PumaBot Botnet

নতুন আবিষ্কৃত লিনাক্স বটনেট, যার নাম পুমাবট, এমবেডেড আইওটি ডিভাইসগুলিতে ব্যাপক তাণ্ডব চালাচ্ছে। গো-তে লেখা, এই ম্যালওয়্যারটি SSH শংসাপত্রগুলি ক্র্যাক করার জন্য ব্রুট-ফোর্স পদ্ধতি ব্যবহার করে, অ্যাক্সেস পাওয়ার পরে ক্ষতিকারক পেলোড স্থাপন করে। প্রচলিত বটনেটগুলি যা নির্বিচারে ইন্টারনেট স্ক্যান করে তার বিপরীতে, পুমাবট তার কমান্ড-অ্যান্ড-কন্ট্রোল (C2) সার্ভার থেকে সরাসরি প্রাপ্ত নির্দিষ্ট আইপি ঠিকানাগুলিতে শূন্য করে।

নির্ভুল লক্ষ্য নির্ধারণ: আইওটি শোষণে একটি কৌশলগত পরিবর্তন

PumaBot তার C2 সার্ভার (ssh.ddos-cc.org) থেকে কিউরেটেড IP টার্গেট তালিকা টেনে এনে নিজেকে আলাদা করে, যা এটিকে অত্যন্ত মনোযোগী আক্রমণ পরিচালনা করার অনুমতি দেয়। এই পদ্ধতিটি বিস্তৃত ইন্টারনেট স্ক্যান এড়ায় এবং নির্দিষ্ট সংস্থা বা ডিভাইসগুলিকে আপস করার অভিপ্রায় নির্দেশ করে। এমনকি এটি 'Pumatronix' স্ট্রিংয়ের জন্য ডিভাইসগুলি পরীক্ষা করে - একটি সূত্র যা এই বিক্রেতা দ্বারা উত্পাদিত নজরদারি এবং ট্র্যাফিক ক্যামেরা সিস্টেমগুলিকে লক্ষ্যবস্তু করার দিকে নির্দেশ করতে পারে।

রিকন থেকে রুট পর্যন্ত: পুমাবটের আক্রমণ জীবনচক্র

একবার একটি ডিভাইস নির্বাচন করা হলে, PumaBot পোর্ট 22-এ ব্রুট-ফোর্স SSH লগইন প্রচেষ্টা সম্পাদন করে। সফল হলে, এটি সিস্টেমের তথ্য সংগ্রহ করতে এবং ডিভাইসটি হানিপট নয় তা যাচাই করতে 'uname -a' চালায়। এই যাচাইয়ের পরে, বটনেট:

• এর প্রধান বাইনারি (jierui) /lib/redis এ লেখে।
• একটি স্থায়ী systemd পরিষেবা (redis.service) ইনস্টল করে
• সিস্টেম পরিষ্কারের পরেও দীর্ঘমেয়াদী অ্যাক্সেসের জন্য authorized_keys-এ নিজস্ব SSH কী ইনজেক্ট করে।

সংক্রমণের বাইরে: কমান্ড কার্যকরকরণ এবং তথ্য চুরি

অ্যাক্সেস সুরক্ষিত থাকলে, PumaBot আরও কমান্ড কার্যকর করতে পারে, যার মধ্যে রয়েছে:

• নতুন পেলোড স্থাপন করা হচ্ছে
• সংবেদনশীল তথ্য বহিষ্কার করা হচ্ছে
• নেটওয়ার্কের মধ্যে পার্শ্বীয় চলাচল সহজতর করা
• সনাক্ত করা পেলোডগুলির মধ্যে রয়েছে:
• স্ব-আপডেট করা স্ক্রিপ্ট
• pam_unix.so প্রতিস্থাপনকারী PAM রুটকিট
• একটি ডেমন বাইনারি (নাম ১) যা ফাইল ওয়াচার হিসেবে কাজ করে

ক্ষতিকারক PAM মডিউলটি SSH ক্রেডেনশিয়াল লগ করে এবং con.txt ফাইলে সংরক্ষণ করে। এই ফাইলের জন্য ১টি বাইনারি মনিটর এবং একবার খুঁজে পেলে, সংক্রামিত সিস্টেম থেকে মুছে ফেলার আগে এটি C2 সার্ভারে এক্সফিল্টার করে - এর ট্র্যাকগুলি ঢেকে রাখার জন্য একটি গণনা করা পদক্ষেপ।

অজানা সুযোগ, উচ্চ ঝুঁকি: পুমাবটের নীরব সম্প্রসারণ

গবেষকরা এখনও PumaBot-এর প্রচারণার স্কেল বা সাফল্যের হার নির্ধারণ করতে পারেননি। লক্ষ্য IP তালিকার পরিধি এখনও স্পষ্ট নয়। তবে, DDoS আক্রমণের মতো নিম্ন-গ্রেডের কার্যকলাপের পরিবর্তে বটনেটের নেটওয়ার্ক অনুপ্রবেশের উপর গভীর মনোযোগ, যা ইঙ্গিত দেয় যে এটি কর্পোরেট এবং গুরুত্বপূর্ণ অবকাঠামোর জন্য একটি উল্লেখযোগ্য হুমকি।

এগিয়ে থাকুন: পুমাবট এবং এর ধরণের বিরুদ্ধে রক্ষা করা

PumaBot বা অনুরূপ হুমকির ঝুঁকি কমাতে:

• সমস্ত IoT ডিভাইসে ফার্মওয়্যার আপডেট করুন
• ডিফল্ট শংসাপত্র পরিবর্তন করুন
• ফায়ারওয়াল স্থাপন করুন এবং SSH অ্যাক্সেস সীমাবদ্ধ করুন
• সেগমেন্টেড নেটওয়ার্কগুলিতে IoT ডিভাইসগুলিকে বিচ্ছিন্ন করুন

বটনেট অ্যাক্টরদের দূরে রাখতে এবং এন্টারপ্রাইজ নেটওয়ার্কগুলিকে আরও গভীর লঙ্ঘন থেকে রক্ষা করার জন্য সক্রিয় সুরক্ষা অনুশীলন অপরিহার্য।