স্টারিডোব্রি আক্রমণ
জনপ্রিয় সিমুলেশন এবং পদার্থবিদ্যা-ভিত্তিক গেম খুঁজছেন এমন খেলোয়াড়রা হয়তো অজান্তেই তাদের উইন্ডোজ সিস্টেমে একটি লুকানো ক্রিপ্টোকারেন্সি মাইনার ইনস্টল করে ফেলেছেন। সাইবার নিরাপত্তা গবেষকরা প্রথম ২০২৪ সালের ডিসেম্বরের শেষের দিকে স্টারিডোব্রি নামে এই বৃহৎ আকারের অভিযানটি শনাক্ত করেন। এই অভিযানটি প্রায় এক মাস ধরে চলে বলে জানা গেছে, যার ফলে বিশ্বব্যাপী অসংখ্য মেশিন ক্ষতিগ্রস্ত হয়েছে।
সুচিপত্র
খনির জন্য ব্যবহৃত উচ্চ-কার্যক্ষমতা সম্পন্ন মেশিন
এই প্রচারণাটি মূলত একাধিক অঞ্চলের ব্যক্তিগত ব্যবহারকারী এবং ব্যবসা উভয়কেই লক্ষ্য করে তৈরি করা হয়েছিল, রাশিয়া, ব্রাজিল, জার্মানি, বেলারুশ এবং কাজাখস্তানে সংক্রমণের হার উল্লেখযোগ্য। শক্তিশালী হার্ডওয়্যার সহ গেমিং সেটআপগুলিতে মনোনিবেশ করে, আক্রমণকারীরা তাদের গোপন খনির কার্যক্রমের দক্ষতা সর্বাধিক করে তুলেছিল।
লোভ হিসেবে ব্যবহৃত জনপ্রিয় গেম
এই আক্রমণটি হুমকিদাতা ইনস্টলারদের সুপরিচিত গেমগুলির বৈধ কপি হিসেবে ছদ্মবেশ ধারণের উপর নির্ভর করেছিল। টোপ হিসেবে ব্যবহৃত শিরোনামগুলির মধ্যে ছিল BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox এবং Plutocracy। হুমকিদাতারা ২০২৪ সালের সেপ্টেম্বরের প্রথম দিকে এই ট্রোজানাইজড ইনস্টলারগুলিকে টরেন্ট সাইটগুলিতে আপলোড করেছিল, যা ইঙ্গিত দেয় যে অপারেশনটি সাবধানতার সাথে পূর্বপরিকল্পিত ছিল।
সংক্রামিত ইনস্টলাররা একটি গোপন আক্রমণ শৃঙ্খল তৈরি করে
এই তথাকথিত 'রিপ্যাক' ডাউনলোড করা সন্দেহাতীত ব্যবহারকারীদের একটি স্ট্যান্ডার্ড ইনস্টলেশন প্রক্রিয়া দেখানো হয়েছিল। সেটআপের সময়, একটি লুকানো ড্রপার ফাইল ('unrar.dll') স্থাপন করা হয়েছিল এবং পটভূমিতে কার্যকর করা হয়েছিল, যা সংক্রমণের পরবর্তী পর্যায়ের সূচনা করেছিল।
উন্নত ফাঁকি কৌশল কার্যকর
এগিয়ে যাওয়ার আগে, ড্রপারটি ভার্চুয়ালাইজড বা স্যান্ডবক্সযুক্ত পরিবেশে চলছে কিনা তা নিশ্চিত করার জন্য একাধিক পরীক্ষা করে, এর পরিশীলিত ফাঁকি দেওয়ার ক্ষমতা প্রদর্শন করে। এরপর এটি api.myip.com, ip-api.com এবং ipwho.is এর মতো বহিরাগত পরিষেবাগুলির সাথে যোগাযোগ করে IP ঠিকানা সংগ্রহ করে এবং ব্যবহারকারীর অবস্থান নির্ধারণ করে। যদি এই পদক্ষেপটি ব্যর্থ হয়, তবে অস্পষ্ট কারণে সিস্টেমটিকে চীন বা বেলারুশের একটি ডিফল্ট অবস্থান বরাদ্দ করা হয়েছিল।
একটি জটিল বহু-পর্যায়ের কার্যকরকরণ প্রক্রিয়া
মেশিনটি ফিঙ্গারপ্রিন্ট করার পর, ড্রপারটি 'MTX64.exe' নামক আরেকটি উপাদান ডিক্রিপ্ট করে কার্যকর করে। এই এক্সিকিউটেবলটি তার বিষয়বস্তু 'Windows.Graphics.ThumbnailHandler.dll' হিসেবে একটি সিস্টেম ডিরেক্টরিতে সংরক্ষণ করে। একটি বৈধ ওপেন-সোর্স প্রকল্প, EpubShellExtThumbnailHandler এর উপর ভিত্তি করে, এক্সিকিউটেবলটি নিম্নলিখিত পেলোড, 'Kickstarter' লোড করার জন্য উইন্ডোজ শেল এক্সটেনশন কার্যকারিতার অপব্যবহার করেছে।
Kickstarter কম্পোনেন্টটি একটি এনক্রিপ্ট করা ডেটা ব্লব বের করে ব্যবহারকারীর AppData ডিরেক্টরির মধ্যে একটি লুকানো ফোল্ডারে 'Unix.Directory.IconHandler.dll' নামে ডিস্কে লিখেছিল। এই নতুন ফাইলটি তখন একটি দূরবর্তী সার্ভার থেকে চূড়ান্ত পর্যায়ের পেলোড উদ্ধার করেছিল, যেখানে প্রকৃত ক্রিপ্টোকারেন্সি মাইনার ছিল।
স্টিলথি মাইনার স্থাপনা এবং প্রক্রিয়া পর্যবেক্ষণ
সনাক্তকরণ এড়াতে খনি শ্রমিকের কার্য সম্পাদন নিবিড়ভাবে পর্যবেক্ষণ করা হয়েছিল। এটি টাস্ক ম্যানেজার ('taskmgr.exe') এবং প্রসেস মনিটর ('procmon.exe') এর মতো সিস্টেম মনিটরিং সরঞ্জামগুলির জন্য ক্রমাগত পরীক্ষা করে। যদি এই প্রক্রিয়াগুলির কোনওটি সনাক্ত করা হয়, তবে তদন্ত এড়াতে খনি শ্রমিককে তাৎক্ষণিকভাবে বন্ধ করে দেওয়া হয়েছিল।
সিলেক্টিভ মাইনিংয়ের জন্য XMRig টুইকড
এই অভিযানের মূলে ছিল XMRig মাইনারের একটি কাস্টমাইজড সংস্করণ। এটি কেবলমাত্র কমপক্ষে আটটি কোর বিশিষ্ট CPU গুলিতে সক্রিয় ছিল, যা নিশ্চিত করেছিল যে ক্ষতিগ্রস্ত মেশিনগুলিতে দক্ষতার সাথে খনির জন্য পর্যাপ্ত প্রক্রিয়াকরণ শক্তি রয়েছে। উপরন্তু, একটি পাবলিক মাইনিং পুলের উপর নির্ভর করার পরিবর্তে, আক্রমণকারীরা খনির লাভকে একচেটিয়াভাবে তাদের অবকাঠামোতে নির্দেশ করার জন্য তাদের নিজস্ব ব্যক্তিগত সার্ভার স্থাপন করেছিল।
XMRig তার অন্তর্নির্মিত কার্যকারিতা ব্যবহার করে কমান্ড-লাইন নির্দেশাবলী বিশ্লেষণ করে সক্রিয় পর্যবেক্ষণ সরঞ্জামগুলি পরীক্ষা করার জন্য একটি পৃথক থ্রেড বজায় রেখেছে। এই অবিচল আত্মরক্ষামূলক ব্যবস্থা ব্যবহারকারীর কাছ থেকে মাইনিং কার্যকলাপ গোপন রাখতে সাহায্য করেছে।
রাশিয়ান সূত্র সহ একটি রহস্যময় হুমকি
অভিযানের মাত্রা এবং জটিলতা সত্ত্বেও, অপরাধীদের পরিচয় অজানা রয়ে গেছে। যাইহোক, গবেষকরা অভিযানের উপাদানগুলির মধ্যে রাশিয়ান ভাষার সূত্রগুলি আবিষ্কার করেছেন, যা পরামর্শ দেয় যে আক্রমণটি কোনও রাশিয়ান-ভাষী হুমকি অভিনেতার কাছ থেকে উদ্ভূত হতে পারে।
StaryDobry প্রচারণাটি যাচাই না করা উৎস থেকে সফ্টওয়্যার ডাউনলোড করার ঝুঁকিগুলি তুলে ধরে। গেম ইনস্টলারগুলিকে টোপ হিসেবে ব্যবহার করে, সাইবার অপরাধীরা একটি লুকানো খনি শ্রমিক মোতায়েন করতে সক্ষম হয় এবং একই সাথে ঝুঁকিপূর্ণ সিস্টেমে তাদের গোপন উপস্থিতি বজায় রাখে। এই ঘটনাটি অনলাইনে সফ্টওয়্যার অর্জনের সময় সতর্কতার গুরুত্বকে তুলে ধরে কারণ হুমকিদাতারা তাদের প্রতারণামূলক কৌশলগুলি আরও উন্নত করে চলেছে।
