Nexcorium Botnet

সাইবার নিরাপত্তা তদন্তে জানা গেছে যে, আক্রমণকারীরা মিরাই বটনেটের বিভিন্ন সংস্করণ ছড়ানোর জন্য টিবিকে ডিভিআর সিস্টেম এবং মেয়াদোত্তীর্ণ টিপি-লিঙ্ক ওয়াই-ফাই রাউটারের নিরাপত্তা দুর্বলতা সক্রিয়ভাবে কাজে লাগাচ্ছে। নিরাপত্তা কৌশলে প্রায়শই উপেক্ষিত এই ডিভাইসগুলো, পুরোনো ফার্মওয়্যার, দুর্বল কনফিগারেশন এবং অনিয়মিত প্যাচিংয়ের কারণে আকর্ষণীয় প্রবেশপথ হিসেবে কাজ করে। এগুলোর ব্যাপক ব্যবহার বড় আকারের সাইবার হামলায় লক্ষ্যবস্তু হিসেবে এদের গুরুত্বকে আরও বাড়িয়ে তোলে।

প্রাথমিক অ্যাক্সেসের জন্য পরিচিত দুর্বলতার অপব্যবহার

টিবিকে ডিভিআর ডিভাইসগুলোকে লক্ষ্য করে চালানো এই ক্যাম্পেইনটি CVE-2024-3721 নামক একটি মাঝারি-গুরুত্বপূর্ণ কমান্ড ইনজেকশন দুর্বলতাকে (CVSS স্কোর: 6.3) কাজে লাগায়, যা DVR-4104 এবং DVR-4216 মডেলগুলোকে প্রভাবিত করে। এই ত্রুটিটি কাজে লাগিয়ে আক্রমণকারীরা নেক্সকোরিয়াম নামে পরিচিত একটি মিরাই-ভিত্তিক পেলোড সরবরাহ করে। পূর্ববর্তী ক্যাম্পেইনগুলোতেও এই দুর্বলতাটি অলক্ষিত থাকেনি; এটি আগে মিরাই-এর বিভিন্ন ভ্যারিয়েন্ট এবং উদীয়মান রনডোডক্স বটনেট উভয়ই মোতায়েন করতে ব্যবহৃত হয়েছে।

এছাড়াও, পূর্ববর্তী গবেষণায় একটি 'লোডার-অ্যাজ-এ-সার্ভিস' ইকোসিস্টেমের ওপর আলোকপাত করা হয়েছে, যা রাউটার, আইওটি ডিভাইস এবং এন্টারপ্রাইজ অ্যাপ্লিকেশন জুড়ে দুর্বল ক্রেডেনশিয়াল ও পুরোনো দুর্বলতার অপব্যবহারের মাধ্যমে রনডোডক্স, মিরাই এবং মর্টে-সহ একাধিক ম্যালওয়্যার পরিবার বিতরণের জন্য দায়ী।

সংক্রমণ শৃঙ্খল এবং পেলোড স্থাপন

আক্রমণ প্রক্রিয়াটি ডিভিআর-এর দুর্বলতা কাজে লাগিয়ে একটি ডাউনলোডার স্ক্রিপ্ট স্থাপনের মাধ্যমে শুরু হয়। এই স্ক্রিপ্টটি টার্গেট সিস্টেমের লিনাক্স আর্কিটেকচার শনাক্ত করে এবং উপযুক্ত বটনেট পেলোডটি কার্যকর করে। একবার সক্রিয় হলে, ম্যালওয়্যারটি নিয়ন্ত্রণ প্রতিষ্ঠিত হয়েছে এমন একটি বার্তা প্রদর্শন করে সিস্টেমটি নিয়ন্ত্রণের বাইরে চলে যাওয়ার সংকেত দেয়।

নেক্সকোরিয়াম প্রচলিত মিরাই সংস্করণগুলোর কাঠামোগত নকশাকেই অনুসরণ করে এবং এতে এনকোডেড কনফিগারেশন ডেটা, সিস্টেম পর্যবেক্ষণ ব্যবস্থা, এবং ডিস্ট্রিবিউটেড ডিনায়াল-অফ-সার্ভিস আক্রমণ চালানোর জন্য বিশেষ মডিউল অন্তর্ভুক্ত রয়েছে।

পার্শ্বীয় গতিবিধি এবং অধ্যবসায় কৌশল

এই ম্যালওয়্যারটি CVE-2017-17215 সহ অন্যান্য দুর্বলতা কাজে লাগিয়ে নেটওয়ার্কের মধ্যে তার বিস্তার ঘটায় এবং হুয়াওয়ে HG532 ডিভাইসগুলোকে লক্ষ্যবস্তু করে। এটি টেলনেট অ্যাক্সেসের মাধ্যমে অন্যান্য সিস্টেমকে ক্ষতিগ্রস্ত করতে এমবেডেড ক্রেডেনশিয়াল লিস্ট ব্যবহার করে ব্রুট-ফোর্স কৌশলও প্রয়োগ করে।

একবার প্রবেশাধিকার পেলে, ম্যালওয়্যারটি বেশ কিছু পদক্ষেপ গ্রহণ করে:

• হ্যাক হওয়া হোস্টে একটি শেল সেশন স্থাপন করে।
• ক্রনট্যাব এবং সিস্টেমডি পরিষেবা ব্যবহার করে ডেটা স্থায়িত্ব কনফিগার করে।
• নির্দেশাবলীর জন্য একটি দূরবর্তী কমান্ড-অ্যান্ড-কন্ট্রোল সার্ভারের সাথে সংযোগ স্থাপন করে।
• ফরেনসিক দৃশ্যমানতা কমাতে মূল বাইনারিটি মুছে ফেলে।

এই পদক্ষেপগুলো শনাক্তকরণ ও বিশ্লেষণের সম্ভাবনা কমিয়ে এনে নিরবচ্ছিন্ন নিয়ন্ত্রণ নিশ্চিত করে।

বটনেটের সক্ষমতা এবং পরিচালনগত প্রভাব

স্থায়িত্ব নিশ্চিত করার পর, নেক্সকোরিয়াম আক্রমণকারীদের একাধিক প্রোটোকল ব্যবহার করে বিভিন্ন ধরনের ডিডস (DDoS) আক্রমণ চালানোর সুযোগ করে দেয়, যার মধ্যে রয়েছে:

ইউডিপি
টিসিপি
এসএমটিপি

এই বহুমুখী সক্ষমতা নমনীয় ও উচ্চ-প্রভাবশালী আক্রমণের পরিস্থিতি তৈরি করে, যা বটনেটকে লক্ষ্যবস্তু অবকাঠামোর জন্য একটি উল্লেখযোগ্য হুমকিতে পরিণত করে।

স্থায়ী হুমকির পরিদৃশ্য এবং ভবিষ্যৎ ঝুঁকি

নেক্সকোরিয়াম আইওটি-কেন্দ্রিক বটনেটগুলোর বিবর্তনের একটি উৎকৃষ্ট উদাহরণ, যা এক্সপ্লয়েট পুনঃব্যবহার, বিভিন্ন আর্কিটেকচারের সাথে সামঞ্জস্যতা এবং শক্তিশালী স্থায়িত্ব ব্যবস্থার সমন্বয় ঘটায়। পরিচিত দুর্বলতাগুলোর সাথে আক্রমণাত্মক ব্রুট-ফোর্স কৌশলের সমন্বয় এর উচ্চ মাত্রার অভিযোজন ক্ষমতা প্রদর্শন করে।

ডিফল্ট ক্রেডেনশিয়াল এবং আনপ্যাচড ডিভাইসের উপর ক্রমাগত নির্ভরতা নিশ্চিত করে যে IoT ইকোসিস্টেমগুলো একটি গুরুতর দুর্বল স্থান হিসেবেই থেকে যাবে। ডিভাইস নিরাপত্তা ব্যবস্থায় উল্লেখযোগ্য উন্নতি না হলে, এই সিস্টেমগুলো বড় আকারের বটনেট কার্যক্রমকে ইন্ধন জোগাতে এবং বৈশ্বিক নেটওয়ার্কের স্থিতিশীলতা বিঘ্নিত করতে থাকবে।