ইউএস সাইবার আমার দেশের স্মার্ট শক্তি এবং ডিজিটাল তথ্যগুলিতে একটি বৃহত উচ্চ প্রযুক্তির উদ্যোগে আক্রমণ করে এবং জাতীয় ইন্টারনেট জরুরী কেন্দ্র তদন্ত প্রতিবেদন প্রকাশ করে-中国通讯社

সিসিটিভি নিউজ: ১ January ই জানুয়ারী, জাতীয় ইন্টারনেট জরুরী কেন্দ্র সিএনসিইআরটি একটি প্রতিবেদন প্রকাশ করেছে, আমার দেশের স্মার্ট এনার্জি এবং ডিজিটাল তথ্যের একটি বৃহত উচ্চ প্রযুক্তির উদ্যোগে মার্কিন সাইবার হামলার বিবরণ ঘোষণা করে। পূর্বে, 18 ডিসেম্বর, 2024 -এ একটি ঘোষণা জারি করা হয়েছিল যে মার্কিন যুক্তরাষ্ট্রের বৃহত প্রযুক্তি সংস্থাগুলিতে দুটি সাইবার হামলা আবিষ্কার করা হয়েছিল এবং মোকাবেলা করা হয়েছিল।

<পি ক্লাস = "ফটো_আইএমজি_20190808"> <আইএমজি এসআরসি = "http://www.china-news-online.com/pic/2025-01-17/wzydr31epxq.png" Alt = "/>

1। সাইবার অ্যাটাক প্রক্রিয়া

(i) অনুপ্রবেশ করতে মেল সার্ভার দুর্বলতা ব্যবহার করুন

সংস্থার মেল সার্ভার মাইক্রোসফ্ট এক্সচেঞ্জ মেল সিস্টেম ব্যবহার করে। আক্রমণকারী আক্রমণ করার জন্য দুটি মাইক্রোসফ্ট এক্সচেঞ্জের দুর্বলতা ব্যবহার করেছিল, প্রথমে একটি নির্দিষ্ট অ্যাকাউন্টে আক্রমণ করার জন্য একটি নির্দিষ্ট ব্যবহারকারী জাল দুর্বলতা ব্যবহার করে এবং তারপরে স্বেচ্ছাসেবী কোড কার্যকর করার লক্ষ্য অর্জনের জন্য আবার আক্রমণ করার জন্য একটি নির্দিষ্ট ডিজোরিয়ালাইজেশন দুর্বলতা ব্যবহার করে।

(ii) মেল সার্ভারে অত্যন্ত গোপন মেমরি ট্রোজানগুলি রোপন করা

আবিষ্কার করা এড়াতে, আক্রমণকারী মেল সার্ভারে দুটি আক্রমণাত্মক অস্ত্র রোপন করেছিল, যা কেবল স্মৃতিতে চলে এবং হার্ড ডিস্কে সংরক্ষণ করা হয় না। এটি ভার্চুয়ালাইজেশন প্রযুক্তি ব্যবহার করে এবং ভার্চুয়ালটির অ্যাক্সেস পাথগুলি হ'ল আক্রমণ অস্ত্রের প্রধান কার্যগুলির মধ্যে সংবেদনশীল তথ্য চুরি, কমান্ড এক্সিকিউশন এবং ইন্ট্রানেট অনুপ্রবেশ অন্তর্ভুক্ত। ইন্ট্রানেট অনুপ্রবেশ প্রোগ্রামটি অবহেলার মাধ্যমে সুরক্ষা সফ্টওয়্যার সনাক্তকরণ এড়ায় এবং আক্রমণকারী ট্র্যাফিককে অন্যান্য টার্গেট ডিভাইসে ফরোয়ার্ড করে, অন্যান্য ইন্ট্রানেট ডিভাইসগুলিকে আক্রমণ করার উদ্দেশ্য অর্জন করে।

(iii) ইন্ট্রানেটে 30 টিরও বেশি গুরুত্বপূর্ণ ডিভাইসগুলি কাজে লাগানো

আক্রমণকারীরা মেল সার্ভারটিকে একটি স্প্রিংবোর্ড হিসাবে ব্যবহার করেছিলেন এবং ইন্ট্রানেটটিতে একটি লুকানো এনক্রিপ্টড ট্রান্সমিশন টানেল স্থাপনের জন্য ইন্ট্রানেট স্ক্যানিং এবং অনুপ্রবেশ ব্যবহার করেছেন, এসএসএইচ এবং স্টিলের মাধ্যমে কোম্পানির 30 টিরও বেশি গুরুত্বপূর্ণ ডিভাইসগুলি নিয়ন্ত্রণ করুন এবং নিয়ন্ত্রণ করুন। ব্যক্তিগত কম্পিউটার, সার্ভার এবং নেটওয়ার্ক সরঞ্জাম সহ; নিয়ন্ত্রিত সার্ভারগুলিতে মেল সার্ভার, অফিস সিস্টেম সার্ভার, কোড ম্যানেজমেন্ট সার্ভার, পরীক্ষা সার্ভার, উন্নয়ন পরিচালনা সার্ভার এবং ফাইল পরিচালনা সার্ভার অন্তর্ভুক্ত রয়েছে। অবিচ্ছিন্ন নিয়ন্ত্রণ অর্জনের জন্য, আক্রমণকারী একটি আক্রমণকারী এবং চুরি করা অস্ত্র রোপন করেছিল যা প্রাসঙ্গিক সার্ভার এবং নেটওয়ার্ক প্রশাসক কম্পিউটারগুলিতে একটি ওয়েবকেট+এসএসএইচ টানেল স্থাপন করতে পারে, আক্রমণকারী নির্দেশাবলীর লুকানো ফরোয়ার্ডিং এবং ডেটা চুরি উপলব্ধি করে। আবিষ্কার করা এড়াতে, আক্রমণ গুপ্তচরবৃত্তি প্রোগ্রামটি ওয়েচ্যাট সম্পর্কিত প্রোগ্রাম ওয়েচ্যাটএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্স.এক্সই হিসাবে ছদ্মবেশ ধারণ করে। আক্রমণকারী যোগাযোগ পাইপলাইন নির্মাণের বিষয়টি বুঝতে পেরে ভিকটিম সার্ভারে প্রক্রিয়াগুলির মধ্যে যোগাযোগের জন্য পাইপ পাইপলাইন ব্যবহার করে দুটি মডুলার দূষিত প্রোগ্রামও রোপন করেছিল।

2। প্রচুর পরিমাণে ট্রেড সিক্রেট তথ্য চুরি করুন

(i) সংবেদনশীল ইমেল ডেটা প্রচুর পরিমাণে চুরি করুন

আক্রমণকারী ইমেল রফতানি অপারেশনগুলি সম্পাদন করতে ইমেল সার্ভার অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টটি ব্যবহার করে। চুরির গোপনীয়তার লক্ষ্য ছিল মূলত কোম্পানির সিনিয়র ম্যানেজমেন্ট এবং গুরুত্বপূর্ণ বিভাগের কর্মীরা। আক্রমণকারী যখন রফতানি কমান্ডটি সম্পাদন করে, ইমেলগুলি রফতানির জন্য সময়ের ব্যবধান সেট করা হয়। কিছু অ্যাকাউন্টে সমস্ত ইমেল রফতানি করা হয় এবং অনেক অ্যাকাউন্টে গুপ্তচরবৃত্তির ডেটার পরিমাণ হ্রাস করতে এবং আবিষ্কার হওয়ার ঝুঁকি হ্রাস করতে নির্দিষ্ট সময়ের ব্যবধান অনুসারে তাদের ইমেলগুলি রফতানি করা হয়।

(ii) কোর নেটওয়ার্ক সরঞ্জাম অ্যাকাউন্ট এবং কনফিগারেশন তথ্য চুরি করা

আক্রমণকারী সংস্থার তিনটি নেটওয়ার্ক প্রশাসকের কম্পিউটারগুলিতে আক্রমণ করেছিল এবং প্রায়শই কোম্পানির মূল নেটওয়ার্ক সরঞ্জাম অ্যাকাউন্ট এবং কনফিগারেশন সম্পর্কিত তথ্য চুরি করে। উদাহরণস্বরূপ, 2023 সালের 2 মে, আক্রমণকারী জার্মানিতে অবস্থিত প্রক্সি সার্ভার (95.179.xx.xx) ব্যবহার করে একটি স্প্রিংবোর্ড হিসাবে ব্যবহার করে এবং তারপরে কোম্পানির নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর কম্পিউটারে আক্রমণ করার জন্য একটি স্প্রিংবোর্ড হিসাবে ইমেল সার্ভারটি ব্যবহার করে এবং "নেটওয়ার্ক কোর ডিভাইস কনফিগারেশন", "কোর ইনভিজরেশন ব্যাকআপ এবং পরিদর্শন" এর মতো সংবেদনশীল ফাইলগুলি "," কোর ইনভিজরেশন ব্যাকআপ এবং পরিদর্শন "," কোর ইনভিজরেশন "," কোর ইনভিজরেশন "," কোর ইনভিজরেশন "," কোর ইনভিজরেশন "," কোর ইনভিজর পরিসংখ্যান "," ইন্টারনেট নিয়ন্ত্রণ গেটওয়ে কেনার জন্য অনুরোধ "।

(iii) প্রকল্প পরিচালনার ফাইলগুলি চুরি করা

আক্রমণকারী প্রায়শই কোম্পানির কোড সার্ভার, ডেভলপমেন্ট সার্ভার ইত্যাদি আক্রমণ করে কোম্পানির সম্পর্কিত উন্নয়ন প্রকল্পের ডেটা চুরি করে উদাহরণস্বরূপ, 26 জুলাই, 2023 -এ, আক্রমণকারী ফাইনল্যান্ডের মতো একটি স্প্রিংবোর্ডে অবস্থিত প্রক্সি সার্ভার (65.21.xx.xxx) ব্যবহার করে। সংস্থার মেল সার্ভারে আক্রমণ করার পরে, তিনি এটি একটি স্প্রিংবোর্ড হিসাবে ব্যবহার করেছিলেন প্রায়শই কোম্পানির কোড সার্ভারে রোপন করা ব্যাকডোর অ্যাটাক অস্ত্রগুলিতে অ্যাক্সেস করতে, 1.03 গিগাবাইট পর্যন্ত ডেটা চুরি করে। আবিষ্কার না হওয়া এড়াতে, ব্যাকডোর প্রোগ্রামটি ওপেন সোর্স প্রকল্প "জেন টাও" তে "টিপ 4 এক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সপি" হিসাবে নিজেকে ছদ্মবেশ ধারণ করে।

(iv) স্পষ্ট আক্রমণাত্মক চিহ্নগুলি এবং অ্যান্টি-প্রমাণ বিশ্লেষণ পরিচালনা করে

আবিষ্কার করা এড়াতে, আক্রমণকারী দ্বারা প্রতিটি আক্রমণ করার পরে, আক্রমণকারী কম্পিউটারে লগের আক্রমণে আক্রমণগুলি পরিষ্কার করবে এবং আক্রমণ চুরির প্রক্রিয়া চলাকালীন উত্পন্ন অস্থায়ী প্যাকেজড ফাইলগুলি মুছবে। আক্রমণকারী সিস্টেম অডিট লগ, Hist তিহাসিক কমান্ড রেকর্ডস, এসএসএইচ-সম্পর্কিত কনফিগারেশন ইত্যাদিও দেখবে, মেশিনের প্রমাণ সংগ্রহ এবং নেটওয়ার্ক সুরক্ষা সনাক্তকরণের যুদ্ধের প্রমাণ সংগ্রহের চেষ্টা করে।

3। আক্রমণ আচরণের বৈশিষ্ট্য

(i) আক্রমণ সময়

বিশ্লেষণে দেখা গেছে যে আক্রমণ কার্যকলাপটি মূলত 22:00 বেইজিং সময় এবং পরের দিন 8:00 এর মধ্যে কেন্দ্রীভূত ছিল, মার্কিন যুক্তরাষ্ট্রের দিনের সময় 10:00 থেকে 20:00 এর সাথে তুলনা করে। হামলার সময়টি মূলত যুক্তরাষ্ট্রে সোমবার থেকে শুক্রবার পর্যন্ত বিতরণ করা হয়েছিল এবং যুক্তরাষ্ট্রে বড় ছুটির দিনে কোনও আক্রমণ হয়নি।

(ii) আক্রমণ সংস্থান

2023 মে থেকে 2023 সালের অক্টোবর পর্যন্ত আক্রমণকারী 30 টিরও বেশি সাইবার আক্রমণ চালিয়েছে। আক্রমণকারী দ্বারা ব্যবহৃত বিদেশী স্প্রিংবোর্ড আইপিগুলি মূলত পুনরাবৃত্তি হয় না, এটি তার উচ্চ-ট্রেসিবিলিটি সচেতনতা এবং আক্রমণ সংস্থানগুলির সমৃদ্ধ মজুদকে প্রতিফলিত করে।

(iii) আক্রমণকারী অস্ত্র

পাইপ পাইপলাইন প্রক্রিয়া যোগাযোগের জন্য দুটি মডুলার দূষিত প্রোগ্রাম আক্রমণকারী দ্বারা রোপণ করা "সি: \\ উইন্ডোজ \\ সিস্টেম 32 \\" এর অধীনে অবস্থিত। তারা .NET ফ্রেমওয়ার্ক ব্যবহার করে। সংকলনের সময়টি মুছে ফেলা হয়, কয়েক দশক কেবি আকারের, মূলত টিএলএস এনক্রিপশন সহ। মেল সার্ভারের স্মৃতিতে রোপন করা আক্রমণ অস্ত্রগুলির প্রধান কার্যগুলির মধ্যে সংবেদনশীল তথ্য চুরি, কমান্ড এক্সিকিউশন এবং ইন্ট্রানেট অনুপ্রবেশ অন্তর্ভুক্ত। সম্পর্কিত সার্ভার এবং নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর কম্পিউটারগুলিতে রোপন করা আক্রমণ এবং চুরি করা অস্ত্রটি একটি ওয়েবকেট+এসএসএইচ টানেল স্থাপন করতে এইচটিটিপিএস প্রোটোকল ব্যবহার করতে পারে এবং আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি ডোমেন নামে ফিরে আসবে।

iv। কিছু স্প্রিংবোর্ড আইপি তালিকা

<পি শ্রেণি = "ফটো_আইএমজি_20190808"> <আইএমজি এসআরসি = "http://www.china-news-online.com/pic/2025-01-17/pvcg0eqcaam.png"/>