সাইবার-গোয়েন্দা অভিযান 100 টিরও বেশি দেশকে লক্ষ্য করে

ট্রেন্ড মাইক্রো গবেষকরা খুঁজে পেয়েছেন যে, চলমান সাইবার-গুপ্তচরবৃত্তি অপারেশন, নিরাপদ নামে অভিহিত, বর্শা ফিশিং ইমেল সহ 100 টিরও বেশি দেশে বিভিন্ন সংস্থাকে লক্ষ্যবস্তু করেছে, সুরক্ষা গোয়েন্দা ব্লগে দু'জন ট্রেন্ড মাইক্রো হুমকির গবেষক কাইলি উইলহাইট এবং নার্ট ভিলেনিউভে এই অভিযানকে লক্ষ্য করে সরকারী সংস্থা, প্রযুক্তি সংস্থাগুলি, একাডেমিক গবেষণা প্রতিষ্ঠান এবং বেসরকারী সংস্থাগুলিকে লক্ষ্যবস্তু করা হয়েছে বলে মনে হয়। ট্রেন্ড মাইক্রো বিশ্বাস করে যে ১২০-এরও বেশি দেশে ছড়িয়ে ছিটিয়ে থাকা 12, 000 টিরও বেশি অনন্য আইপি অ্যাড্রেসগুলি ম্যালওয়্যার দ্বারা আক্রান্ত হয়েছিল। তবে, প্রতিদিন কেবলমাত্র 71 টি আইপি ঠিকানা, সক্রিয়ভাবে প্রতিদিন সিঅ্যান্ডসি সার্ভারের সাথে যোগাযোগ করে।

ট্রেন্ড মাইক্রো তার হোয়াইট পেপারে বলেছে, "ভুক্তভোগীর প্রকৃত সংখ্যা অনন্য আইপি ঠিকানার সংখ্যার চেয়ে অনেক কম, " তবে প্রকৃত চিত্রের বিষয়ে অনুমান করতে অস্বীকার করেন।

স্পিয়ার ফিশিংয়ের উপর নিরাপদ নির্ভর করে

নিরাপদে ম্যালওয়্যারের একই স্ট্রেন ব্যবহার করে দুটি স্বতন্ত্র বর্শা ফিশিং প্রচারণা থাকে, তবে বিভিন্ন কমান্ড-নিয়ন্ত্রণ-অবকাঠামোগত ব্যবহার করে, গবেষকরা হোয়াইট পেপারে লিখেছিলেন। একটি প্রচারাভিযানের বল্লম ফিশিং ইমেলের সাবজেক্ট লাইন ছিল তিব্বত বা মঙ্গোলিয়া হয় either গবেষকরা এখনও দ্বিতীয় প্রচারের জন্য ব্যবহৃত বিষয়গুলিতে একটি সাধারণ থিম সনাক্ত করতে পারেন নি, যেটি ভারত, মার্কিন যুক্তরাষ্ট্র, পাকিস্তান, চীন, ফিলিপাইন, রাশিয়া এবং ব্রাজিলের ক্ষতিগ্রস্থদের দাবি করেছে।

ট্রেন্ড মাইক্রো জানিয়েছে, নিরাপদে বর্শার ফিশিং ইমেলগুলি ক্ষতিগ্রস্থদের জন্য প্রেরণ করা হয়েছে এবং তাদেরকে একটি দূষিত সংযুক্তি খোলার জন্য প্রতারিত করেছে যা ট্রেন্ড মাইক্রো অনুসারে, ইতিমধ্যে প্যাচযুক্ত মাইক্রোসফ্ট অফিসের দুর্বলতাটিকে কাজে লাগিয়েছে। গবেষকরা বেশ কয়েকটি দূষিত ওয়ার্ড ডকুমেন্ট খুঁজে পেয়েছেন যা খোলার সাথে সাথে চুপচাপ ভুক্তভোগীর কম্পিউটারে একটি পেডলোড ইনস্টল করে। উইন্ডোজ কমন কন্ট্রোলগুলিতে রিমোট কোড প্রয়োগের দুর্বলতা এপ্রিল ২০১২ এ প্যাচ করা হয়েছিল।

সিএন্ডসি অবকাঠামোর বিশদ

প্রথম প্রচারে, সি ও সি সার্ভারের সাথে সংযুক্ত 11 টি ভিন্ন দেশে 243 টি ইউনিক আইপি ঠিকানা থেকে কম্পিউটার। দ্বিতীয় প্রচারে, 116 টি ভিন্ন দেশের 11, 563 আইপি ঠিকানা থেকে কম্পিউটারগুলি সিএন্ডসি সার্ভারের সাথে যোগাযোগ করেছিল। 4, 000 এরও বেশি সংক্রামিত আইপি অ্যাড্রেস সহ ভারত সবচেয়ে বেশি লক্ষ্যবস্তু হিসাবে উপস্থিত হয়েছিল।

সি ও সি সার্ভারগুলির মধ্যে একটি সেট আপ করা হয়েছিল যাতে যে কেউ ডিরেক্টরিগুলির বিষয়বস্তু দেখতে পারে। ফলস্বরূপ, ট্রেন্ড মাইক্রো গবেষকরা ভুক্তভোগী কে ছিল তা নির্ধারণ করতে এবং সিএন্ডসি সার্ভার এবং ম্যালওয়ারের পিছনে উত্স কোডযুক্ত ফাইলগুলি ডাউনলোড করতে সক্ষম হন। ট্রেন্ড মাইক্রো জানিয়েছে, সিঅ্যান্ডসি সার্ভারের কোডটির দিকে তাকালে দেখা যায় যে অপারেটররা চীনের একটি ইন্টারনেট পরিষেবা সরবরাহকারীর কাছ থেকে বৈধ উত্স কোডটি প্রত্যাবর্তন করেছে।

আক্রমণকারীরা ভিপিএন এর মাধ্যমে সিঅ্যান্ডসি সার্ভারের সাথে সংযোগ স্থাপন করছিল এবং টোর নেটওয়ার্ক ব্যবহার করেছিল, আক্রমণকারীরা কোথায় অবস্থিত তা সনাক্ত করতে অসুবিধে করেছে। ট্রেন্ড মাইক্রো বলেছেন, "প্রক্সি সার্ভার এবং ভিপিএনগুলির ভৌগলিক বৈচিত্র্যের কারণে তাদের আসল উত্স নির্ধারণ করা কঠিন হয়ে পড়েছিল।"

আক্রমণকারীরা চাইনিজ ম্যালওয়্যার ব্যবহার করতে পারে

সোর্স কোডের কয়েকটি সূত্রের ভিত্তিতে ট্রেন্ড মাইক্রো বলেছে যে চীনে ম্যালওয়্যার তৈরি করা সম্ভব ছিল। নিরাপদ অপারেটররা ম্যালওয়ারটি বিকশিত করেছে বা অন্য কারও কাছ থেকে কিনেছে কিনা তা এই মুহুর্তে জানা যায় না।

"আক্রমণকারীদের অভিপ্রায় এবং পরিচয় নির্ধারণের পরেও কঠিন রয়ে গেছে, আমরা নির্ধারণ করেছি যে এই প্রচারটি লক্ষ্যবস্তু হয়েছে এবং এটি একটি পেশাদার সফটওয়্যার ইঞ্জিনিয়ার দ্বারা বিকাশিত ম্যালওয়্যার ব্যবহার করে যারা চীনের সাইবার ক্রিমিনাল ভূগর্ভের সাথে সংযুক্ত থাকতে পারে, " গবেষকরা ব্লগে লিখেছিলেন।