আপোষহীন SonicWall SMA এজ ডিভাইসে একটি সম্ভাব্য চীনা আক্রমণ অভিযান 2021 সাল পর্যন্ত সনাক্ত করা যায়নি এবং ফার্মওয়্যার আপডেটের মাধ্যমে চালিয়ে যেতে পারে।
হিসাবে সম্পর্কে অবহিত একাধিক ব্যাশ স্ক্রিপ্ট এবং একটি একক এক্সিকিউটেবল এবং লিঙ্কেবল ফরম্যাট (ইএলএফ) বাইনারি ফাইলের সমন্বয়ে গঠিত একটি নতুন ম্যালওয়্যারকে একটি নতুন ম্যান্ডিয়েন্ট গবেষণা নথি দ্বারা একটি TinyShell ব্যাকডোর ভেরিয়েন্ট হিসাবে চিহ্নিত করা হয়েছে। টিনিশেল একটি সর্বজনীনভাবে উপলব্ধ সরঞ্জাম যা অনেক হুমকি অভিনেতা দ্বারা ব্যবহৃত হয় (চিত্র A,
চিত্র A
প্রধান ম্যালওয়্যার প্রক্রিয়া হল “ফায়ারওয়াল” নামক একটি ফাইল, যা প্যারামিটার সহ একটি TinyShell ব্যাকডোর চালায় যা এটি হুমকি অভিনেতাকে একটি বিপরীত শেল প্রদান করতে দেয়। বিপরীত শেল স্ক্রিপ্ট দ্বারা প্রদত্ত সময় এবং দিনে C2 সার্ভারকে কল করে। TinyShell বাইনারি কল করার সময় যদি কোন IP ঠিকানা প্রদান করা না হয়, এটি পৌঁছানোর জন্য একটি হার্ডকোড করা IP ঠিকানা এম্বেড করে।
ক্র্যাশ বা সমাপ্তির ক্ষেত্রে প্রাথমিক ম্যালওয়্যারের ধারাবাহিকতা নিশ্চিত করতে “iptabled” নামের “ফায়ারওয়াল” ফাইলের একটি অনুলিপি প্রতিস্থাপন করা হয়েছে। দুটি স্ক্রিপ্ট একে অপরকে সক্রিয় করার জন্য সেট করা হয়েছিল যখন অন্যটি ইতিমধ্যে চালু ছিল না, যা প্রাথমিক ম্যালওয়্যার প্রক্রিয়ার একটি ব্যাকআপ উদাহরণ তৈরি করেছিল এবং এইভাবে এর স্থিতিস্থাপকতা বৃদ্ধি করেছিল।
“ফায়ারওয়াল” প্রক্রিয়াটি বুট করার সময় “rc.local” নামে একটি স্টার্টআপ স্ক্রিপ্ট দ্বারা চালু করা হয় যা আক্রমণকারীর দ্বারা দীর্ঘ অ্যাক্সেসের সুবিধার উদ্দেশ্যে করা হয়।
স্থিতিশীলতা বাড়াতে “ifconfig6” নামের একটি ফাইলও ব্যবহার করা হয়। প্রধান “ফায়ারওয়ালড” প্রক্রিয়াটি “ফায়ারবেসড” নামক বৈধ SonicWall বাইনারিতে একটি ছোট প্যাচ যোগ করে, যা “ipconfig6” স্ক্রিপ্টে একটি কল দিয়ে শাটডাউন স্ট্রিং প্রতিস্থাপন করে। ম্যান্ডিয়েন্ট গবেষকরা সন্দেহ করেন যে আক্রমণকারীরা সমস্যার সম্মুখীন হয়েছিল যখন একটি “ফায়ারবেসড” স্ক্রিপ্ট দৃষ্টান্ত বন্ধ করে দিয়েছিল এবং এটি প্যাচ করার জন্য একটি ছোট স্ক্রিপ্ট তৈরি করার সিদ্ধান্ত নিয়েছে।
একবার সবকিছু সেট আপ হয়ে গেলে, ম্যালওয়্যারের শেষ লক্ষ্য হল সমস্ত লগ ইন করা ব্যবহারকারীদের হ্যাশড শংসাপত্রগুলি দখল করতে নিয়মিতভাবে এসকিউএল কমান্ডগুলি চালানো। আক্রমণকারী তারপর সেই হ্যাশগুলিকে অফলাইনে ক্র্যাক করতে পুনরুদ্ধার করতে পারে৷
ফার্মওয়্যার আপডেট সংশোধন করা হয়েছে
একটি সংক্রামিত ডিভাইসে পাওয়া “geobotnet” নামক একটি ব্যাশ স্ক্রিপ্ট প্রতি 10 সেকেন্ডে ফার্মওয়্যার আপগ্রেডগুলি /cf/FIRMWARE/NEW/INITRD.GZ-এ উপস্থিত হওয়ার জন্য পরীক্ষা করে। যদি তাই হয়, স্ক্রিপ্টটি ফাইলটির ব্যাক আপ করবে, এটি আনজিপ করবে, এটি মাউন্ট করবে এবং তারপর ম্যালওয়্যার ফাইলগুলির সম্পূর্ণ প্যাকেজটি অনুলিপি করবে৷ এটি সিস্টেমে “acme” নামে একটি ব্যাকডোর রুট ব্যবহারকারী যোগ করে। ম্যালওয়্যারটি তারপর এটিকে আবার খুলে দেয় এবং এটিকে আবার জায়গায় রাখে।
এই কৌশলটি, যদিও খুব পরিশীলিত নয়, এটি দেখায় যে আক্রমণকারীরা দীর্ঘ সময়ের জন্য তাদের অ্যাক্সেস বজায় রাখতে কতটা অনুপ্রাণিত, কারণ এই জাতীয় কৌশল তৈরি এবং স্থাপন করার জন্য ফার্মওয়্যার আপগ্রেড প্রক্রিয়ার একটি দৃঢ় জ্ঞান প্রয়োজন।
ম্যান্ডিয়ান গবেষকরা ইঙ্গিত করেন যে এই প্রযুক্তিটি সামঞ্জস্যপূর্ণ আরেকটি আক্রমণ এই প্রচারাভিযানটি চীন সরকারের প্রধান অগ্রাধিকারকে সমর্থন করেছিল যা তিনি বিশ্লেষণ করেছিলেন।
সাইবার গুপ্তচরবৃত্তির উদ্দেশ্যে একটি দীর্ঘ চলমান প্রচারণা
যদিও এই আক্রমণ অভিযানে সংক্রমণের প্রাথমিক ভেক্টর অজানা রয়ে গেছে, ম্যান্ডিয়েন্ট গবেষকরা ইঙ্গিত দিয়েছেন যে ম্যালওয়্যার বা এর পূর্বসূরী 2021 সালে স্থাপন করা হয়েছিল এবং হুমকি অভিনেতা সম্ভবত একাধিক ফার্মওয়্যার আপডেটের মাধ্যমে অ্যাক্সেস বজায় রেখেছিলেন।
কারণ ম্যালওয়্যারের একমাত্র উদ্দেশ্য হল ব্যবহারকারীর শংসাপত্র চুরি করা, এটি দৃঢ়ভাবে সন্দেহ করা হয় যে আক্রমণ অভিযানটি সাইবার গুপ্তচরবৃত্তির লক্ষ্য অনুসরণ করেছিল।
ম্যান্ডিয়েন্ট এই বিষয়টির উপর জোর দেয় যে একটি পরিচালিত ডিভাইসের জন্য ম্যালওয়্যার বিকাশ করা একটি তুচ্ছ কাজ নয়, কারণ বিক্রেতারা সাধারণত অপারেটিং সিস্টেম বা এমনকি এই জাতীয় ডিভাইসের ফাইল সিস্টেমগুলিতে সরাসরি অ্যাক্সেস অফার করে না। এটি সেই ডিভাইসগুলির জন্য শোষণ এবং ম্যালওয়্যার বিকাশ করা কঠিন করে তোলে৷
কিভাবে এই বিপদ এড়ানো যায়
এই বিশেষ আক্রমণের জন্য, SonicWall SMA100 গ্রাহকদের অনুরোধ করে আপগ্রেড সংস্করণ 10.2.1.7 বা উচ্চতর। আপগ্রেডে ফাইল ইন্টিগ্রিটি মনিটরিং (এফআইএম) এবং অস্বাভাবিক প্রক্রিয়া সনাক্তকরণের মতো কঠোর বর্ধন অন্তর্ভুক্ত রয়েছে।
বড় পরিসরে, প্রান্ত ডিভাইস রক্ষা করুন একটি সমঝোতা মোকাবেলার জন্য একটি বহু-স্তরীয় পদ্ধতির প্রয়োজন যাতে শারীরিক এবং সফ্টওয়্যার নিরাপত্তা ব্যবস্থা উভয়ই অন্তর্ভুক্ত থাকে।
এছাড়াও, কর্মীদের সাইবার নিরাপত্তার সর্বোত্তম অনুশীলন সম্পর্কে শিক্ষিত করুন, যেমন ফিশিং ইমেলগুলি সনাক্ত করা এবং সন্দেহজনক ওয়েবসাইট বা ডাউনলোডগুলি এড়ানো। প্রাথমিক সংক্রমণ ভেক্টর জানা না গেলেও, এটি একটি ফিশিং ইমেল হতে পারে।
প্রকাশ: আমি ট্রেন্ড মাইক্রোর জন্য কাজ করি, কিন্তু এই নিবন্ধে প্রকাশিত মতামত আমার নিজস্ব।