জিওসার্ভার এক্সপ্লয়েট, পোলারএজ এবং গেইফেমবয়: সাইবারক্রাইম বটনেটের বাইরে ছড়াচ্ছে

জিওসার্ভার এক্সপ্লয়েট, পোলারএজ বটনেট এবং গেইফেমবয় ক্যাম্পেইন সাইবারক্রাইমকে নতুন উচ্চতায় নিয়ে যাচ্ছে। রেডিস সার্ভার এবং আইওটি ডিভাইসের দুর্বলতা কীভাবে ব্যবহার হচ্ছে? বিস্তারিত জানুন!

সর্বশেষ সম্পাদনা: ২০২৫-০৮-২৪ ২০:২৪

লিখেছেন:

সম্পাদক

আমি আনিস আফিফি — একজন উদ্যোক্তা এবং ওয়েব ডেভেলপার, যার একটি বড় স্বপ্ন হলো মানবজাতির জন্য পৃথিবীকে আরও ভালো একটি জায়গায় পরিণত করা। আমি ব্র্যান্ড তৈরি...

ফলো:

- সম্পাদক

সাইবারসিকিউরিটি (Cybersecurity) গবেষকরা একাধিক ক্যাম্পেইনের দিকে দৃষ্টি আকর্ষণ করছেন, যেগুলো পরিচিত নিরাপত্তা দুর্বলতা (Security Vulnerabilities) এবং উন্মুক্ত রেডিস সার্ভার (Exposed Redis Servers) কাজে লাগিয়ে বিভিন্ন ক্ষতিকর কার্যকলাপ চালাচ্ছে। এর মধ্যে রয়েছে আপযায়িত ডিভাইসগুলোকে আইওটি বটনেট (IoT Botnets), রেসিডেন্সিয়াল প্রক্সি (Residential Proxies) বা ক্রিপ্টোকারেন্সি মাইনিং ইনফ্রাস্ট্রাকচার (Cryptocurrency Mining Infrastructure) হিসেবে ব্যবহার করা।

প্রথম সিরিজের আক্রমণগুলোতে জড়িত আছে CVE-2024-36401 (CVSS স্কোর: 9.8) এক্সপ্লয়েট, যা একটি গুরুতর রিমোট কোড এক্সিকিউশন দুর্বলতা (Remote Code Execution Vulnerability) যা OSGeo GeoServer GeoTools-এ প্রভাব ফেলে। এটি গত বছরের শেষ থেকে সাইবার আক্রমণে অস্ত্র হিসেবে ব্যবহৃত হচ্ছে।

“অপরাধীরা এই দুর্বলতা কাজে লাগিয়ে লিগ্যাল সফটওয়্যার ডেভেলপমেন্ট কিট (SDKs) বা মডিফাইড অ্যাপস (Modified Apps) ডেপ্লয় করেছে, যাতে নেটওয়ার্ক শেয়ারিং (Network Sharing) বা রেসিডেন্সিয়াল প্রক্সির মাধ্যমে প্যাসিভ ইনকাম (Passive Income) আয় করা যায়,” প্যালো আল্টো নেটওয়ার্কস ইউনিট ৪২-এর গবেষকরা যিবিন জাং, ইহেং অন, চাও লেই এবং হাওজে জাং একটি টেকনিক্যাল রিপোর্টে বলেছেন।

“এই প্যাসিভ ইনকাম জেনারেশনের পদ্ধতি বিশেষ করে লুকানো। এটি কিছু লিগ্যাল অ্যাপ ডেভেলপারদের মনিটাইজেশন স্ট্র্যাটেজি (Monetization Strategy) অনুকরণ করে, যারা ট্র্যাডিশনাল অ্যাডস (Traditional Ads) দেখানোর পরিবর্তে SDKs বেছে নেয়। এটি একটা ভালো উদ্দেশ্যপ্রণোদিত চয়েস হতে পারে, যা ইউজার এক্সপেরিয়েন্স (User Experience) রক্ষা করে এবং অ্যাপ রিটেনশন (App Retention) বাড়ায়।”

সাইবারসিকিউরিটি কোম্পানি বলেছে, আক্রমণকারীরা অন্তত ২০২৫ সালের মার্চের শুরু থেকে ইন্টারনেটে উন্মুক্ত GeoServer ইনস্ট্যান্সগুলো স্ক্যান করছে, এবং অ্যাডভার্সারি-কন্ট্রোলড সার্ভার থেকে কাস্টমাইজড এক্সিকিউটেবলস (Customized Executables) ড্রপ করছে। পেলোডগুলো ট্রান্সফার.এসএইচ (transfer.sh)-এর একটা প্রাইভেট ইনস্ট্যান্সের মাধ্যমে ডিস্ট্রিবিউট হচ্ছে, কনভেনশনাল এইচটিটিপি ওয়েব সার্ভারের পরিবর্তে।

ক্যাম্পেইনের অ্যাপ্লিকেশনগুলো রাডারের নিচে উড়ে যাওয়ার লক্ষ্যে ন্যূনতম রিসোর্স খরচ করে, এবং কাস্টম ম্যালওয়্যার (Custom Malware) ডিস্ট্রিবিউট করার প্রয়োজন ছাড়াই ভিকটিমদের ইন্টারনেট ব্যান্ডউইথ (Internet Bandwidth) লুকিয়ে মনিটাইজ করে। ডার্টে (Dart) লেখা বাইনারিগুলো লিগ্যাল প্যাসিভ ইনকাম সার্ভিসের সঙ্গে ইন্টারঅ্যাক্ট করার জন্য ডিজাইন করা, যাতে ডিভাইস রিসোর্সগুলো ব্যান্ডউইথ শেয়ারিংয়ের মতো কার্যকলাপে লুকিয়ে ব্যবহার হয়।

এই অ্যাপ্রোচটি সব পক্ষের জন্য উইন-উইন (Win-Win), কারণ অ্যাপ্লিকেশন ডেভেলপাররা ফিচার ইন্টিগ্রেট করার বিনিময়ে পেমেন্ট পান, এবং সাইবারক্রিমিনালরা (Cybercriminals) অব্যবহৃত ব্যান্ডউইথ থেকে লাভবান হয় একটা নির্দোষ চ্যানেল ব্যবহার করে যা কোনো রেড ফ্ল্যাগ (Red Flags) তুলে না।

“একবার চালু হলে, এক্সিকিউটেবল ব্যাকগ্রাউন্ডে লুকিয়ে কাজ করে, ডিভাইস রিসোর্স মনিটর করে এবং সম্ভব হলে ভিকটিমের ব্যান্ডউইথ অবৈধভাবে শেয়ার করে,” ইউনিট ৪২ বলেছে। “এটি আক্রমণকারীর জন্য প্যাসিভ ইনকাম তৈরি করে।”

কোম্পানির টেলিমেট্রি ডেটা দেখায়, ৯৯টি দেশে ৭,১০০-এর বেশি পাবলিকলি এক্সপোজড GeoServer ইনস্ট্যান্স ছিল, যার শীর্ষ পাঁচটি স্পটে চীন, যুক্তরাষ্ট্র, জার্মানি, গ্রেট ব্রিটেন এবং সিঙ্গাপুর।

“এই চলমান ক্যাম্পেইনটি অ্যাডভার্সারিদের কম্প্রোমাইজড সিস্টেম মনিটাইজ করার উপায়ে উল্লেখযোগ্য ইভোলিউশন (Evolution) দেখায়,” ইউনিট ৪২ বলেছে। “আক্রমণকারীদের কোর স্ট্র্যাটেজি স্টেলথি, পার্সিস্টেন্ট মনিটাইজেশনের উপর ফোকাস করে, আগ্রেসিভ রিসোর্স এক্সপ্লয়টেশনের পরিবর্তে। এই অ্যাপ্রোচ লং-টার্ম, লো-প্রোফাইল রেভেনিউ জেনারেশনকে প্রাধান্য দেয় সহজে ডিটেক্টেবল টেকনিকের উপর।”

এই ডিসক্লোজারের সঙ্গে সামঞ্জস্যপূর্ণভাবে, সেনসিস (Censys) বিস্তারিত বর্ণনা করেছে পোলারএজ (PolarEdge) নামক একটা বড়-স্কেল আইওটি বটনেটের ইনফ্রাস্ট্রাকচারাল ব্যাকবোন, যা এন্টারপ্রাইজ-গ্রেড ফায়ারওয়াল (Enterprise-Grade Firewalls) এবং কনজিউমার-ওরিয়েন্টেড ডিভাইস যেমন রাউটার, আইপি ক্যামেরা এবং ভিওআইপি ফোনগুলো নিয়ে গঠিত, পরিচিত নিরাপত্তা দুর্বলতা কাজে লাগিয়ে। এর সঠিক উদ্দেশ্য এখনও অজানা, যদিও স্পষ্ট যে এই বটনেট ইনডিসক্রিমিনেট ম্যাস স্ক্যানিং (Indiscriminate Mass Scanning)-এ ব্যবহৃত হচ্ছে না।

প্রাথমিক অ্যাক্সেস তারপর অ্যাবিউজ করা হয় কাস্টম টিএলএস ব্যাকডোর (Custom TLS Backdoor) ড্রপ করার জন্য, যা Mbed TLS-এর উপর ভিত্তি করে এনক্রিপ্টেড কমান্ড-অ্যান্ড-কন্ট্রোল (Encrypted Command-and-Control), লগ ক্লিনআপ (Log Cleanup) এবং ডায়নামিক ইনফ্রাস্ট্রাকচার আপডেটস সহজ করে। ব্যাকডোরটি সাধারণত হাই, নন-স্ট্যান্ডার্ড পোর্টে (High, Non-Standard Ports) ডেপ্লয় করা হয়েছে, সম্ভবত ট্র্যাডিশনাল নেটওয়ার্ক স্ক্যান এবং ডিফেন্সিভ মনিটরিং স্কোপ বাইপাস করার উপায় হিসেবে।

পোলারএজ অপারেশনাল রিলে বক্স (ORB) নেটওয়ার্কের সঙ্গে মিলে যায়, অ্যাটাক সারফেস ম্যানেজমেন্ট প্ল্যাটফর্ম বলেছে যে ক্যাম্পেইনটি ২০২৩ সালের জুন থেকে শুরু হয়েছে, এবং এই মাসে প্রায় ৪০,০০০ অ্যাকটিভ ডিভাইসে পৌঁছেছে। ইনফেকশনের ৭০% এর বেশি দক্ষিণ কোরিয়া, যুক্তরাষ্ট্র, হংকং, সুইডেন এবং কানাডায় ছড়ানো।

“ওআরবি (ORBs) হলো কম্প্রোমাইজড এক্সিট নোডস যা থ্রেট অ্যাক্টরদের পক্ষে অতিরিক্ত কম্প্রোমাইজ বা আক্রমণ চালানোর জন্য ট্রাফিক ফরওয়ার্ড করে,” সিকিউরিটি রিসার্চার হিমাজা মাদারাম বলেছেন। “ওআরবিগুলোকে আক্রমণকারীদের কাছে এত মূল্যবান করে তোলে যে তাদের ডিভাইসের কোর ফাংশন দখল করতে হয় না—তারা ব্যাকগ্রাউন্ডে লুকিয়ে ট্রাফিক রিলে করতে পারে যখন ডিভাইস নরমালি কাজ করে, যা ওনার বা আইএসপি (ISP) দ্বারা ডিটেকশনকে অসম্ভব করে তোলে।”

সাম্প্রতিক মাসগুলোতে, ড্রেটেক, টিপি-লিঙ্ক, রেইজকম এবং সিস্কোর মতো ভেন্ডারদের প্রোডাক্টের দুর্বলতাগুলো ব্যাড অ্যাক্টররা টার্গেট করেছে ইনফিলট্রেট করার এবং গেইফেমবয় (Gayfemboy) কোডনেমের মিরাই বটনেট ভ্যারিয়েন্ট (Mirai Botnet Variant) ডেপ্লয় করার জন্য, যা টার্গেটিং স্কোপের এক্সপ্যানশন নির্দেশ করে।

“গেইফেমবয় ক্যাম্পেইনটি ব্রাজিল, মেক্সিকো, যুক্তরাষ্ট্র, জার্মানি, ফ্রান্স, সুইজারল্যান্ড, ইসরায়েল এবং ভিয়েতনাম সহ একাধিক দেশ জুড়ে বিস্তৃত,” ফর্টিনেট বলেছে। “এর টার্গেটগুলো ম্যানুফ্যাকচারিং, টেকনোলজি, কনস্ট্রাকশন এবং মিডিয়া বা কমিউনিকেশনসের মতো বিস্তৃত সেক্টর কভার করে।”

গেইফেমবয় বিভিন্ন সিস্টেম আর্কিটেকচার টার্গেট করতে সক্ষম, যেমন আর্ম, এআর্চ৬৪, মিপস আর৩০০০, পাওয়ারপিসি এবং ইন্টেল ৮০৩৮৬। এতে চারটি প্রাইমারি ফাংশন রয়েছে—

মনিটর (Monitor), যা থ্রেড এবং প্রসেস ট্র্যাক করে, পার্সিস্টেন্স এবং স্যান্ডবক্স ইভেশন টেকনিকস (Persistence and Sandbox Evasion Techniques) অন্তর্ভুক্ত করে
ওয়াচডগ (Watchdog), যা ইউডিপি পোর্ট ৪৭২৭২-এ বাইন্ড করার চেষ্টা করে
অ্যাটাকার (Attacker), যা ইউডিপি, টিসিপি এবং আইসিএমপি প্রোটোকল ব্যবহার করে ডিডস আক্রমণ (DDoS Attacks) লঞ্চ করে, এবং রিমোট সার্ভারে কানেক্ট করে কমান্ড রিসিভ করার মাধ্যমে ব্যাকডোর অ্যাক্সেস এনাবল করে
কিলার (Killer), যা সার্ভার থেকে কমান্ড পেলে বা স্যান্ডবক্স ম্যানিপুলেশন ডিটেক্ট করলে নিজেকে টার্মিনেট করে

“গেইফেমবয় মিরাই থেকে স্ট্রাকচারাল এলিমেন্টস (Structural Elements) উত্তরাধিকার করে, কিন্তু ডিটেকশন ইভেড করার ক্ষমতা এবং কমপ্লেক্সিটি বাড়ানোর জন্য উল্লেখযোগ্য মডিফিকেশনস (Modifications) ইনট্রোডিউস করে,” সিকিউরিটি রিসার্চার ভিনসেন্ট লি বলেছেন। “এই ইভোলিউশন মডার্ন ম্যালওয়্যারের বাড়তি সোফিস্টিকেশন (Sophistication) প্রতিফলিত করে এবং প্রো-অ্যাকটিভ, ইন্টেলিজেন্স-ড্রিভেন ডিফেন্স স্ট্র্যাটেজিস (Defense Strategies)-এর প্রয়োজনীয়তা পুনর্বলিত করে।”

এই ফাইন্ডিংসগুলো একটা ক্রিপ্টোজ্যাকিং ক্যাম্পেইনের (Cryptojacking Campaign) সঙ্গে কয়েনসাইড, যা থ্রেট অ্যাক্টর TA-NATALSTATUS দ্বারা চালিত, যা উন্মুক্ত রেডিস সার্ভার টার্গেট করে ক্রিপ্টোকারেন্সি মাইনার ডেলিভার করার জন্য।

আক্রমণটি মূলত পোর্ট ৬৩৭৯-এ অনঅথেনটিকেটেড রেডিস সার্ভার স্ক্যানিং জড়িত, তারপর লিগ্যাল কনফিগ, সেট এবং সেভ কমান্ড ইস্যু করে একটা ম্যালিশিয়াস ক্রন জব (Malicious Cron Job) এক্সিকিউট করা, যা একটা শেল স্ক্রিপ্ট চালানোর জন্য ডিজাইন করা যা SELinux ডিসেবল করে, ডিফেন্স ইভেশন স্টেপস করে, রেডিস পোর্টে এক্সটার্নাল কানেকশন ব্লক করে যাতে রাইভাল অ্যাক্টররা ইনিশিয়াল অ্যাক্সেস পাথওয়ে ব্যবহার করতে না পারে, এবং কম্পিটিং মাইনিং প্রসেস টার্মিনেট করে (যেমন কিনসিং)।

এছাড়া ডেপ্লয় করা হয়েছে স্ক্রিপ্টস যা ম্যাসক্যান (masscan) বা পিএনস্ক্যান (pnscan)-এর মতো টুলস ইনস্টল করে, এবং তারপর “masscan –shard”-এর মতো কমান্ড লঞ্চ করে সাসেপ্টিবল রেডিস ইনস্ট্যান্স স্ক্যান করার জন্য। শেষ স্টেপে আওয়ারলি ক্রন জবের মাধ্যমে পার্সিস্টেন্স সেটআপ এবং মাইনিং প্রসেস শুরু করা।

সাইবারসিকিউরিটি ফার্ম ক্লাউডএসইকে বলেছে, এই অ্যাকটিভিটি ট্রেন্ড মাইক্রো দ্বারা ২০২০ সালের এপ্রিলে ডিসক্লোজড একটা আক্রমণ ক্যাম্পেইনের ইভোলিউশন, যাতে নতুন ফিচারস প্যাক করা হয়েছে রুটকিট-লাইক ফিচারস (Rootkit-Like Features) এর জন্য যাতে ম্যালিশিয়াস প্রসেস লুকানো যায় এবং তাদের ফাইলের টাইমস্ট্যাম্পস (Timestamps) অল্টার করে ফরেনসিক অ্যানালাইসিসকে ফুল করা যায়।

“সিস্টেম বাইনারিগুলো যেমন পিএস এবং টপকে পিএস.অরিজিনাল নাম করে এবং তাদের ম্যালিশিয়াস র‍্যাপারস (Malicious Wrappers) দিয়ে রিপ্লেস করে, তারা তাদের নিজস্ব ম্যালওয়্যার (httpgd)-কে আউটপুট থেকে ফিল্টার করে। একটা অ্যাডমিন মাইনার খুঁজলে স্ট্যান্ডার্ড টুলস ব্যবহার করে দেখতে পাবে না,” রিসার্চার অভিষেক ম্যাথিউ বলেছেন। “তারা কার্ল এবং ওয়েগেটকে সিডি১ এবং ডব্লিউডি১ নাম করে। এটি একটা সিম্পল কিন্তু ব্রিলিয়ান্ট মেথড সিকিউরিটি প্রোডাক্টস বাইপাস করার জন্য যা স্পেসিফিক্যালি এই কমন টুল নেমস দিয়ে ইনিশিয়েটেড ম্যালিশিয়াস ডাউনলোডস মনিটর করে।”

বাংলাদেশের প্রেক্ষাপটে এই সাইবারক্রাইমের ঘটনাগুলো আমাদের জন্য একটা বড় সতর্কতা। আমাদের দেশে ইন্টারনেট ব্যবহারকারীদের সংখ্যা দ্রুত বাড়ছে, কিন্তু সাইবার নিরাপত্তা সচেতনতা এখনও কম। জিওসার্ভার বা রেডিস সার্ভারের মতো টুলস অনেক স্থানীয় ব্যবসা এবং স্টার্টআপ ব্যবহার করে, এবং আইওটি ডিভাইস যেমন সিসিটিভি ক্যামেরা বা রাউটারগুলোতে দুর্বলতা থাকলে সহজেই হ্যাক হয়ে যেতে পারে। এই বটনেট এবং মাইনিং ক্যাম্পেইনগুলো বাংলাদেশের মতো উন্নয়নশীল দেশের ইনফ্রাস্ট্রাকচারকে টার্গেট করতে পারে, যা অর্থনৈতিক ক্ষতি এবং ডেটা চুরির ঝুঁকি বাড়ায়। আমাদের তরুণ ডেভেলপার এবং ব্যবসায়ীদের জন্য এটা একটা কল—নিয়মিত সফটওয়্যার আপডেট, ফায়ারওয়াল ব্যবহার এবং সাইবারসিকিউরিটি ট্রেনিং নেওয়া জরুরি, যাতে আমরা এই বিশ্বব্যাপী হুমকির মুখোমুখি হয়ে দাঁড়াতে পারি।

ট্যাগবটনেট সাইবারক্রাইম

লিখেছেন:আনিস আফিফি

সম্পাদক

ফলো:

আমি আনিস আফিফি — একজন উদ্যোক্তা এবং ওয়েব ডেভেলপার, যার একটি বড় স্বপ্ন হলো মানবজাতির জন্য পৃথিবীকে আরও ভালো একটি জায়গায় পরিণত করা। আমি ব্র্যান্ড তৈরি করি, ডিজিটাল সমস্যাগুলোর সমাধান করি। এবং এমন একটি ভবিষ্যত তৈরি করতে চাই যা মানুষকে ক্ষমতায়িত করে।