নোবেলিয়াম এপিটি
নোবেলিয়াম এপিটি গত বছর সাইবার-গুপ্তচরবৃত্তির ল্যান্ডস্কেপের একটি প্রধান খেলোয়াড় হয়ে ওঠে যখন পূর্বে অজানা হ্যাকার গ্রুপ সফ্টওয়্যার ডেভেলপার সোলারউইন্ডসের বিরুদ্ধে একটি বিশাল সরবরাহ-চেইন আক্রমণ চালায়। সেই সময়ে, মাইক্রোসফ্ট হ্যাকার সমষ্টিকে সোলারিগেট নামটি বরাদ্দ করেছিল কিন্তু পরে এটি নোবেলিয়ামে পরিবর্তন করেছিল। সাইবারসিকিউরিটি কোম্পানি FireEye UNC2542 উপাধির অধীনে গ্রুপের কার্যকলাপ ট্র্যাক করে।
SolarWinds আক্রমণ
SolarWinds-এর বিরুদ্ধে হ্যাক, নোবেলিয়াম চারটি ভিন্ন ম্যালওয়্যার স্ট্রেন স্থাপন করেছে যা তাদের সাপ্লাই-চেইন আক্রমণে সাহায্য করেছিল। প্রথমত, SolarWinds এর নেটওয়ার্ক লঙ্ঘন হওয়ার পরপরই হ্যাকাররা একটি বিল্ড সার্ভারে Sunspot ম্যালওয়্যার ফেলে দেয়। ম্যালওয়্যার স্ট্রেনটি একটি একক উদ্দেশ্যের সাথে ডিজাইন করা হয়েছিল - বিল্ড সার্ভারে অপেক্ষা করার জন্য যতক্ষণ না এটি একটি বিল্ড কমান্ড সনাক্ত করে যা SolarWinds-এর প্রধান পণ্যগুলির মধ্যে একটি - IT সম্পদ পর্যবেক্ষণ প্ল্যাটফর্ম ওরিয়নকে একত্রিত করে। সেই সময়ে 33,000 এরও বেশি গ্রাহক ওরিয়ন ব্যবহার করছিলেন। যখন সানস্পট সক্রিয় করার জন্য সঠিক পরিস্থিতি সনাক্ত করে, তখন এটি চুপিসারে নির্দিষ্ট সোর্স কোড ফাইলগুলিকে দূষিত ফাইলগুলির সাথে প্রতিস্থাপন করবে যা পরবর্তী পর্যায়ের পেলোড - সানবার্স্ট ম্যালওয়্যার লোড করার জন্য দায়ী। ফলস্বরূপ, ওরিয়নের এখন ট্রোজানাইজড সংস্করণটি কোম্পানির ক্লায়েন্টদের কাছে বিতরণ করা হয়েছিল যারা এটি কার্যকর করার পরে তাদের অভ্যন্তরীণ নেটওয়ার্কগুলিকে সংক্রামিত করেছিল।
সানবার্স্ট একটি পুনরুদ্ধার সরঞ্জাম হিসাবে কাজ করে যা আপোসকৃত সংস্থার সিস্টেমগুলি থেকে ডেটা সংগ্রহ করে এবং তারপরে এটি হ্যাকারদের কাছে ফেরত দেয়। সংগৃহীত তথ্য তখন নোবেলিয়াম ব্যবহার করে সিদ্ধান্ত নেয় যে নির্দিষ্ট শিকার ব্যক্তিটি আক্রমণের আরও বৃদ্ধির জন্য যথেষ্ট গুরুত্বপূর্ণ ছিল কিনা। যেগুলিকে ঝুঁকির যোগ্য বলে মনে করা হয়েছিল তারা আক্রমণের চূড়ান্ত পর্যায়ের শিকার হয়েছিল যার মধ্যে আরও শক্তিশালী টিয়ারড্রপ ব্যাকডোর স্থাপন করা ছিল। টিয়ারড্রপের বিতরণের সাথে সাথে, সানবার্স্টকে আপোসকৃত সিস্টেমে আক্রমণকারীর পদচিহ্ন কমাতে নিজেকে মুছে ফেলার নির্দেশ দেওয়া হয়েছিল। কিছু নির্বাচিত কিছু শিকারের উপর, হ্যাকাররা একটি ম্যালওয়্যার স্ট্রেন সরবরাহ করেছে যা টিয়ারড্রপকে কার্যকরীভাবে মিরর করেছে কিন্তু এর অন্তর্নিহিত কোডে ব্যাপকভাবে ভিন্ন। রেইনড্রপ নামে পরিচিত , এই ম্যালওয়্যার হুমকিটি গবেষকদের বিস্মিত করেছিল কারণ তারা টিয়ারড্রপের বিপরীতে এর প্রবেশ বিন্দু নির্ধারণ করতে পারেনি যা পূর্ববর্তী পর্যায়ের সানবার্স্ট ম্যালওয়্যার দ্বারা সরাসরি বাদ দেওয়া হয়েছিল। গোল্ডম্যাক্স
গবেষকরা নতুন নোবেলিয়াম-সম্পর্কিত ম্যালওয়্যার স্ট্রেন উন্মোচন করেছেন
নোবেলিয়াম হ্যাকাররা তাদের ক্রিয়াকলাপকে কমিয়ে দিচ্ছে না, যেমনটি মাইক্রোসফ্ট এবং ফায়ারআই সিকিউরিটি কোম্পানির দ্বারা প্রকাশিত হয়েছে যারা এখনও গ্রুপটিকে পর্যবেক্ষণ করছে। গবেষকরা সাইবার অপরাধীদের অস্ত্রাগারে যোগ করা বেশ কয়েকটি নতুন কাস্টম-বিল্ড ম্যালওয়্যার স্ট্রেন প্রত্যক্ষ করেছেন। এর মধ্যে রয়েছে:
- গোল্ডম্যাক্স /সানশাটল ম্যালওয়্যার - একটি অত্যাধুনিক ব্যাকডোর হুমকি৷ এর প্রধান বৈশিষ্ট্য হল Google.com, Facebook.com, Yahoo.com এবং Bing.com-এর মতন অন্তর্ভুক্ত বৈধ ওয়েবসাইটের URL-এর তালিকা থেকে রেফারার বাছাই করে C2 সার্ভারের সাথে যোগাযোগের ফলে সৃষ্ট ট্রাফিককে মিশ্রিত করার ক্ষমতা।
- সিবোট ম্যালওয়্যার - একটি দ্বিতীয়-পর্যায়ের ড্রপার যা অধ্যবসায় অর্জন এবং তারপরে C2 সার্ভার থেকে পরবর্তী-পর্যায়ের পেলোড আনা এবং কার্যকর করার দায়িত্ব দেওয়া হয়। এর হুমকিমূলক VBScript ফাইলটি একটি বৈধ উইন্ডোজ টাস্কের মতো একটি নাম ধরে নেয় এবং তারপরে হয় রেজিস্ট্রিতে বা লঙ্ঘিত সিস্টেমের ডিস্কে একটি অস্পষ্ট বিন্যাসে সংরক্ষণ করা হয়।
- গোল্ডফাইন্ডার ম্যালওয়্যার - অত্যন্ত বিশেষায়িত ম্যালওয়্যার স্ট্রেন যা একটি HTTP ট্রেসার টুল হিসাবে কাজ করে৷ প্যাকেটগুলি C2 সার্ভারে যাওয়ার পথে যে পথটি নেয় তা হুমকিটি সঠিকভাবে চিহ্নিত করে। গোল্ডফাইন্ডার তখন নোবেলিয়াম হ্যাকারদেরকে সতর্ক করতে পারে যেকোন HTTP প্রক্সি সার্ভারের বা আপোসকৃত সংস্থার দ্বারা নিয়োজিত নেটওয়ার্ক নিরাপত্তা ডিভাইসগুলির কারণে সৃষ্ট অন্যান্য পুনঃনির্দেশ।
নোবেলিয়াম আরও কাস্টম-নির্মিত সরঞ্জামগুলি প্রকাশ করতে চলেছে যা তাদের হুমকির লক্ষ্যগুলি আরও ভালভাবে অর্জন করতে সহায়তা করে৷ হ্যাকাররা ইতিমধ্যেই SolarWinds-এর 18,000 গ্রাহকের সাথে আপস করতে পেরেছে। ক্ষতিগ্রস্তদের মধ্যে বিশিষ্ট প্রযুক্তি কোম্পানি এবং মার্কিন সরকারী সংস্থাগুলি ছিল।
