বিশ্বব্যাপী সাইবার আক্রমণের কৌশল যত দ্রুত পরিবর্তিত হচ্ছে, তত দ্রুতই প্রযুক্তি জায়ান্টরা নিরাপত্তা নিয়ে সতর্ক হচ্ছে। কিন্তু এবার ঘটনাটা একটু আলাদা। একটি এমন হ্যাকিং অভিযান সামনে এসেছে, যেখানে আক্রমণকারীরা Google Calendar-এর মতো নির্ভরযোগ্য সার্ভিস ব্যবহার করে বিপজ্জনক ম্যালওয়্যার ছড়িয়েছে এবং সরকারি প্রতিষ্ঠানের গোপন তথ্য চুরি করেছে। এই সম্পূর্ণ অভিযানের পিছনে রয়েছে APT41, যাকে সাইবার জগতে ইতিমধ্যেই অত্যন্ত চালাক এবং বিপজ্জনক হ্যাকিং গ্রুপ হিসেবে বিবেচনা করা হয়।
TOUGHPROGRESS: একটি ম্যালওয়্যার যা দেখায় না, কিন্তু সব চুরি করে নেয়
Google-এর থ্রেট ইন্টেলিজেন্স গ্রুপ (GTIG) সম্প্রতি একটি প্রতিবেদনে এই বিপজ্জনক ম্যালওয়্যারের কথা প্রকাশ করেছে, যার নাম TOUGHPROGRESS। এটি এমন একটি ম্যালওয়্যার যা দেখতে নির্দোষ মনে হয়, কিন্তু এর পৌঁছানো সিস্টেমের গভীরে পর্যন্ত। GTIG-এর মতে, এই ম্যালওয়্যারটি ২০২৪ সালের অক্টোবরে প্রথমবারের মতো সামনে এসেছিল এবং এটি বিশেষ করে সরকারি প্রতিষ্ঠানগুলিকে লক্ষ্য করে তৈরি করা হয়েছিল।
এই আক্রমণের শুরু হয় একটি spear-phishing ইমেইল থেকে, যেখানে একটি লিঙ্ক দেওয়া থাকে। এই লিঙ্কটি কোনও সরকারি ওয়েবসাইটের মতো দেখায় এবং ব্যবহারকারীকে বিভ্রান্ত করতে সফল হয়। ব্যবহারকারী যখন এই লিঙ্কে ক্লিক করে, তখন একটি ZIP ফাইল ডাউনলোড হয়, যার মধ্যে একটি Windows শর্টকাট (.lnk) ফাইল থাকে। এই শর্টকাট ফাইলটি দেখতে PDF-এর মতো মনে হয়, কিন্তু এর বাস্তবতা আলাদা।
তিনটি ধাপে চলে TOUGHPROGRESS-এর আক্রমণ
যখন ব্যবহারকারী PDF-এর মতো দেখতে .LNK ফাইলে ক্লিক করে, তখন একটি বিপজ্জনক 3-ধাপের সংক্রমণ প্রক্রিয়া শুরু হয়:
PLUSDROP: এটি একটি DLL ফাইল যা পরবর্তী ধাপের জন্য ম্যালওয়্যারকে মেমরিতে ডিক্রিপ্ট করে।
PLUSINJECT: এই ধাপে svchost.exe-এর মতো সিস্টেম প্রসেসে কোড ইনজেক্ট করা হয়। একে ‘Process Hollowing’ বলে, যার ফলে ব্যবহারকারীর কাছে কোনও সন্দেহজনক কার্যকলাপ চোখে পড়ে না।
TOUGHPROGRESS: এটিই আসল ম্যালওয়্যার যা Google Calendar-এর ইভেন্ট থেকে হ্যাকারদের কমান্ড পড়ে এবং ব্যবহারকারীর সংবেদনশীল তথ্য হ্যাকারদের কাছে পৌঁছে দেয়।
Google Calendar গোপন তথ্য চুরির মাধ্যম
এই ম্যালওয়্যারের সবচেয়ে চমকপ্রদ দিক হল এটি কোনও রিমোট সার্ভার থেকে নয়, বরং Google Calendar-এর মতো নির্ভরযোগ্য টুল ব্যবহার করে কমান্ড এবং ডেটা আদান-প্রদান করে। TOUGHPROGRESS নির্দিষ্ট তারিখে এমন ইভেন্ট তৈরি করে যার সময়কাল ‘0 মিনিট’। এই ইভেন্টগুলিতে হ্যাকারের কমান্ড বা ডেটা এনক্রিপ্টেড আকারে থাকে। সংক্রামিত সিস্টেম এই ইভেন্টগুলিকে বারবার চেক করে এবং তার উপর ভিত্তি করে কাজ করে।
এটি এক ধরণের সাইবার জাসুসির নতুন পদ্ধতি, যেখানে কোনও রিয়েল-টাইম সার্ভার থেকে ডেটা এক্সচেঞ্জ হয় না, যার ফলে এটিকে ধরা আরও কঠিন হয়ে পড়ে।
APT41: পুরনো চেহারা, নতুন কৌশল
APT41, যাকে Winnti, Brass Typhoon এবং Wicked Panda নামেও পরিচিত, চীনের সাথে সম্পর্কিত একটি অত্যন্ত দক্ষ সাইবার জাসুসি গ্রুপ হিসেবে পরিচিত। এই গ্রুপটি আগেও জাপান, যুক্তরাজ্য এবং তাইওয়ানের মতো দেশগুলির সরকারি বিভাগ, টেক কোম্পানি এবং উৎপাদন ইউনিটগুলিকে আক্রমণ করেছে।
২০২৩ সালেও এই গ্রুপটি Google Drive এবং Google Sheets ব্যবহার করে আরেকটি ব্যাকডোর টুল – GC2 – তৈরি করেছিল। তাতে হ্যাকাররা Sheets-এর ভেতরে কমান্ড লুকিয়ে সংক্রামিত সিস্টেম থেকে ডেটা বের করে নিয়েছিল।
Google-এর প্রতিক্রিয়া
Google সময়মতো এই ঝুঁকিটি চিহ্নিত করেছে এবং সংশ্লিষ্ট Google Calendar ইভেন্ট এবং Workspace প্রজেক্টগুলি অবিলম্বে বন্ধ করে দিয়েছে। এছাড়াও সমস্ত প্রভাবিত প্রতিষ্ঠানকে এই বিষয়ে তথ্যও দেওয়া হয়েছে। যদিও GTIG স্পষ্ট করেছে যে এখনও পর্যন্ত এই আক্রমণের সম্পূর্ণ পরিসর জানা যায়নি এবং তদন্ত চলছে।
সাইবার আক্রমণ থেকে কীভাবে বাঁচবেন?
এই ঘটনাটি স্পষ্ট করে দিয়েছে যে সাইবার আক্রমণকারীরা এখন সেই প্ল্যাটফর্মগুলি ব্যবহার করছে যার উপর সাধারণ ব্যবহারকারীরা সবচেয়ে বেশি বিশ্বাস করে। তাই আমাদের সতর্ক থাকা এবং নিম্নলিখিত পদক্ষেপগুলি গ্রহণ করা প্রয়োজন:
- কোনও অপরিচিত ইমেইল বা সংযুক্তি খোলার থেকে বিরত থাকুন, বিশেষ করে যদি তা ZIP ফর্ম্যাটে থাকে।
- Windows-এ LNK ফাইল প্রিভিউ নিষ্ক্রিয় করে দিন যাতে ভুল করেও এগুলির উপর ক্লিক না হয়।
- আপডেট করা অ্যান্টিভাইরাস এবং নিরাপত্তা সফ্টওয়্যার ব্যবহার করুন যা এ ধরণের ফিশিং আক্রমণ শনাক্ত করতে পারে।
- আপনার ক্লাউড অ্যাকাউন্টগুলি যেমন Google Drive, Calendar ইত্যাদির অনুমতি এবং অ্যাক্সেস লগ সময় সময় পরীক্ষা করুন।
