PathWiper Malware

ইউক্রেনের গুরুত্বপূর্ণ অবকাঠামোর লক্ষ্য করে সাইবার আক্রমণে পাথওয়াইপার নামে একটি নতুন ধরণের ধ্বংসাত্মক ম্যালওয়্যার শনাক্ত করা হয়েছে। এর প্রাথমিক লক্ষ্য স্পষ্ট: দেশের অভ্যন্তরীণ কর্মক্ষমতা ব্যাহত করা এবং পঙ্গু করা।

বৈধ সরঞ্জামের মাধ্যমে গোপন স্থাপনা

আক্রমণকারীরা একটি বৈধ এন্ডপয়েন্ট অ্যাডমিনিস্ট্রেশন টুল ব্যবহার করে PathWiper পেলোড মোতায়েন করেছিল। এই পদ্ধতিটি ইঙ্গিত দেয় যে হুমকিদাতারা ইতিমধ্যেই একটি পূর্ববর্তী আপসের মাধ্যমে লক্ষ্যবস্তু সিস্টেমে প্রশাসনিক অ্যাক্সেস অর্জন করেছিল, যা আক্রমণের পিছনের জটিলতা এবং পরিকল্পনা তুলে ধরে।

বৈশিষ্ট্য: একটি পরিচিত প্রতিপক্ষের প্রত্যাবর্তন

এই ঘটনার তদন্তকারী সাইবার নিরাপত্তা গবেষকরা অত্যন্ত আত্মবিশ্বাসের সাথে এই আক্রমণটিকে রাশিয়া-সংযুক্ত অ্যাডভান্সড পারসিস্ট্যান্ট থ্রেট (APT) বলে অভিহিত করেছেন। পর্যবেক্ষণ করা কৌশল, কৌশল এবং পদ্ধতি (TTP) স্যান্ডওয়ার্মের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ, যা পূর্বে ইউক্রেনে হারমেটিকওয়াইপার মোতায়েনের জন্য দায়ী একটি পরিচিত হুমকি গোষ্ঠী ছিল।

পাথওয়াইপার: হারমেটিকওয়াইপারের সম্ভাব্য উত্তরসূরী

পাথওয়াইপার এবং হারমেটিকওয়াইপারের মধ্যে উল্লেখযোগ্য মিল রয়েছে, যা ইঙ্গিত দেয় যে এটি পূর্ববর্তী ম্যালওয়্যারের একটি বিবর্তন হতে পারে। উভয়ের লক্ষ্যই গুরুত্বপূর্ণ সিস্টেম ডেটা দূষিত করে সর্বাধিক ক্ষতি করা, এবং আচরণের ওভারল্যাপ একই বা ঘনিষ্ঠভাবে সম্পর্কিত হুমকি ক্লাস্টারগুলির জড়িত থাকার ইঙ্গিত দেয়।

একটি বহু-পর্যায়ের আক্রমণ শৃঙ্খল

ম্যালওয়্যারটি বহু-পর্যায়ের প্রক্রিয়ার মাধ্যমে কার্যকর হয়:

• একটি উইন্ডোজ ব্যাচ ফাইল একটি ক্ষতিকারক VBScript (uacinstall.vbs) ট্রিগার করে।
• স্ক্রিপ্টটি কোর পেলোড (sha256sum.exe) ড্রপ করে এবং এক্সিকিউট করে, যা সনাক্তকরণ এড়াতে একটি বৈধ প্রশাসনিক টুলের মতো ছদ্মবেশে তৈরি হয়।

উন্নত ড্রাইভ গণনা এবং ভলিউম অন্তর্ঘাত

HermeticWiper, যা ফিজিক্যাল ড্রাইভ গণনার উপর দৃষ্টি নিবদ্ধ করে, তার বিপরীতে, PathWiper স্থানীয়, নেটওয়ার্ক এবং ডিসমাউন্টেড ভলিউম সহ সমস্ত সংযুক্ত ড্রাইভ প্রোগ্রাম্যাটিকভাবে সনাক্ত করে আরও এক ধাপ এগিয়ে যায়। এরপর এটি অন্তর্ঘাতের প্রস্তুতির জন্য এই ভলিউমগুলি ডিসমাউন্ট করার জন্য উইন্ডোজ API ব্যবহার করে।

ম্যালওয়্যারটি প্রতিটি ভলিউমের জন্য থ্রেড তৈরি করে প্রয়োজনীয় NTFS স্ট্রাকচার ওভাররাইট করে, কার্যকরভাবে সিস্টেমগুলিকে অকার্যকর করে তোলে।

মূল সিস্টেম ফাইলগুলির লক্ষ্যবস্তু ধ্বংস

PathWiper যেসব সিস্টেম কম্পোনেন্ট নষ্ট করে তার মধ্যে রয়েছে:

• MBR (মাস্টার বুট রেকর্ড): এতে বুটলোডার এবং পার্টিশন টেবিল থাকে।
• $MFT (মাস্টার ফাইল টেবিল): সমস্ত ফাইল এবং ডিরেক্টরির সূচী বজায় রাখে।
• $LogFile: অখণ্ডতা এবং পুনরুদ্ধারের জন্য পরিবর্তনগুলি ট্র্যাক করে।
• $Boot: বুট সেক্টর এবং ফাইল সিস্টেমের তথ্য সংরক্ষণ করে।

অতিরিক্তভাবে, আরও পাঁচটি গুরুত্বপূর্ণ NTFS মেটাডেটা ফাইল র‍্যান্ডম বাইট দিয়ে ওভাররাইট করা হয়, যা আরও নিশ্চিত করে যে প্রভাবিত সিস্টেমগুলি পুনরুদ্ধার করা যাবে না।

মুক্তিপণ নেই, দাবি নেই - কেবল ধ্বংস

উল্লেখযোগ্যভাবে, PathWiper-এর সাথে জড়িত আক্রমণগুলিতে কোনও ধরণের চাঁদাবাজি বা মুক্তিপণ দাবি অন্তর্ভুক্ত নয়। এই অনুপস্থিতি প্রাথমিক উদ্দেশ্যকে নিশ্চিত করে: আর্থিক লাভের পরিবর্তে কার্যক্রমের সম্পূর্ণ ব্যাহতকরণ।

ওয়াইপার: হাইব্রিড যুদ্ধে একটি পুনরাবৃত্তিমূলক হাতিয়ার

ইউক্রেনে যুদ্ধ শুরু হওয়ার পর থেকে, ডেটা ওয়াইপারগুলি রাশিয়ান সাইবার অপারেশনের একটি বৈশিষ্ট্য হয়ে উঠেছে। এই সরঞ্জামগুলি ধ্বংসাত্মক প্রভাব সহ একাধিক প্রচারণায় মোতায়েন করা হয়েছে। সনাক্ত করা আক্রমণ প্রচারণায় ব্যবহৃত অন্যান্য উল্লেখযোগ্য ওয়াইপারগুলির মধ্যে রয়েছে: ক্যাডিওয়াইপার , হারমেটিকওয়াইপার , আইজ্যাকওয়াইপার , অ্যাসিডরেন এবং আরও অনেক কিছু।

সাইবার যুদ্ধের মাধ্যমে ইউক্রেনীয় অবকাঠামোকে অস্থিতিশীল করার একটি বৃহত্তর কৌশলে এদের প্রত্যেকেই ভূমিকা পালন করেছে।

উপসংহার: PathWiper একটি বিপজ্জনক বিবর্তন চিহ্নিত করে

PathWiper ইউক্রেনের বিরুদ্ধে ব্যবহৃত ধ্বংসাত্মক সাইবার সরঞ্জামগুলির চলমান বৃদ্ধির উদাহরণ দেয়। উন্নত ফাঁকি কৌশল, গভীর সিস্টেম-স্তরের অন্তর্ঘাত এবং পরিচিত রাশিয়ান APT-এর দিকে ইঙ্গিত করে, এটি আধুনিক সাইবার সংঘাতের প্রেক্ষাপটে একটি উল্লেখযোগ্য হুমকির প্রতিনিধিত্ব করে।