Quad7 Botnet

সাইবার নিরাপত্তা বিশেষজ্ঞরা স্টর্ম-০৯৪০ নামে পরিচিত একজন চীনা হুমকি অভিনেতাকে শনাক্ত করেছেন, কোয়াড 7 নামের একটি বটনেট ব্যবহার করে অত্যাধুনিক এবং এভেসিভ পাসওয়ার্ড স্প্রে আক্রমণ চালাচ্ছে। এই বটনেটটি CovertNetwork-1658 নামেও পরিচিত, বিভিন্ন Microsoft গ্রাহকদের কাছ থেকে শংসাপত্র চুরি করার জন্য নিযুক্ত করা হয়। কমপক্ষে 2021 সাল থেকে অপারেটিং, Storm-0940 পাসওয়ার্ড স্প্রে এবং ব্রুট-ফোর্স কৌশল ব্যবহার করে বা নেটওয়ার্ক এজ অ্যাপ্লিকেশন এবং পরিষেবাগুলিতে দুর্বলতা এবং ভুল কনফিগারেশন লক্ষ্য করে প্রাথমিক অ্যাক্সেস লাভ করে।

আক্রমণকারীরা অসংখ্য দুর্বল ডিভাইসকে লক্ষ্য করে

Storm-0940 থিঙ্ক ট্যাঙ্ক, সরকারী সংস্থা, এনজিও, আইন সংস্থা এবং প্রতিরক্ষা শিল্পের মধ্যে সেক্টর সহ উত্তর আমেরিকা এবং ইউরোপ জুড়ে সংস্থাগুলির উপর ফোকাস করার জন্য স্বীকৃত।

Quad7 বটনেট, যাকে 7777 বা xloginও বলা হয়, গবেষকরা পুঙ্খানুপুঙ্খভাবে অধ্যয়ন করেছেন। এই ম্যালওয়্যারটি টিপি-লিঙ্ক, জিক্সেল, আসুস, অ্যাক্সেনট্রা, ডি-লিঙ্ক এবং নেটগিয়ারের মতো বেশ কয়েকটি সুপরিচিত ব্র্যান্ডের SOHO রাউটার এবং VPN ডিভাইসগুলিতে একটি বিশেষ ফোকাস দেখিয়েছে।

এই ডিভাইসগুলি দূরবর্তী কোড কার্যকর করার জন্য চিহ্নিত এবং সম্ভাব্য অজানা নিরাপত্তা দুর্বলতার সুবিধা গ্রহণ করে আপস করা হয়। বটনেটের নাম, Quad7, এই সত্য থেকে উদ্ভূত হয়েছে যে সংক্রামিত রাউটারগুলিতে একটি ব্যাকডোর রয়েছে যা TCP পোর্ট 7777-এ শোনে, দূরবর্তী অ্যাক্সেস সক্ষম করে।

চতুর্ভুজ এবং আক্রমণকারীদের দ্বারা প্রদর্শিত কৌশল

2024 সালের সেপ্টেম্বর পর্যন্ত, বটনেট প্রাথমিকভাবে মাইক্রোসফ্ট 365 অ্যাকাউন্টগুলিতে নৃশংস আক্রমণের জন্য মোতায়েন করা হয়েছে বলে মনে হচ্ছে, এই ক্রিয়াকলাপের পিছনে সম্ভবত চীনা রাষ্ট্র-স্পন্সর অভিনেতাদের ইঙ্গিত রয়েছে।

মাইক্রোসফ্টের মূল্যায়ন পরামর্শ দেয় যে বটনেটের অপারেটররা চীনে অবস্থিত, যেখানে একাধিক হুমকি অভিনেতা এটিকে আরও নেটওয়ার্ক শোষণ সক্ষম করতে পাসওয়ার্ড স্প্রে আক্রমণের জন্য ব্যবহার করে। এই ফলো-আপ ক্রিয়াকলাপগুলির মধ্যে রয়েছে পার্শ্বীয় আন্দোলন, রিমোট অ্যাক্সেস ট্রোজান (RAT) স্থাপনা এবং ডেটা উত্তোলন প্রচেষ্টা।

Storm-0940 যারা এই পদ্ধতি ব্যবহার করে তাদের মধ্যে রয়েছে। এটি এই আক্রমণগুলির মাধ্যমে প্রাপ্ত বৈধ প্রমাণপত্রগুলি ব্যবহার করে লক্ষ্যযুক্ত সংস্থাগুলিতে অ্যাক্সেস অর্জন করেছে - প্রায়শই একই দিনে শংসাপত্রগুলি আপস করা হয়েছিল৷ লক্ষ্যযুক্ত শোষণের এই দ্রুত পরিবর্তন বটনেট অপারেটর এবং Storm-0940-এর মধ্যে উচ্চ স্তরের সমন্বয়ের দিকে নির্দেশ করে।

ইতিমধ্যে, CovertNetwork-1658 একটি আরও সংযত পদ্ধতি ব্যবহার করে, একটি লক্ষ্যযুক্ত প্রতিষ্ঠানে একাধিক অ্যাকাউন্টে অল্প সংখ্যক লগইন প্রচেষ্টা বিতরণ করা হয়। মোটামুটি 80% ক্ষেত্রে, কার্যকলাপ প্রতিদিন অ্যাকাউন্ট প্রতি একটি সাইন-ইন প্রচেষ্টার মধ্যে সীমাবদ্ধ।

হাজার হাজার ডিভাইস Quad7 দ্বারা আপস করা হয়েছে

আনুমানিক 8,000 আপস করা ডিভাইস যে কোনো মুহূর্তে নেটওয়ার্কের মধ্যে সক্রিয় বলে মনে করা হয়, এই ডিভাইসগুলির মধ্যে মাত্র 20 শতাংশ পাসওয়ার্ড-স্প্রে করার আক্রমণে অংশগ্রহণ করে।

বিশেষজ্ঞরা বটনেট অবকাঠামোতে এর পাবলিক এক্সপোজারের পরে একটি উল্লেখযোগ্য পতন লক্ষ্য করেছেন, পরামর্শ দিয়েছেন যে হুমকি অভিনেতারা সনাক্তকরণ এড়াতে পরিবর্তিত আঙ্গুলের ছাপ সহ নতুন অবকাঠামো খুঁজতে পারে।

CovertNetwork-1658 অবকাঠামো ব্যবহার করা যেকোনো হুমকি অভিনেতাকে পাসওয়ার্ড-স্প্রে করার প্রচারাভিযানগুলিকে আরও বৃহত্তর স্কেলে চালু করতে সক্ষম করে, উল্লেখযোগ্যভাবে সাফল্যের সাথে শংসাপত্রের সাথে আপস করার এবং অল্প সময়ের মধ্যে অসংখ্য প্রতিষ্ঠানে প্রাথমিক অ্যাক্সেস পাওয়ার সম্ভাবনাকে বাড়িয়ে তোলে।

CovertNetwork-1658 এবং চীনা হুমকি অভিনেতাদের মধ্যে আপসকৃত প্রমাণপত্রের দ্রুত টার্নওভারের সাথে এই বিস্তৃত পৌছানো, বিভিন্ন সেক্টর এবং অঞ্চল জুড়ে অ্যাকাউন্ট আপসের ঝুঁকি বাড়ায়।

বিশেষজ্ঞরা যারা বটনেট কার্যকলাপে ধীরগতি লক্ষ্য করেছেন তারা নির্দেশ করে যে ট্র্যাফিক এখনও দেখায় যে Quad7 চালু রয়েছে। যাইহোক, এটা স্বীকার করা অপরিহার্য যে আপস করা রাউটারগুলিতে এই চিহ্নিত হ্রাস শুধুমাত্র দৃশ্যমান লঙ্ঘনগুলিকে প্রতিফলিত করে। একটি সম্ভাবনা রয়েছে যে Quad7 অপারেটররা ডিভাইসগুলিকে বিচক্ষণতার সাথে আপস করার এবং সনাক্তকরণ এড়াতে পদ্ধতিগুলি তৈরি করেছে৷