স্ট্রাইপফ্লাই ম্যালওয়্যার 5 বছর ধরে চলমান , যা 1 মিলিয়ন ডিভাইসকে সংক্রামিত করছে
স্ট্রাইপফ্লাই ম্যালওয়্যার 5 বছর ধরে চলমান , যা 1 মিলিয়ন ডিভাইসকে সংক্রামিত করছে
ক্রিপ্টোকারেন্সি মাইনার হিসাবে ম্যালওয়্যারের একটি উন্নত স্ট্রেন পাঁচ বছরেরও বেশি সময় ধরে তাদের কার্যক্রম পরিচালনা করেছে। এই প্রক্রিয়ায় সারা বিশ্বে অন্তত এক মিলিয়ন ডিভাইসকে সংক্রামিত করছে।
এটি ক্যাসপারস্কি থেকে পাওয়া তথ্য অনুসারে, এই হুমকির কোডনাম দিয়েছে “স্ট্রিপডফ্লাই”, এটিকে একটি “জটিল মডুলার ফ্রেমওয়ার্ক যা লিনাক্স এবং উইন্ডোজ উভয়কেই সমর্থন করে।”
রাশিয়ান সাইবার সিকিউরিটি বিক্রেতা, 2017 সালে প্রথম নমুনাগুলি সনাক্ত করেছিল, তিনি বলেছেন যে মাইনারটি একটি অনেক বড় সংগঠনের অংশ, যেটি একটি কাস্টম EternalBlue SMBv1 শোষণকে নিয়োগ করে যা ইকুয়েশন গ্রুপের সাথে পাবলিকভাবে অ্যাক্সেসযোগ্য সিস্টেমে অনুপ্রবেশ করার জন্য দায়ী।
ক্ষতিকারক শেলকোড প্রদান এবং তথ্য শোষণের মাধ্যমে বিতরণ করে, এটি দূরবর্তী বিটবাকেট সংগ্রহস্থল থেকে বাইনারি ফাইল ডাউনলোড করার পাশাপাশি পাওয়ারশেল স্ক্রিপ্টগুলি চালানোর ক্ষমতা রয়েছে। এটি সংবেদনশীল ডেটা সংগ্রহ করতে এবং এমনকি নিজেকে আনইনস্টল করতে প্লাগইন-এর মতো প্রসারণযোগ্য বৈশিষ্ট্যগুলির তার মধ্যে রয়েছে৷
প্ল্যাটফর্মের শেলকোড wininit.exe প্রক্রিয়ায় ইনজেকশন করা হয়, একটি বৈধ উইন্ডোজ প্রক্রিয়া যা বুট ম্যানেজার (BOOTMGR) দ্বারা শুরু হয় এবং বিভিন্ন পরিষেবা পরিচালনা করে।
“ম্যালওয়্যার পেলোড নিজেই একটি মনোলিথিক বাইনারি এক্সিকিউটেবল কোড হিসাবে গঠন করা হয়েছে, যার কার্যকারিতা প্রসারিত বা আপডেট করার জন্য প্লাগেবল মডিউলগুলিকে সমর্থন করার জন্য ডিজাইন করা হয়েছে,” নিরাপত্তা গবেষক সের্গেই বেলভ, ভিলেন কমালভ এবং সের্গেই লোজকিন গত সপ্তাহে প্রকাশিত একটি প্রযুক্তিগত প্রতিবেদনে বলেছেন৷
“এটি কাস্টম এনক্রিপ্ট করা আর্কাইভ ব্যবহার করে গিটল্যাব, গিটহাব এবং বিটবাকেটের মতো বিশ্বস্ত পরিষেবাগুলির মাধ্যমে আপডেট এবং ডেলিভারি কার্যকারিতা সহ কমান্ড সার্ভারগুলির সাথে যোগাযোগের জন্য একটি অন্তর্নির্মিত TOR নেটওয়ার্ক টানেল দিয়ে সজ্জিত।”
অন্যান্য উল্লেখযোগ্য গুপ্তচর মডিউল এটিকে প্রতি দুই ঘণ্টায় তথ্য সংগ্রহ করতে, সনাক্তকরণ ছাড়াই আক্রান্ত ডিভাইসে স্ক্রিনশট ক্যাপচার করতে, মাইক্রোফোন ইনপুট রেকর্ড করতে এবং দূরবর্তী ক্রিয়াগুলি চালানোর জন্য একটি বিপরীত প্রক্সি শুরু করতে দেয়।
সফলভাবে পদার্পণ করার পরে, ম্যালওয়্যারটি সংক্রামিত হোস্টে SMBv1 প্রোটোকল নিষ্ক্রিয় করতে এবং হ্যাক করা সিস্টেমে সংগ্রহ করা কীগুলি ব্যবহার করে SMB এবং SSH উভয়ের মাধ্যমে একটি ওয়ার্মিং মডিউল ব্যবহার করে অন্যান্য মেশিনে ম্যালওয়্যার প্রচার করে।
StripedFly পারসিস্টেন্স অর্জন করে বা Windows Registry সংশোধন করে অথবা যদি পাওয়ারশেল ইন্টারপ্রিটার ইনস্টল করে যদি এডমিন অ্যাক্সেস করতে সামর্থ্য হয় তবে টাস্ক স্কেডিউলার এন্ট্রি তৈরি করে পারসিস্টেন্স অর্জন করে। লিনাক্সে, পারসিস্টেন্সটি সিস্টেমড ইউজার সার্ভিস, অটোস্টার্ট ডট ডেস্কটপ ফাইল, বা /etc/rc*, প্রোফাইল, bashrc, বা ইনিট্যাব ফাইল সংশোধনের মাধ্যমে অর্জন করা হয়।
এছাড়াও ডাউনলোড করা মনরো ক্রিপ্টোকারেন্সি মাইনার যা পুল সার্ভারগুলি সমাধান করার জন্য HTTPS (DoH) অনুরোধগুলির উপর DNS ব্যবহার করে, খারাপ কার্যকলাপে স্টিলথের একটি অতিরিক্ত স্তর যুক্ত করে৷ এটি মূল্যায়ন করা হয় যে সিকিউরিটি সফ্টওয়্যারকে ম্যালওয়্যারের ক্ষমতার সম্পূর্ণ মাত্রা আবিষ্কার করা থেকে আটকাতে মাইনারকে ছলনা হিসাবে ব্যবহার করা হয়।
ফুটপ্রিন্ট কমানোর প্রয়াসে, অফলোড করা যেতে পারে এমন ম্যালওয়্যার উপাদানগুলি বিটবাকেট, গিটহাব বা গিটল্যাবের মতো বিভিন্ন কোড রিপোজিটরি হোস্টিং পরিষেবাগুলিতে এনক্রিপ্ট করা বাইনারি হিসাবে হোস্ট করা হয়।
উদাহরণস্বরূপ, জুন 2018 থেকে অভিনেতা দ্বারা পরিচালিত বিটবাকেট সংগ্রহস্থলে এক্সিকিউটেবল ফাইলগুলি অন্তর্ভুক্ত রয়েছে যা উইন্ডোজ এবং লিনাক্স উভয় জুড়ে প্রাথমিক সংক্রমণ পেলোড পরিবেশন করতে, নতুন আপডেটের জন্য পরীক্ষা করা এবং শেষ পর্যন্ত ম্যালওয়্যার আপডেট করতে সক্ষম।
কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ, যা TOR নেটওয়ার্কে হোস্ট করা হয়, একটি TOR ক্লায়েন্টের একটি কাস্টম, লাইটওয়েট বাস্তবায়ন ব্যবহার করে সঞ্চালিত হয় যা কোনো সর্বজনীনভাবে নথিভুক্ত পদ্ধতির উপর ভিত্তি করে নয়।
“এই কার্যকারিতা দ্বারা প্রদর্শিত উত্সর্গের স্তরটি অসাধারণ,” গবেষকরা বলেছেন। “যেকোনো মূল্যে C2 সার্ভার লুকিয়ে রাখার লক্ষ্য একটি অনন্য এবং সময়সাপেক্ষ প্রকল্পের বিকাশকে চালিত করেছে – এর নিজস্ব TOR ক্লায়েন্ট তৈরি করা।”
আরেকটি আকর্ষণীয় বৈশিষ্ট্য হল যে এই সংগ্রহস্থলগুলি ম্যালওয়্যারের প্রাথমিক উৎস (অর্থাৎ, C2 সার্ভার) প্রতিক্রিয়াহীন হয়ে গেলে আপডেট ফাইলগুলি ডাউনলোড করার জন্য ফলব্যাক প্রক্রিয়া হিসাবে কাজ করে।
ক্যাসপারস্কি বলেছে যে এটি থান্ডারক্রিপ্ট নামে একটি র্যানসমওয়্যার পরিবারকে আরও উন্মোচিত করেছে যেটি SMBv1 সংক্রমণ মডিউলের অনুপস্থিতি বাদ দিয়ে StripedFly-এর সাথে উল্লেখযোগ্য সোর্স কোড ওভারল্যাপ শেয়ার করে। 2017 সালে তাইওয়ানের লক্ষ্যবস্তুর বিরুদ্ধে ThunderCrypt ব্যবহার করা হয়েছে বলে জানা গেছে।
StripedFly এর উৎপত্তি যদিও বর্তমানে অজানা, তবে ফ্রেমওয়ার্কের পরিশীলিততা এবং EternalBlue এর সমান্তরাল একটি উন্নত ক্রমাগত হুমকি (APT) ব্যাক্তি বৈশিষ্ট্য প্রদর্শন করে।
এটা উল্লেখ করার মতো বিষয় যে যখন EternalBlue শোষণের শ্যাডো ব্রোকারদের ফাঁস হয়েছিল 14 এপ্রিল, 2017, তখন স্ট্রিপডফ্লাই-এর প্রথম চিহ্নিত সংস্করণটি EternalBlueকে অন্তর্ভুক্ত করে এক বছর আগে 9 এপ্রিল, 2016 তারিখে। ফাঁসের পর থেকে, EternalBlue শোষণ করে আসছে। WannaCry এবং Petya ম্যালওয়্যার ছড়িয়ে দেওয়ার জন্য উত্তর কোরিয়ান এবং রাশিয়ান হ্যাকিং সংগঠনগুলির দ্বারা পুনঃপ্রয়োগ করা হয়েছে৷
এটি বলেছে, এমনও প্রমাণ রয়েছে যে চীনা হ্যাকিং গ্রুপগুলি অনলাইনে ফাঁস হওয়ার আগে ইকুয়েশন গ্রুপের কিছু কাজে অ্যাক্সেস পেয়ে থাকতে পারে, যেমনটি 2021 সালের ফেব্রুয়ারিতে চেক পয়েন্ট দ্বারা প্রকাশ করা হয়েছিল।
ইকুয়েশন গ্রুপের সাথে যুক্ত ম্যালওয়ারের মিল, ক্যাসপারস্কি বলেন, কোডিং শৈলী এবং অনুশীলনের মধ্যেও প্রতিফলিত হয় যা STRAITBIZARRE (SBZ), সন্দেহভাজন মার্কিন-সংযুক্ত প্রতিপক্ষ সমষ্টি দ্বারা পরিচালিত আরেকটি সাইবার গুপ্তচরবৃত্তি প্ল্যাটফর্মে দেখা যায়।
চীনের পাঙ্গু ল্যাবের গবেষকরা Bvp47 নামক একটি “শীর্ষ-স্তরের” ব্যাকডোর বিস্তারিত করার প্রায় দুই বছর পরে এই বিকাশ ঘটে যা 45টি দেশে একাধিক সেক্টরে বিস্তৃত 287টিরও বেশি লক্ষ্যে সমীকরণ গ্রুপ দ্বারা ব্যবহার করা হয়েছে বলে অভিযোগ করা হয়েছে।
বলা বাহুল্য, প্রচারণার একটি গুরুত্বপূর্ণ দিক যা একটি রহস্য হয়ে আছে – যারা ম্যালওয়্যার প্রকৌশলী করেছে তাদের জন্য ছাড়া – এটির আসল উদ্দেশ্য।গবেষকরা বলেছেন “যদিও থান্ডারক্রিপ্ট র্যানসমওয়্যার তার লেখকদের জন্য একটি বাণিজ্যিক উদ্দেশ্য প্রস্তাব করে, এটি কেন এর পরিবর্তে সম্ভাব্য আরও লাভজনক পথ বেছে নেয়নি সে প্রশ্ন উত্থাপন করে,” ।
“এই ধারণাটি মেনে নেওয়া কঠিন যে এই ধরনের পরিশীলিত এবং পেশাদারভাবে ডিজাইন করা ম্যালওয়্যারগুলি এমন একটি তুচ্ছ উদ্দেশ্যে কাজ করবে, বিপরীতে সমস্ত তথ্য প্রমাণ গ্রহন করবে।”