UNC4899 ক্লাউড আপস প্রচারণা
২০২৫ সালে একটি জটিল সাইবার অনুপ্রবেশের সাথে উত্তর কোরিয়ার হুমকিদাতা UNC4899 এর যোগসূত্র রয়েছে, একটি দল যা একটি ক্রিপ্টোকারেন্সি সংস্থার সাথে একটি বৃহৎ আকারের আপস পরিচালনার অভিযোগে অভিযুক্ত, যার ফলে লক্ষ লক্ষ ডলারের ডিজিটাল সম্পদ চুরি হয়েছিল। এই প্রচারণাটি রাষ্ট্র-স্পন্সরিত প্রতিপক্ষের সাথে মাঝারি আত্মবিশ্বাসের সাথে জড়িত বলে মনে করা হচ্ছে, যা জেড স্লিট, পুকচং, স্লো পিসস এবং ট্রেডারট্রেইটার সহ আরও বেশ কয়েকটি নামেও পরিচিত।
বহুস্তরীয় পদ্ধতির কারণে এই ঘটনাটি আলাদাভাবে দেখা যাচ্ছে। আক্রমণকারীরা ব্যক্তিগত-থেকে-কর্পোরেট পিয়ার-টু-পিয়ার ডেটা ট্রান্সফার প্রক্রিয়ার শোষণের সাথে সামাজিক প্রকৌশলকে একত্রিত করে এবং পরে প্রতিষ্ঠানের ক্লাউড অবকাঠামোতে প্রবেশ করে। ক্লাউড পরিবেশে প্রবেশের পর, বৈধ DevOps কর্মপ্রবাহকে শংসাপত্র সংগ্রহ, কন্টেইনার সীমানা এড়াতে এবং চুরির সুবিধার্থে ক্লাউড SQL ডাটাবেসগুলিকে কাজে লাগানোর জন্য অপব্যবহার করা হয়েছিল।
সুচিপত্র
ব্যক্তিগত ডিভাইস থেকে কর্পোরেট নেটওয়ার্ক: প্রাথমিক আপস
আক্রমণটি শুরু হয়েছিল একটি সাবধানে তৈরি সামাজিক প্রকৌশল প্রচারণার মাধ্যমে। লক্ষ্যবস্তু প্রতিষ্ঠানের মধ্যে কর্মরত একজন ডেভেলপারকে একটি বৈধ ওপেন-সোর্স সহযোগিতা প্রকল্পের অংশ হিসাবে উপস্থাপিত একটি সংরক্ষণাগার ফাইল ডাউনলোড করার জন্য প্রতারিত করা হয়েছিল। একটি ব্যক্তিগত ডিভাইসে ফাইলটি ডাউনলোড করার পরে, ডেভেলপার এটিকে এয়ারড্রপ ব্যবহার করে একটি কর্পোরেট ওয়ার্কস্টেশনে স্থানান্তরিত করে, অনিচ্ছাকৃতভাবে ব্যক্তিগত এবং এন্টারপ্রাইজ পরিবেশের মধ্যে একটি নিরাপত্তা সীমানা তৈরি করে।
আর্কাইভের সাথে ইন্টারঅ্যাকশনটি একটি AI-সহায়তাপ্রাপ্ত ইন্টিগ্রেটেড ডেভেলপমেন্ট এনভায়রনমেন্ট (IDE) এর মাধ্যমে হয়েছিল। এই প্রক্রিয়া চলাকালীন, আর্কাইভে এমবেড করা ক্ষতিকারক পাইথন কোডটি কার্যকর করা হয়েছিল। কোডটি Kubernetes কমান্ড-লাইন টুলের ছদ্মবেশে একটি বাইনারি স্থাপন করেছিল, যা ক্ষতিকারক ক্রিয়াকলাপ সম্পাদন করার সময় এটিকে বৈধ বলে মনে হতে দেয়।
এরপর বাইনারিটি আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি ডোমেনের সাথে যোগাযোগ করে এবং কর্পোরেট সিস্টেমের মধ্যে একটি ব্যাকডোর হিসেবে কাজ করে। এই অবস্থানের ফলে প্রতিপক্ষরা ক্ষতিগ্রস্ত ওয়ার্কস্টেশন থেকে প্রতিষ্ঠানের গুগল ক্লাউড পরিবেশে প্রবেশ করতে সক্ষম হয়, সম্ভবত সক্রিয় প্রমাণিত সেশন এবং অ্যাক্সেসযোগ্য শংসাপত্র ব্যবহার করে।
ক্লাউড অবকাঠামোর ভেতরে প্রবেশ করার পর, আক্রমণকারীরা একটি পুনর্বিবেচনা পর্ব শুরু করে যা পরিষেবা, প্রকল্প এবং অ্যাক্সেস পয়েন্টগুলি সনাক্ত করার জন্য ডিজাইন করা হয়েছিল যা আরও আপস করার জন্য ব্যবহার করা যেতে পারে।
ক্লাউড পরিবেশের শোষণ এবং বিশেষাধিকার বৃদ্ধি
রিকনেসান্স পর্যায়ে, আক্রমণকারীরা ক্লাউড পরিবেশের মধ্যে একটি বেসশন হোস্ট সনাক্ত করেছিল। হোস্টের মাল্টি-ফ্যাক্টর প্রমাণীকরণ নীতি বৈশিষ্ট্য পরিবর্তন করে, অননুমোদিত অ্যাক্সেস অর্জন করা হয়েছিল। এই অ্যাক্সেস কুবারনেটস পরিবেশের মধ্যে নির্দিষ্ট পডগুলিতে নেভিগেশন সহ আরও গভীর রিকনেসান্স কার্যক্রম সক্ষম করেছিল।
এরপর আক্রমণকারীরা ক্লাউডের বাইরের কৌশল অবলম্বন করে, মূলত বহিরাগত ম্যালওয়্যারের পরিবর্তে বৈধ ক্লাউড সরঞ্জাম এবং কনফিগারেশনের উপর নির্ভর করে। Kubernetes স্থাপনার কনফিগারেশন পরিবর্তন করে স্থায়িত্ব প্রতিষ্ঠা করা হয়েছিল যাতে নতুন পড তৈরি হলেই একটি ক্ষতিকারক bash কমান্ড স্বয়ংক্রিয়ভাবে কার্যকর হয়। এই কমান্ডটি একটি ব্যাকডোর পুনরুদ্ধার এবং স্থাপন করে, যা অব্যাহত অ্যাক্সেস নিশ্চিত করে।
আপোষের সময় হুমকিদাতার দ্বারা সম্পাদিত মূল পদক্ষেপগুলির মধ্যে রয়েছে:
- প্রতিষ্ঠানের CI/CD প্ল্যাটফর্মের সাথে সম্পর্কিত Kubernetes রিসোর্সগুলিকে পরিবর্তন করে এমন কমান্ড ইনজেক্ট করা যা সিস্টেম লগে পরিষেবা অ্যাকাউন্ট টোকেন প্রকাশ করে।
- একটি অত্যন্ত সুবিধাপ্রাপ্ত CI/CD পরিষেবা অ্যাকাউন্টের সাথে সংযুক্ত একটি টোকেন অর্জন, যা নেটওয়ার্ক নীতি এবং লোড ব্যালেন্সিংয়ের জন্য দায়ী একটি পডের দিকে বিশেষাধিকার বৃদ্ধি এবং পার্শ্বীয় চলাচল সক্ষম করে।
- চুরি করা টোকেন ব্যবহার করে একটি সংবেদনশীল অবকাঠামো পডের সাথে প্রমাণীকরণ করা যা বিশেষাধিকার মোডে কাজ করে, কন্টেইনার পরিবেশ থেকে বেরিয়ে আসে এবং একটি স্থায়ী ব্যাকডোর ইনস্টল করে।
- ব্যবহারকারীর পরিচয়, অ্যাকাউন্ট সুরক্ষা বিবরণ এবং ক্রিপ্টোকারেন্সি ওয়ালেট ডেটা সহ গ্রাহক তথ্য পরিচালনার জন্য দায়ী কোনও কাজের চাপকে লক্ষ্য করার আগে অতিরিক্ত অনুসন্ধান পরিচালনা করা।
- পড এনভায়রনমেন্ট ভেরিয়েবলের মধ্যে ভুলভাবে সংরক্ষণ করা স্ট্যাটিক ডাটাবেস শংসাপত্রগুলি বের করা।
- ক্লাউড এসকিউএল অথ প্রক্সির মাধ্যমে সেই শংসাপত্রগুলি ব্যবহার করে প্রোডাকশন ডাটাবেস অ্যাক্সেস করা এবং এসকিউএল কমান্ডগুলি কার্যকর করা যা ব্যবহারকারীর অ্যাকাউন্টগুলিকে পরিবর্তন করে, যার মধ্যে রয়েছে পাসওয়ার্ড রিসেট এবং বেশ কয়েকটি উচ্চ-মূল্যের অ্যাকাউন্টের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ বীজের আপডেট।
এই কারসাজির ফলে শেষ পর্যন্ত আক্রমণকারীরা ঝুঁকিপূর্ণ অ্যাকাউন্টগুলি নিয়ন্ত্রণ করতে এবং সফলভাবে কয়েক মিলিয়ন ডলার ক্রিপ্টোকারেন্সি উত্তোলন করতে সক্ষম হয়।
পরিবেশ-পরিবেশের মাধ্যমে তথ্য স্থানান্তরের নিরাপত্তাগত প্রভাব
এই ঘটনাটি আধুনিক ক্লাউড-নেটিভ পরিবেশে সাধারণত দেখা যায় এমন বেশ কিছু গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা তুলে ধরে। AirDrop-এর মতো ব্যক্তিগত-থেকে-কর্পোরেট পিয়ার-টু-পিয়ার ডেটা ট্রান্সফার প্রক্রিয়া অনিচ্ছাকৃতভাবে এন্টারপ্রাইজ সুরক্ষা নিয়ন্ত্রণগুলিকে বাইপাস করতে পারে, যার ফলে ব্যক্তিগত ডিভাইসে প্রবর্তিত ম্যালওয়্যার কর্পোরেট সিস্টেমে পৌঁছাতে সক্ষম হয়।
অতিরিক্ত ঝুঁকির কারণগুলির মধ্যে রয়েছে বিশেষায়িত কন্টেইনার মোডের ব্যবহার, কাজের চাপের মধ্যে অপর্যাপ্ত বিভাজন এবং পরিবেশগত পরিবর্তনশীলগুলিতে সংবেদনশীল শংসাপত্রের অনিরাপদ সঞ্চয়। আক্রমণকারীরা প্রাথমিকভাবে অবস্থান দখল করার পরে এই প্রতিটি দুর্বলতা অনুপ্রবেশের বিস্ফোরণ ব্যাসার্ধকে বাড়িয়ে তোলে।
অনুরূপ হুমকি প্রশমনের জন্য প্রতিরক্ষামূলক কৌশল
ক্লাউড-ভিত্তিক অবকাঠামো পরিচালনাকারী প্রতিষ্ঠানগুলি, বিশেষ করে যারা আর্থিক সম্পদ বা ক্রিপ্টোকারেন্সি পরিচালনা করে, তাদের অবশ্যই স্তরযুক্ত প্রতিরক্ষামূলক নিয়ন্ত্রণ বাস্তবায়ন করতে হবে যা এন্ডপয়েন্ট এবং ক্লাউড উভয় ঝুঁকিকেই মোকাবেলা করে।
কার্যকর প্রশমন ব্যবস্থার মধ্যে রয়েছে:
- প্রসঙ্গ-সচেতন অ্যাক্সেস নিয়ন্ত্রণ এবং ফিশিং-প্রতিরোধী মাল্টি-ফ্যাক্টর প্রমাণীকরণ বাস্তবায়ন করা।
- ক্লাউড পরিবেশের মধ্যে কেবল বিশ্বস্ত এবং যাচাইকৃত কন্টেইনার ছবিগুলি স্থাপন করা নিশ্চিত করা।
- আপোসপ্রাপ্ত নোডগুলিকে বিচ্ছিন্ন করা এবং বহিরাগত হোস্টের সাথে সংযোগ স্থাপন থেকে তাদের প্রতিরোধ করা।
- অপ্রত্যাশিত প্রক্রিয়া বা অস্বাভাবিক রানটাইম আচরণের জন্য কন্টেইনার পরিবেশ পর্যবেক্ষণ করা।
- পরিবেশগত ভেরিয়েবলগুলিতে শংসাপত্রের সঞ্চয় দূর করতে শক্তিশালী গোপনীয়তা ব্যবস্থাপনা পদ্ধতি গ্রহণ করা।
- এয়ারড্রপ বা ব্লুটুথের মতো পিয়ার-টু-পিয়ার ফাইল ট্রান্সফার নিষ্ক্রিয় বা সীমাবদ্ধ করে এমন এন্ডপয়েন্ট নীতি প্রয়োগ করা এবং কর্পোরেট ডিভাইসগুলিতে অব্যবস্থাপিত বহিরাগত মিডিয়া মাউন্ট করা রোধ করা।
একটি বিস্তৃত প্রতিরক্ষা-গভীর কৌশল যা পরিচয় যাচাই করে, অনিয়ন্ত্রিত ডেটা স্থানান্তর পথগুলিকে সীমাবদ্ধ করে এবং ক্লাউড পরিবেশের মধ্যে কঠোর রানটাইম আইসোলেশন প্রয়োগ করে, অনুরূপ উন্নত অনুপ্রবেশ অভিযানের প্রভাব উল্লেখযোগ্যভাবে হ্রাস করতে পারে।
