শোবোট ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা শোবোট (Showboat) নামে পূর্বে অনুল্লিখিত একটি লিনাক্স ম্যালওয়্যার ফ্রেমওয়ার্ক উন্মোচন করেছেন, যা অন্তত ২০২২ সালের মাঝামাঝি সময় থেকে মধ্যপ্রাচ্যের একটি টেলিযোগাযোগ পরিষেবা প্রদানকারী প্রতিষ্ঠানের বিরুদ্ধে সক্রিয়ভাবে ব্যবহৃত হয়ে আসছে। এই ম্যালওয়্যারটি একটি মডিউলার পোস্ট-এক্সপ্লয়টেশন টুলকিট হিসেবে কাজ করে, যা আক্রান্ত পরিবেশে রিমোট শেল অ্যাক্সেস সক্ষম করতে, ফাইল স্থানান্তর করতে এবং SOCKS5 প্রক্সি হিসেবে কাজ করতে পারে।

নিরাপত্তা বিশ্লেষকরা মনে করেন, এই ম্যালওয়্যারটি চীন-সংশ্লিষ্ট এক বা একাধিক হুমকি ক্লাস্টারের সাথে যুক্ত। তদন্তকারীরা ম্যালওয়্যারটির কমান্ড-অ্যান্ড-কন্ট্রোল (C2) পরিকাঠামো এবং চীনের সিচুয়ান প্রদেশের রাজধানী চেংডু-ভিত্তিক আইপি অ্যাড্রেসের মধ্যে সংযোগ শনাক্ত করেছেন, যা এতে চীনা রাষ্ট্র-পৃষ্ঠপোষকতার সম্পৃক্ততার সন্দেহকে আরও জোরদার করেছে।

প্রতিষ্ঠিত চীন-সংশ্লিষ্ট হুমকি কার্যক্রমের সাথে সংযোগ

এই কার্যকলাপের সাথে জড়িত গোষ্ঠীগুলোর মধ্যে একটি হলো ক্যালিপসো, যা ব্রোঞ্জ মেডলি এবং রেড লামাসু নামেও পরিচিত। এই হুমকি সৃষ্টিকারী গোষ্ঠীটি অন্তত ২০১৬ সালের সেপ্টেম্বর মাস থেকে সক্রিয় রয়েছে এবং ঐতিহাসিকভাবে ব্রাজিল, ভারত, কাজাখস্তান, রাশিয়া, থাইল্যান্ড এবং তুরস্ক জুড়ে সরকারি ও প্রাতিষ্ঠানিক সংস্থাগুলোকে লক্ষ্যবস্তু করেছে। পজিটিভ টেকনোলজিস কর্তৃক প্রকাশিত একটি গবেষণার মাধ্যমে ২০১৯ সালে এই গোষ্ঠীটি সম্পর্কে প্রথম জনসমক্ষে প্রতিবেদন আসে।

ক্যালিপসো পূর্বে প্লাগএক্স-এর মতো ম্যালওয়্যার ফ্যামিলি এবং হোয়াইটবার্ড ও বাইবাই-এর মতো ব্যাকডোর ব্যবহার করেছে। বাইবাই ম্যালওয়্যারটি মাইক্রোসিন নামে পরিচিত একটি বৃহত্তর অপারেশনাল ক্লাস্টারের অন্তর্গত, যা সিক্সলিটলমাঙ্কিস থ্রেট ক্লাস্টারের সাথেও যুক্ত। গবেষকরা সিক্সলিটলমাঙ্কিস এবং ওয়েবওয়ার্ম নামে পরিচিত চীনের সাথে সংযুক্ত আরেকটি অপারেশনের মধ্যে কৌশলগত সাদৃশ্যও লক্ষ্য করেছেন।

PlugX, ShadowPad, এবং NosyDoor-এর মতো একই ফ্রেমওয়ার্কের পাশাপাশি Showboat-এর আবির্ভাব চীন-সংশ্লিষ্ট হুমকি সৃষ্টিকারী গোষ্ঠীগুলোর মধ্যে একটি বৃহত্তর প্রবণতাকে তুলে ধরে: একাধিক গুপ্তচর গোষ্ঠীর মধ্যে আক্রমণাত্মক সাইবার সরঞ্জামগুলোর পুনঃব্যবহার এবং বিতরণ। এই ধরণটি জোরালোভাবে একটি কেন্দ্রীভূত 'ডিজিটাল কোয়ার্টারমাস্টার'-এর অস্তিত্বের ইঙ্গিত দেয়, যা রাষ্ট্র-সমর্থিত অপারেটরদের ম্যালওয়্যার এবং কার্যনির্বাহী সম্পদ সরবরাহের জন্য দায়ী।

উন্নত লিনাক্স ব্যাকডোর সক্ষমতা গুরুতর উদ্বেগ সৃষ্টি করেছে

গবেষকরা ২০২৫ সালের মে মাসে আপলোড করা একটি ELF বাইনারি বিশ্লেষণ করার পর এই তদন্ত শুরু হয়, যেটিকে প্রাথমিকভাবে রুটকিটের মতো কার্যকারিতাসম্পন্ন একটি অত্যন্ত উন্নত লিনাক্স ব্যাকডোর হিসেবে চিহ্নিত করা হয়েছিল। এই ম্যালওয়্যার নমুনাটি EvaRAT নামেও ট্র্যাক করা হয়।

যদিও সংক্রমণের সুনির্দিষ্ট মাধ্যমটি অজানা রয়ে গেছে, ক্যালিপসোর পূর্ববর্তী অনুপ্রবেশগুলোতে দুর্বলতার সুযোগ নিয়ে বা ডিফল্ট রিমোট-অ্যাক্সেস অ্যাকাউন্টগুলোর নিরাপত্তা বিঘ্নিত করে ASPX ওয়েব শেল স্থাপন করা হয়েছিল। এই গোষ্ঠীটি প্রথমদিকের চীনা হুমকি সৃষ্টিকারীদের মধ্যে অন্যতম ছিল যারা CVE-2021-26855-কে অস্ত্র হিসেবে ব্যবহার করেছিল; এটি মাইক্রোসফট এক্সচেঞ্জ সার্ভারের একটি ত্রুটি যা কুখ্যাত ProxyLogon এক্সপ্লয়েট চেইনের প্রাথমিক পর্যায় তৈরি করেছিল।

শোবোটকে দূরবর্তী C2 সার্ভারের সাথে যোগাযোগ স্থাপন, সিস্টেমের বিস্তারিত তথ্য সংগ্রহ এবং সংগৃহীত ডেটা এনক্রিপ্টেড ও Base64-এনকোডেড আকারে PNG ফিল্ডের মধ্যে লুকিয়ে প্রেরণ করার জন্য ডিজাইন করা হয়েছে। এই ম্যালওয়্যারটি বিভিন্ন ধরনের স্টিলথ এবং অপারেশনাল বৈশিষ্ট্যও সমর্থন করে, যার মধ্যে রয়েছে:

• ফাইল আপলোড এবং ডাউনলোড কার্যকারিতা
• প্রক্রিয়া গোপন করার কৌশল
• C2 সার্ভার ব্যবস্থাপনা
• অভ্যন্তরীণ নেটওয়ার্ক স্ক্যানিং
• পার্শ্বীয় চলাচলের জন্য SOCKS5 প্রক্সি টানেলিং

আক্রান্ত হোস্টগুলিতে শনাক্তকরণ এড়ানোর জন্য, শোবোট পেস্টবিন থেকে একটি কোড স্নিপেট সংগ্রহ করে, এবং গবেষকরা হোস্ট করা সেই কন্টেন্টের উৎস খুঁজে বের করে তা ১১ই জানুয়ারি, ২০২২ পর্যন্ত শনাক্ত করেছেন। বিশ্লেষকদের মতে, এই ম্যালওয়্যারটির প্রধান উদ্দেশ্য হলো লক্ষ্যবস্তু নেটওয়ার্কগুলির ভেতরে স্থায়ী প্রবেশাধিকার নিশ্চিত করা, বিশেষ করে সেইসব সিস্টেমে যেগুলো সরাসরি ইন্টারনেট সংযোগ থেকে বিচ্ছিন্ন এবং শুধুমাত্র অভ্যন্তরীণ ল্যান সংযোগের মাধ্যমে পৌঁছানো যায়।

অবকাঠামো সম্প্রসারণ আন্তর্জাতিক ভুক্তভোগীদের উন্মোচন করে

হুমকি পরিকাঠামোর আরও পরীক্ষা-নিরীক্ষায় বিভিন্ন অঞ্চল জুড়ে একাধিক ক্ষতিগ্রস্ত সংস্থা উন্মোচিত হয়েছে। গবেষকরা আফগানিস্তান-ভিত্তিক একটি ইন্টারনেট পরিষেবা প্রদানকারী এবং আজারবাইজানে অবস্থিত আরও একটি অজ্ঞাত সংস্থা শনাক্ত করেছেন। একই ধরনের X.509 সার্টিফিকেট শেয়ার করা C2 সার্ভারের একটি দ্বিতীয় ক্লাস্টারও মার্কিন যুক্তরাষ্ট্র এবং ইউক্রেনের সংস্থাগুলোকে প্রভাবিত করতে পারে এমন সম্ভাব্য নিরাপত্তা লঙ্ঘনের দিকে ইঙ্গিত করেছে।

স্থায়ী ম্যালওয়্যার ইমপ্লান্টের ক্রমাগত বিস্তার এটাই প্রমাণ করে যে, অনেক হুমকি সৃষ্টিকারী গোষ্ঠী ক্রমবর্ধমানভাবে আরও গোপনীয় 'লিভিং অফ দ্য ল্যান্ড' কৌশল ব্যবহার করা সত্ত্বেও, উন্নত গোষ্ঠীগুলো দীর্ঘমেয়াদী অ্যাক্সেস এবং অপারেশনাল নিয়ন্ত্রণের জন্য এখনও কাস্টম ব্যাকডোরের উপর ব্যাপকভাবে নির্ভর করে। নিরাপত্তা বিশেষজ্ঞরা সতর্ক করেছেন যে, শোবোটের মতো ম্যালওয়্যারের উপস্থিতি আক্রান্ত নেটওয়ার্কগুলোতে সম্ভাব্য আরও ব্যাপক নিরাপত্তা লঙ্ঘনের একটি গুরুত্বপূর্ণ সূচক হিসেবে বিবেচনা করা উচিত।

JFMBackdoor লিনাক্স সিস্টেমের বাইরেও প্রচারণা প্রসারিত করছে

শোবোট ছাড়াও, গবেষকরা লক্ষ্য করেছেন যে আফগানিস্তানের টেলিযোগাযোগ খাতকে লক্ষ্য করে চালানো আক্রমণগুলোর সময় ক্যালিপসো জেএফএমব্যাকডোর (JFMBackdoor) নামে পরিচিত একটি পূর্ণাঙ্গ উইন্ডোজ ম্যালওয়্যার ইমপ্লান্ট স্থাপন করেছে। এই ম্যালওয়্যারটি ডিএলএল সাইড-লোডিং (DLL side-loading) কৌশলের মাধ্যমে ছড়ানো হয়, যা বৈধ অ্যাপ্লিকেশনগুলোকে অপব্যবহার করে ক্ষতিকারক ডাইনামিক-লিঙ্ক লাইব্রেরি লোড করে।

সংক্রমণ শৃঙ্খলটি একটি ব্যাচ স্ক্রিপ্টের মাধ্যমে শুরু হয়, যা একটি বিশ্বস্ত এক্সিকিউটেবল চালু করে এবং পরবর্তীতে সেটি ক্ষতিকর ডিএলএল পেলোড লোড করে। একবার সক্রিয় হলে, জেএফএমব্যাকডোর আক্রমণকারীদেরকে ক্ষতিগ্রস্ত সিস্টেমগুলোর ওপর ব্যাপক পরিচালনগত নিয়ন্ত্রণ প্রদান করে। এর কার্যকারিতার মধ্যে রয়েছে:

• রিমোট শেল এক্সিকিউশন

আফগানিস্তান এবং এর টেলিযোগাযোগ অবকাঠামোর উপর এই মনোযোগ, পূর্বে রেড লামাসু অভিযানের সাথে যুক্ত বৃহত্তর কৌশলগত উদ্দেশ্যগুলোর সাথে ঘনিষ্ঠভাবে সামঞ্জস্যপূর্ণ। এটি এই মূল্যায়নকে আরও জোরদার করে যে, এই অভিযানটি চীনা হুমকি কার্যকলাপের সাথে জড়িত একটি বৃহত্তর সাইবার-গুপ্তচরবৃত্তি প্রচেষ্টার অংশ।