সাইডওয়াইন্ড এপিটি

সাইডউইন্ড হল একটি অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) গ্রুপের হ্যাকারদের জন্য নির্ধারিত নাম যারা দক্ষিণ এশিয়া অঞ্চলে দীর্ঘস্থায়ী আগ্রহ দেখিয়েছে। গোষ্ঠীটি বর্তমানে একই অঞ্চলে লক্ষ্যবস্তুগুলির বিরুদ্ধে বিস্তৃত আক্রমণ অভিযানে নিযুক্ত রয়েছে। আরও সুনির্দিষ্টভাবে, হ্যাকাররা মূলত নেপাল এবং আফগানিস্তানে অবস্থিত সংস্থাগুলির সাথে আপস করার চেষ্টা করছে৷ নিশ্চিত করা লক্ষ্যগুলির মধ্যে রয়েছে নেপালি সেনাবাহিনী, নেপালের প্রতিরক্ষা ও পররাষ্ট্র মন্ত্রণালয়, শ্রীলঙ্কার প্রতিরক্ষা মন্ত্রণালয়, আফগানিস্তানের জাতীয় নিরাপত্তা পরিষদ এবং আফগানিস্তানের রাষ্ট্রপতির প্রাসাদ। এর ক্রিয়াকলাপে, সাইডওয়াইন্ড এপিটি তাদের ফিশিং এবং ম্যালওয়্যার প্রচারাভিযানে দক্ষিণ এশিয়া অঞ্চলের নির্দিষ্ট বৈশ্বিক ঘটনা এবং রাজনৈতিক সমস্যাগুলিকে দ্রুত অন্তর্ভুক্ত করার ক্ষমতা প্রদর্শন করে। গোষ্ঠীটি ইতিমধ্যে বেশ কয়েকটি হুমকিমূলক অপারেশনে COVID-19 মহামারীর সুবিধা নিয়েছে, যখন সর্বশেষ প্রচারাভিযানে 'লিপুলেখে নেপালের অবস্থানের সাথে ভারতের কিছু করার নেই চীনের উচিত মনে করা উচিত' নামে একটি নিবন্ধের লিঙ্ক এবং 'রাষ্ট্রদূত ইয়াঞ্চি' নামে একটি নথি অন্তর্ভুক্ত করা হয়েছে। Nepali_Media.pdf এর সাথে কথোপকথন।' নথিতে কোভিড-১৯, বেল্ট, রোড ইনিশিয়েটিভ এবং হুমলা জেলার আঞ্চলিক বিষয়ে নেপালে চীনা রাষ্ট্রদূতের একটি সাক্ষাৎকার রয়েছে।

শংসাপত্র চুরি এবং ফিশিং ইমেল

বর্তমানে চলমান সাইডওয়াইন্ড এপিটি অপারেশনে বেশ কয়েকটি আক্রমণ ভেক্টর জড়িত যা বেশ কয়েকটি স্বতন্ত্র লক্ষ্য অর্জনের লক্ষ্য রাখে। প্রথমত, SideWind APT লক্ষ্যযুক্ত ব্যবহারকারীদের শংসাপত্র সংগ্রহ করার অভিপ্রায়ে প্রকৃত লগইন পৃষ্ঠাগুলির স্পুফড কপি তৈরি করেছে৷ উদাহরণ স্বরূপ, ইনফোসেক গবেষকরা আবিষ্কার করেছেন যে 'mail-nepalgovnp.duckdns.org' তৈরি করা হয়েছিল বৈধ নেপাল সরকারের ডোমেন হিসাবে মাস্করাড করার জন্য যা 'mail.nepal.gov.np'-এ অবস্থিত। শংসাপত্র সংগ্রহ করা হয়ে গেলে, ক্ষতিগ্রস্তদের হয় প্রকৃত লগইন পৃষ্ঠাগুলিতে বা পূর্বে উল্লেখিত নথিগুলিতে পুনঃনির্দেশিত করা হয় যা হট-বাটন সমস্যা নিয়ে আলোচনা করে।

সাইডউইন্ড এপিটি-এর আক্রমণের অন্য দিকটি ম্যালওয়্যার বিতরণের সাথে জড়িত - ফিশিং ইমেলগুলির প্রচারের মাধ্যমে একটি ব্যাকডোর হুমকি এবং একটি তথ্য-সংগ্রাহক৷ সংক্রমণ একটি জটিল আক্রমণ শৃঙ্খল জড়িত যাতে একাধিক পর্যায় এবং বেশ কয়েকটি ড্রপার থাকে। আক্রমণ দুটি ভিন্ন পরিস্থিতিতে অনুসরণ করতে পারে:

• একটি .lnk ফাইলের প্রাথমিক বিতরণ যা একটি .rtf ফাইল এবং একটি জাভাস্ক্রিপ্ট ফাইল ডাউনলোড করে
• একটি হুমকিমূলক .lnk ফাইল ধারণকারী একটি .zip সংরক্ষণাগারের প্রাথমিক বিতরণ। .lnk জাভাস্ক্রিপ্টের সাথে একটি .hta ফাইল এনে আক্রমণের পরবর্তী পর্ব শুরু করে

.rtf ফাইলগুলি CVE-2017-11882 দুর্বলতাকে কাজে লাগায়, যা হুমকি অভিনেতাকে কোনও ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন ছাড়াই ডিভাইসে নির্বিচারে হুমকি কোড চালানোর অনুমতি দেয়। যদিও এই বিশেষ শোষণটি 2017 সালে ঠিক করা হয়েছিল, সাইবার অপরাধীরা এখনও এটি ব্যবহার করে কারণ এটি মাইক্রোসফ্ট অফিস, মাইক্রোসফ্ট উইন্ডোজ, এবং 2000 থেকে ফিরে আসা স্থাপত্যের ধরনগুলির যে কোনও আনপ্যাচড সংস্করণকে প্রভাবিত করতে পারে।

যাইহোক, উভয় আক্রমণের ক্ষেত্রেই, জাভাস্ক্রিপ্ট ফাইলগুলির মাধ্যমে শেষ লক্ষ্য অর্জন করা হয় যা প্রকৃত ম্যালওয়্যার পেলোডগুলির জন্য ড্রপার হিসাবে কাজ করে।

সম্পূর্ণরূপে মোতায়েন করা হলে, SideWind APT-এর ভয়ঙ্কর সরঞ্জামগুলি বিভিন্ন ধরণের তথ্য সংগ্রহ করতে পারে, সেইসাথে নির্বাচিত ফাইলগুলিকে গ্রুপের কমান্ড-এন্ড-কন্ট্রোল (C2, C&C) অবকাঠামোতে এক্সফিল্ট করতে পারে। সংগৃহীত ডেটার মধ্যে রয়েছে ব্যবহারকারীর অ্যাকাউন্টের বিবরণ, সিস্টেমের তথ্য, চলমান প্রক্রিয়া, CPU বিবরণ, OS বিবরণ, নেটওয়ার্কের বিবরণ, ইনস্টল করা অ্যান্টি-ভাইরাস প্রোগ্রাম, বিশেষাধিকার, সমস্ত সংযুক্ত ড্রাইভ এবং ইনস্টল করা অ্যাপ্লিকেশনের বিবরণ। ডেটা-সংগ্রাহক হুমকি চারটি নির্দিষ্ট স্থানে সমস্ত ডিরেক্টরি তালিকাবদ্ধ করে:

• ব্যবহারকারীরা\%USERNAME%\ডেস্কটপ,
• ব্যবহারকারীরা\%USERNAME%\ডাউনলোড,
• ব্যবহারকারী\%USERNAME%\নথিপত্র,
• ব্যবহারকারী\%USERNAME%\পরিচিতি

একটি মোবাইল প্রচারাভিযান নির্মাণাধীন

সাইডউইন্ড এপিটি-তে এমন একটি আক্রমণ প্রচারণাও রয়েছে যা ব্যবহারকারীদের মোবাইল ডিভাইসগুলিকে লক্ষ্য করবে৷ বেশ কয়েকটি অ্যাপ্লিকেশন ইতিমধ্যেই আবিষ্কৃত হয়েছে, যার সবগুলোই অসমাপ্ত অবস্থায় রয়েছে। কিছুতে এখনও পর্যন্ত কোনও হুমকিমূলক কোড নেই তবে যতটা সম্ভব বৈধ দেখানোর জন্য ডিজাইন করা হয়েছিল। এরকম একটি অ্যাপ্লিকেশনকে 'ওপিনিয়নপোল' বলা হয় এবং এটি নেপাল-ভারত রাজনৈতিক বিরোধের বিষয়ে মতামত সংগ্রহের জন্য একটি সমীক্ষা আবেদনের ভান করছে। অন্যান্য অ্যাপ্লিকেশানগুলির হুমকির ক্ষমতা ইতিমধ্যেই বাস্তবায়িত হয়েছে কিন্তু এখনও লক্ষণগুলি দেখিয়েছে যে সেগুলি শেষ হওয়ার আগে আরও কাজ করা দরকার।

এটি প্রথমবার নয় যে SideWind APT তাদের কার্যকলাপে মোবাইল ম্যালওয়্যার সরঞ্জামগুলি নিযুক্ত করেছে৷ পূর্বে, তারা ফটোগ্রাফি টুলের ফাইল ম্যানেজারের ভান করে হুমকিমূলক অ্যাপ্লিকেশন স্থাপন করতে দেখা গেছে। ব্যবহারকারী একবার সেগুলি ডাউনলোড করে নিলে, SideWind APT অ্যাপ্লিকেশনগুলি আপস করা ডিভাইসে রুট সুবিধাগুলি পেতে CVE-2019-2215 শোষণ এবং MediaTek-SU দুর্বলতাগুলিকে কাজে লাগায়৷