অবসর নিয়েছে।
নাইকন হ্যাকিং গ্রুপ স্পিয়ার-ফিশিং ইমেলের মাধ্যমে আরিয়া-বডি ম্যালওয়্যার প্রচার করে। প্রশ্নবিদ্ধ ইমেলগুলি বিশেষভাবে লক্ষ্যে সন্দেহ উত্থাপন এড়াতে তৈরি করা হয়েছিল। জাল ইমেলগুলিতে একটি দূষিত সংযুক্তি থাকবে যার লক্ষ্য মাইক্রোসফ্ট অফিস পরিষেবাতে পাওয়া যায় এমন একটি দুর্বলতাকে কাজে লাগানো।
নাইকন টার্গেট করা আক্রমণের জন্য একটি নতুন লাইফলাইন পায়
যদিও নাইকন বছরের পর বছর ধরে আপাতদৃষ্টিতে সুপ্ত ছিল এবং কেউ কেউ অনুমান করছিল যে APT এর কাঠামোর উপর 2015 সালের একটি বিশদ প্রতিবেদনের পরে ভেঙে দেওয়া হয়েছে, এটি এখন আবার মাথা তুলেছে।
চেক পয়েন্টের সাথে কাজ করা গবেষকরা আবিষ্কার করেছেন যে নাইকন গত কয়েক বছর অবিচ্ছিন্নভাবে একই অঞ্চল - এশিয়া প্যাসিফিক অঞ্চলে অবস্থিত দেশ এবং সংস্থাগুলিকে লক্ষ্য করে কাটিয়েছে। নাইকন দ্বারা আক্রমণ করা অঞ্চলগুলির মধ্যে রয়েছে অস্ট্রেলিয়া, ইন্দোনেশিয়া, ভিয়েতনাম, ব্রুনাই, থাইল্যান্ড এবং মায়ানমার। এই আক্রমণে ব্যবহৃত প্রধান হাতিয়ার ছিল নাইকনের আরিয়া-বডি ব্যাকডোর এবং RAT টুল।
সাম্প্রতিক হামলায় লক্ষ্যবস্তু করা সংগঠনগুলোর মধ্যে রয়েছে সংশ্লিষ্ট দেশের সরকারের মালিকানাধীন সরকারি মন্ত্রণালয় এবং কর্পোরেশন। একটি কৌতূহলপূর্ণ পর্যবেক্ষণ হল যে একবার নাইকন একটি বিদেশী সত্তায় পা রাখলে, এটি ম্যালওয়্যারকে আরও ছড়িয়ে দিতে ব্যবহার করে। এরকম একটি উদাহরণ হল একটি বিদেশী দূতাবাস যা তার আয়োজক দেশের সরকারের কাছে ম্যালওয়্যার ছড়াতে ব্যবহার করা হয়েছিল। এই পদ্ধতিটি দূতাবাসের মধ্যে পরিচিত এবং বিশ্বস্ত পরিচিতি ব্যবহার করে, যা অনুপ্রবেশকে সহজ করে তোলে।
সাম্প্রতিক একটি আক্রমণে, "The Indian Way.doc" নামের একটি রিচ টেক্সট ফরম্যাট ফাইলের মাধ্যমে আরিয়া-বডি পেলোড বিতরণ করা হয়েছিল। ফাইলটি রয়্যালরোড টুল ব্যবহার করে নির্দিষ্ট কিছু কাজে ব্যবহার করার জন্য অস্ত্র তৈরি করা হয়েছিল। একবার রিচ টেক্সট ফরম্যাট ফাইলটি খোলা হলে, এটি "Intel.wll" নামে একটি ফাইল ফেলে দেয়, যা একটি লোডার হিসাবে কাজ করে যা একটি দূরবর্তী ডোমেন থেকে দ্বিতীয় পর্যায়ের পেলোড ডাউনলোড করার চেষ্টা করে।
বিশেষজ্ঞরা বিশ্বাস করেন যে নাইকনের হামলার উদ্দেশ্য গোয়েন্দা তথ্য সংগ্রহ করা এবং সরকারের উপর গুপ্তচরবৃত্তি করা। নাইকন এপিটি এর পিছনের খারাপ অভিনেতারা সংক্রামিত সিস্টেমে ফাইলগুলি অ্যাক্সেস করতে পারে এবং এমনকি কীস্ট্রোক লগ করতে এবং স্ক্রিনশট নিতে পারে। এপিটি এতদিন ধরে তার সাম্প্রতিক ক্রিয়াকলাপগুলির সনাক্তকরণ এড়িয়ে যাওয়ার একটি কারণ ছিল যে নাইকন সরকারী সার্ভারগুলি ব্যবহার করেছিল যেগুলি ইতিমধ্যে তার কমান্ড এবং নিয়ন্ত্রণ পয়েন্ট হিসাবে আপস করা হয়েছিল।
নাইকন এপিটি এখনও তাদের গ্লাভস ঝুলিয়ে দেয়নি, অবশ্যই। যাইহোক, সাইবার অপরাধীরা সাইবার নিরাপত্তা গবেষকদের রাডারের অধীনে থাকার জন্য কিছু ব্যবস্থা নিয়েছে।
নাইকন এপিটি টার্গেট
কয়েক বছর আগের হামলাগুলোর সাথে সাম্প্রতিক হামলার তুলনা করলে দেখা যায় যে নাইকন এপিটি একই অঞ্চলগুলোকে লক্ষ্য করে চলেছে। উল্লিখিত হিসাবে, পাঁচ বছর আগে তাদের লক্ষ্যে এশিয়া-প্রশান্ত মহাসাগরীয় অঞ্চলের সরকারগুলি অন্তর্ভুক্ত ছিল এবং তাদের সাম্প্রতিক আক্রমণগুলিও একই কাজ করে বলে মনে হচ্ছে।
এই গোষ্ঠী সম্পর্কে একটি আকর্ষণীয় বিষয় লক্ষ্য করা যায় যে তারা ধীরে ধীরে বিভিন্ন সরকারে তাদের পদচারণা প্রসারিত করছে। দলটি অন্য সরকারকে সংক্রামিত করার প্রয়াসে একটি লঙ্ঘন করা সরকার থেকে আক্রমণ শুরু করে এটি করে। একটি ঘটনা ছিল যেখানে একটি বিদেশী দূতাবাস অজান্তে তার আয়োজক দেশের সরকারের কাছে সংক্রামিত নথি পাঠিয়েছিল। এই ঘটনাটি দেখায় যে হ্যাকাররা নতুন লক্ষ্যে অনুপ্রবেশ করতে এবং তাদের গুপ্তচরবৃত্তির নেটওয়ার্ককে আরও বিকাশ করতে বিশ্বস্ত পরিচিতিগুলিকে কতটা কার্যকরভাবে ব্যবহার করছে।
নাইকন এপিটি-এর সক্ষমতা এবং লক্ষ্যমাত্রা বিবেচনা করে, এটা স্পষ্ট হয়ে যায় যে আক্রমণের পিছনে উদ্দেশ্য হল লক্ষ্যবস্তু সরকারগুলির উপর গুপ্তচরবৃত্তি করা এবং তাদের উপর গোয়েন্দা তথ্য সংগ্রহ করা। এই গোষ্ঠীটি সরকারী দপ্তরের মধ্যে তাদের লক্ষ্যবস্তু থেকে নির্দিষ্ট নথি সংগ্রহ করছে, এবং অপসারণযোগ্য ড্রাইভ থেকে ডেটা দখল করছে, সংক্রামিত কম্পিউটারের স্ক্রিনশট সংগ্রহ করছে এবং গুপ্তচরবৃত্তির জন্য চুরি করা ডেটা ব্যবহার করছে।
যদি সেগুলি যথেষ্ট খারাপ না হয়, নাইকন এপিটি সরকারী নেটওয়ার্কগুলির মধ্য দিয়ে যাওয়ার সময় সনাক্তকরণ এড়াতে পারদর্শী প্রমাণিত হয়েছে। গ্রুপটি একটি সংক্রামিত মন্ত্রকের মধ্যে সার্ভারের সাথে আপস করে এবং সেই কম্পিউটারগুলিকে একটি কমান্ড এবং নিয়ন্ত্রণ সার্ভার হিসাবে ব্যবহার করে চুরি করা ডেটা সংগ্রহ এবং প্রেরণ করে। এই সংক্রমণ পদ্ধতির জন্য তাদের ট্রেস করা প্রায় অসম্ভব। এটি এমন একটি উপায় যা তারা পাঁচ বছর ধরে সনাক্তকরণ এড়াতে সক্ষম হয়েছিল।
আরিয়া-বডি ইনফেকশন চেইন
গবেষণা দেখায় যে গ্রুপটির আরিয়া-বডির সাথে কম্পিউটারগুলিকে সংক্রামিত করার বিভিন্ন উপায় রয়েছে। গবেষকরা এই অঞ্চলের একটি সরকারি দূতাবাস দ্বারা অস্ট্রেলিয়ান রাজ্য সরকারকে পাঠানো একটি দূষিত ইমেল দেখতে পেলে এই গ্রুপের তদন্ত শুরু হয়। সংক্রামিত নথিটিকে "দ্য ইন্ডিয়ানস ওয়ে" বলা হয়েছিল এবং এটি একটি RTF ফাইল ছিল। ফাইলটি রয়্যালরোড এক্সপ্লয়েট বিল্ডারের সাথে অস্ত্রোপচার করা হয়েছিল, যা কম্পিউটারের ওয়ার্ড ফোল্ডারে intel.wll লোডার ড্রপ করে। লোডার spool.jtjewifyn[.]com থেকে সংক্রমণের পরবর্তী পর্যায়ে ডাউনলোড করার চেষ্টা করে এবং এটি কার্যকর করে।
এটি প্রথমবার নয় যে হ্যাকাররা চূড়ান্ত ডেলিভারি করতে RoyalRoad ম্যালওয়্যার ব্যবহার করেছে৷ অন্যান্য ATP গ্রুপ, যেমন Vicious Panda, এছাড়াও RoyalRoad বিতরণ পদ্ধতি ব্যবহার করে। নাইকনকে আর্কাইভ ফাইল ব্যবহার করতেও দেখা গেছে যেগুলোতে দূষিত DLL ফাইল লোড করা বৈধ ফাইল রয়েছে। এই পদ্ধতিটি আউটলুক এবং অন্যান্য বৈধ এক্সিকিউটেবল ফাইলগুলির সুবিধা গ্রহণ করে একটি টার্গেটে সাইবার-আক্রমণ চালাতে। Naikon APT সরল দৃষ্টিতে লুকিয়ে থাকতে খুব পারদর্শী বলে মনে হচ্ছে।
নাইকনের প্রথম পর্যায়ের লোডার
আরিয়া-বডি RAT মোতায়েন করার আগে, প্রথম-পর্যায়ের লোডার সংক্রমিত সিস্টেমে বেশ কয়েকটি কাজ করে। লোডার শিকারের মেশিনে স্থিরতা নিশ্চিত করার জন্য দায়ী, প্রায়ই স্টার্টআপ ফোল্ডার ব্যবহার করে। তারপর পেলোড নিজেকে অন্য একটি প্রক্রিয়ার মধ্যে ইনজেক্ট করে, লক্ষ্যযুক্ত প্রসেসের কিছু উদাহরণ হল dllhost.exe এবং rundll32.exe। লোডার তার কনফিগারেশন ডিক্রিপ্ট করে এবং পরবর্তী পর্যায়ের পেলোড ডাউনলোড করতে C&C-এর সাথে যোগাযোগ করে - Aria-body RAT, যা তারপর ডিক্রিপ্ট করা হয় এবং লোড করা হয়।
নাইকনের আরিয়া-বডি প্রসেস পাথ
আরিয়া-শরীরের দিকে ঘনিষ্ঠ দৃষ্টি
নাইকন দ্বারা সম্পাদিত সাম্প্রতিক আক্রমণগুলি আবারও আরিয়া-বডি কাস্টম RAT ব্যবহার করেছে, সম্ভবত এটির উদ্দেশ্যে APT দ্বারা তৈরি করা হয়েছে। পেলোডের ফাইলের নামটি গবেষকরা এর নামের জন্য ব্যবহার করেছেন - aria-body-dllx86.dll৷ কাস্টম RAT-এর কার্যকারিতা বেশিরভাগ অন্যান্য RAT-তে পাওয়া যায়:
- ফাইল এবং ডিরেক্টরি ম্যানিপুলেশন
- স্ক্রিনশট নেওয়া
- ফাইলের জন্য অনুসন্ধান
- ShellExecute ফাংশন ব্যবহার করে ফাইল চালু করা
- একটি TCP সেশন বন্ধ করা হচ্ছে
- অ্যামাজনের 'চেককিপ' পরিষেবা ব্যবহার করে ভিকটিম সিস্টেমের অবস্থান পরীক্ষা করা
গবেষকরা আরিয়া-বডির বিভিন্ন দৃষ্টান্ত দেখেছেন যেগুলির মধ্যে নিম্নলিখিত কিছু কার্যকারিতাও ছিল:
- ইউএসবি ডেটা সংগ্রহ করা হচ্ছে
- কীস্ট্রোক লগার
- বিপরীত মোজা প্রক্সি
আরিয়া-বডির প্রথম কাজ হল ভিকটিম সিস্টেম সম্পর্কে যতটা সম্ভব তথ্য স্ক্র্যাপ করা। সংগৃহীত বিশদগুলির মধ্যে হোস্টের নাম, ব্যবহারকারীর নাম, OS সংস্করণ, CPU ফ্রিকোয়েন্সি, MachineGUID কী এবং সর্বজনীন IP ঠিকানা অন্তর্ভুক্ত রয়েছে। সংগৃহীত ডেটা একটি এলোমেলোভাবে তৈরি করা পাসওয়ার্ড দিয়ে জিপ করা হয় যা তারপর এনক্রিপ্ট করা হয়।
RAT তার C&C সার্ভারের সাথে HTTP বা TCP ব্যবহার করে যোগাযোগ করতে পারে। কোন প্রোটোকল ব্যবহার করা হয় তা লোডারের কনফিগারেশনের একটি পতাকা দ্বারা নির্ধারিত হয়। ভিকটিম জিপ করা সিস্টেম ডেটা এনক্রিপ্ট করা আর্কাইভ পাসওয়ার্ডের সাথে একসাথে C&C-তে স্থানান্তরিত হয়। স্থানান্তর সম্পূর্ণ হওয়ার পরে, RAT আগত কমান্ডের জন্য তার C&C শুনতে শুরু করে।
