চীন-সংযুক্ত APT দশক ধরে রাডারের অধীনে উড়ে গেছে

গবেষকরা একটি ছোট অথচ শক্তিশালী চীন-সংযুক্ত APT সনাক্ত করেছেন যা দক্ষিণ-পূর্ব এশিয়া এবং অস্ট্রেলিয়ায় সরকার, শিক্ষা এবং টেলিযোগাযোগ সংস্থাগুলির বিরুদ্ধে প্রায় এক দশক ধরে প্রচারাভিযান চালিয়ে রাডারের নীচে উড়ে গেছে।

গবেষকরা সেন্টিনেলল্যাবস থেকে ড APT, যাকে তারা Aoqin Dragon নামে ডাকা হয়েছে, অন্তত 2013 সাল থেকে কাজ করছে। APT হল "একটি ছোট চীনা-ভাষী দল যার সাথে UNC94 [একটি APT নামক] সম্ভাব্য অ্যাসোসিয়েশন রয়েছে," তারা রিপোর্ট করেছে।

গবেষকরা বলছেন যে আওকিন ড্রাগনের কৌশল এবং কৌশলগুলির মধ্যে একটি হল পর্নোগ্রাফিক থিমযুক্ত দূষিত নথিগুলিকে টোপ হিসাবে ব্যবহার করে শিকারদের ডাউনলোড করতে প্রলুব্ধ করা।

"আওকিন ড্রাগন প্রাথমিকভাবে নথির শোষণ এবং জাল অপসারণযোগ্য ডিভাইস ব্যবহারের মাধ্যমে প্রাথমিক অ্যাক্সেস চায়," গবেষকরা লিখেছেন।

আওকিন ড্রাগনের বিবর্তিত স্টিলথ কৌশল

আওকিন ড্রাগনকে এতদিন রাডারের অধীনে থাকতে সাহায্য করার একটি অংশ হল তারা বিবর্তিত হয়েছে। উদাহরণস্বরূপ, টার্গেট কম্পিউটারগুলিকে সংক্রামিত করতে ব্যবহৃত APT এর উপায়গুলি বিকশিত হয়েছে।

তাদের প্রথম কয়েক বছরের অপারেশনে, আওকিন ড্রাগন পুরানো দুর্বলতাগুলিকে কাজে লাগানোর উপর নির্ভর করেছিল - বিশেষত, CVE-2012-0158 এবং CVE-2010-3333 - যেগুলি তাদের লক্ষ্যগুলি এখনও প্যাচ করেনি৷

পরবর্তীতে, Aoqin Dragon ডেস্কটপ আইকনগুলির সাথে এক্সিকিউটেবল ফাইলগুলি তৈরি করে যা সেগুলিকে উইন্ডোজ ফোল্ডার বা অ্যান্টিভাইরাস সফ্টওয়্যারের মতো দেখায়৷ এই প্রোগ্রামগুলি আসলে দূষিত ড্রপার যা পিছনের দরজা লাগিয়েছিল এবং তারপর আক্রমণকারীদের কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ স্থাপন করেছিল।

2018 সাল থেকে, গ্রুপটি তাদের সংক্রমণ ভেক্টর হিসাবে একটি জাল অপসারণযোগ্য ডিভাইস ব্যবহার করছে। যখন একজন ব্যবহারকারী অপসারণযোগ্য ডিভাইস ফোল্ডার বলে মনে হচ্ছে তা খুলতে ক্লিক করে, তারা আসলে একটি চেইন প্রতিক্রিয়া শুরু করে যা তাদের মেশিনে একটি ব্যাকডোর এবং C2 সংযোগ ডাউনলোড করে। শুধু তাই নয়, ম্যালওয়্যার হোস্ট মেশিনের সাথে সংযুক্ত যেকোন প্রকৃত অপসারণযোগ্য ডিভাইসে নিজেকে কপি করে, যাতে হোস্টের বাইরে এবং, আশা করা যায়, লক্ষ্যের বিস্তৃত নেটওয়ার্কে এর বিস্তার চালিয়ে যেতে।

রাডারের বাইরে থাকার জন্য গ্রুপটি অন্যান্য কৌশল নিযুক্ত করেছে। তারা ডিএনএস টানেলিং ব্যবহার করেছে – ইন্টারনেটের ডোমেন নাম সিস্টেমকে ব্যবহার করে ফায়ারওয়ালের অতীতের ডেটা লুকিয়ে রাখতে। একটি ব্যাকডোর লিভারেজ - যা মঙ্গল নামে পরিচিত - হোস্ট এবং C2 সার্ভারের মধ্যে যোগাযোগের ডেটা এনক্রিপ্ট করে। সময়ের সাথে সাথে, গবেষকরা বলেছেন, এপিটি ধীরে ধীরে নকল অপসারণযোগ্য ডিস্ক কৌশলটি কাজ শুরু করে। এটি করা হয়েছিল "ম্যালওয়্যারটিকে সুরক্ষা পণ্যগুলির দ্বারা সনাক্ত করা এবং সরানো থেকে রক্ষা করার জন্য এটিকে পিগ্রেড করা"৷

জাতি-রাষ্ট্র লিঙ্ক

লক্ষ্যমাত্রা মাত্র কয়েকটি বালতিতে পড়ার প্রবণতা রয়েছে - সরকার, শিক্ষা এবং টেলিকম, সমস্ত দক্ষিণ-পূর্ব এশিয়া এবং এর আশেপাশে। গবেষকরা জোর দিয়ে বলেন, "আওকিন ড্রাগনের লক্ষ্যবস্তু চীন সরকারের রাজনৈতিক স্বার্থের সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ।"

চীনের প্রভাবের আরও প্রমাণের মধ্যে রয়েছে গবেষকদের দ্বারা পাওয়া একটি ডিবাগ লগ যাতে সরলীকৃত চীনা অক্ষর রয়েছে।

সবচেয়ে গুরুত্বপূর্ণ, গবেষকরা 2014 সালে মায়ানমারের ওয়েবসাইটের প্রেসিডেন্টের উপর ওভারল্যাপিং আক্রমণের কথা তুলে ধরেন। সেই ক্ষেত্রে, পুলিশ হ্যাকারদের কমান্ড-এন্ড-কন্ট্রোল এবং মেইল ​​সার্ভার বেইজিং-এ খুঁজে বের করে। আওকিন ড্রাগনের দুটি প্রাথমিক ব্যাকডোর "ওভারল্যাপিং C2 পরিকাঠামো আছে," সেই ক্ষেত্রে, "এবং বেশিরভাগ C2 সার্ভার চীনা-ভাষী ব্যবহারকারীদের জন্য দায়ী করা যেতে পারে।"

তবুও, "রাজ্য এবং রাষ্ট্রীয় স্পনসরড হুমকি অভিনেতাদের সঠিকভাবে সনাক্ত করা এবং ট্র্যাক করা চ্যালেঞ্জিং হতে পারে," ভলকান সাইবারের সিনিয়র টেকনিক্যাল ইঞ্জিনিয়ার মাইক পারকিন একটি বিবৃতিতে লিখেছেন। "সেন্টিনেলওয়ান এখন একটি এপিটি গ্রুপে তথ্য প্রকাশ করছে যা দৃশ্যত প্রায় এক দশক ধরে সক্রিয় ছিল, এবং অন্য তালিকায় উপস্থিত হয় না, দেখায় যে আপনি যখন একজন নতুন হুমকি অভিনেতাকে শনাক্ত করছেন তখন 'নিশ্চিত হওয়া' কতটা কঠিন হতে পারে। "