UNC3886 সাইবার গুপ্তচরবৃত্তি গ্রুপ

চীনের সাথে যুক্ত সাইবার গুপ্তচরবৃত্তি সংস্থা UNC3886 সক্রিয়ভাবে শেষ-জীবনের MX রাউটারগুলিকে লক্ষ্য করে কাস্টম ব্যাকডোর স্থাপন করছে। এই প্রচারণাটি সক্রিয় এবং নিষ্ক্রিয় উভয় ক্ষমতা সহ ব্যাকডোর ব্যবহার করে অভ্যন্তরীণ নেটওয়ার্কিং অবকাঠামোতে অনুপ্রবেশ করার তাদের ক্ষমতাকে তুলে ধরে। কিছু ভেরিয়েন্টে এমনকি লগিং প্রক্রিয়া বন্ধ করার জন্য ডিজাইন করা এমবেডেড স্ক্রিপ্ট রয়েছে, যা আক্রমণকারীদের সনাক্ত না করে কাজ করতে দেয়।

একটি বিকশিত হুমকি গোষ্ঠী

UNC3886 এর Fortinet, Ivanti, এবং VMware ডিভাইসগুলিতে শূন্য-দিনের দুর্বলতাগুলিকে কাজে লাগানোর ইতিহাস রয়েছে যাতে নেটওয়ার্ক লঙ্ঘন করা যায় এবং দীর্ঘমেয়াদী স্থায়িত্ব প্রতিষ্ঠা করা যায়। এই সর্বশেষ অপারেশনটি তাদের কৌশলগুলির একটি বিবর্তনকে প্রতিনিধিত্ব করে, নেটওয়ার্কিং হার্ডওয়্যারের উপর দৃষ্টি নিবদ্ধ করে যেখানে প্রায়শই নিরাপত্তা পর্যবেক্ষণের অভাব থাকে।

২০২২ সালের সেপ্টেম্বরে তাদের প্রথম নথিভুক্ত কার্যকলাপের পর থেকে, UNC3886 মার্কিন যুক্তরাষ্ট্র এবং এশিয়ার প্রতিরক্ষা, প্রযুক্তি এবং টেলিযোগাযোগ খাতকে লক্ষ্য করে এজ ডিভাইস এবং ভার্চুয়ালাইজেশন প্রযুক্তি লক্ষ্য করে উচ্চ দক্ষতা প্রদর্শন করেছে।

রাউটিং ডিভাইস কেন?

গুপ্তচরবৃত্তি-চালিত প্রতিপক্ষরা সম্প্রতি রাউটিং ডিভাইসগুলির সাথে আপস করার দিকে ঝুঁকেছে। গুরুত্বপূর্ণ অবকাঠামোর উপর নিয়ন্ত্রণ অর্জনের মাধ্যমে, আক্রমণকারীরা দীর্ঘস্থায়ী অ্যাক্সেস বজায় রাখতে পারে এবং ভবিষ্যতে বিঘ্নিতকারী কার্যকলাপ পরিচালনা করার সম্ভাবনাও রাখে।

টিনিশেল সংযোগ: পছন্দের একটি অস্ত্র

২০২৪ সালের মাঝামাঝি সময়ে আবিষ্কৃত সর্বশেষ কার্যকলাপটিতে টিনিশেলের উপর ভিত্তি করে ইমপ্লান্ট ব্যবহার করা হয়েছে, যা একটি হালকা সি-ভিত্তিক ব্যাকডোর যা লিমিনাল পান্ডা এবং ভেলভেট অ্যান্টের মতো চীনা হ্যাকিং গোষ্ঠীগুলির দ্বারা পছন্দ করা হয়। টিনিশেলের ওপেন-সোর্স প্রকৃতি এটিকে একটি ব্যবহারিক পছন্দ করে তোলে, যা কাস্টমাইজেশনের সহজতা প্রদান করে এবং অ্যাট্রিবিউশনকে জটিল করে তোলে।

নিরাপত্তা গবেষকরা TinyShell-এর উপর ভিত্তি করে ছয়টি স্বতন্ত্র ব্যাকডোর চিহ্নিত করেছেন, প্রতিটির নিজস্ব কার্যকারিতা রয়েছে:

• appid (একটি খারাপভাবে চুরি করা ইমপ্লান্ট ডেমন) - ফাইল স্থানান্তর, ইন্টারেক্টিভ শেল, SOCKS প্রক্সি এবং C2 কনফিগারেশন পরিবর্তন প্রদান করে।
• to (TooObvious) – appid এর মতো কিন্তু বিভিন্ন হার্ডকোডেড C2 সার্ভারের সাথে।
• ইরাড (ইন্টারনেট রিমোট অ্যাক্সেস ডেমন) – ICMP প্যাকেটের মাধ্যমে প্যাকেট স্নিফিং ব্যবহার করে একটি প্যাসিভ ব্যাকডোর হিসেবে কাজ করে।
• lmpad (লোকাল মেমোরি প্যাচিং অ্যাটাক ডেমন) – লগিং এড়াতে প্রক্রিয়া ইনজেকশন ব্যবহার করে।
• jdosd (জুনোস ডিনায়াল অফ সার্ভিস ডেমন) – রিমোট শেল ক্ষমতা সহ একটি UDP ব্যাকডোর।
• oemd (অবসকিউর এনিগমেটিক ম্যালওয়্যার ডেমন) – C2 সার্ভারের সাথে যোগাযোগের জন্য TCP ব্যবহার করে একটি প্যাসিভ ব্যাকডোর।

জুনোস ওএস সুরক্ষা সুরক্ষাগুলিকে বাইপাস করা

জুনোস ওএসের ভেরিফায়েড এক্সিকিউট (ভেরিএক্সেক) সুরক্ষা সত্ত্বেও আক্রমণকারীরা ম্যালওয়্যার চালানোর পদ্ধতি তৈরি করেছে, যা অননুমোদিত কোড কার্যকর করা রোধ করার জন্য ডিজাইন করা হয়েছে। একটি টার্মিনাল সার্ভারের মাধ্যমে বিশেষাধিকারপ্রাপ্ত অ্যাক্সেস পাওয়ার মাধ্যমে, তারা বৈধ প্রক্রিয়াগুলিতে দূষিত পেলোড ইনজেক্ট করে, সনাক্তকরণ এড়াতে স্থায়িত্ব নিশ্চিত করে।

অ্যাটাক আর্সেনালে আরও সরঞ্জাম

TinyShell ব্যাকডোর ছাড়াও, UNC3886 অতিরিক্ত সরঞ্জাম স্থাপন করে:

• সরীসৃপ এবং মেডুসা - গোপনে অধ্যবসায়ের জন্য রুটকিট।
• পিঠুক - SSH প্রমাণীকরণ হাইজ্যাক করতে এবং শংসাপত্র ক্যাপচার করতে ব্যবহৃত হয়।
• ঘোস্টটাউন - অ্যান্টি-ফরেনসিক উদ্দেশ্যে তৈরি।

জুনিপার ডিভাইস ব্যবহারকারী প্রতিষ্ঠানগুলিকে এই হুমকিগুলি কমাতে সর্বশেষ ফার্মওয়্যার সংস্করণে আপডেট করার জন্য দৃঢ়ভাবে পরামর্শ দেওয়া হচ্ছে।

আরেকটি আক্রমণ, আরেকটি হুমকি অভিনেতা?

মজার ব্যাপার হল, J-Magic নামে একটি পৃথক প্রচারণা, cd00r নামে পরিচিত একটি ব্যাকডোর ভেরিয়েন্ট ব্যবহার করে এন্টারপ্রাইজ-গ্রেড জুনিপার রাউটারগুলিকে লক্ষ্য করে তৈরি করেছে। যাইহোক, এই কার্যকলাপটি চীন-সংযুক্ত একটি ভিন্ন গোষ্ঠী, UNC4841-এর সাথে সম্পর্কিত, যার সাথে UNC3886-এর জীবনের শেষ-জীবনের জুনিপার রাউটারগুলিকে লক্ষ্য করে কোনও সম্পর্ক নেই।

অধ্যবসায়ের জন্য CVE-2025-21590 ব্যবহার করা হচ্ছে

জুনিপার নেটওয়ার্কস নিশ্চিত করেছে যে সাম্প্রতিক সংক্রমণগুলি কমপক্ষে একটি দুর্বলতা কাজে লাগিয়েছে - CVE-2025-21590 (CVSS v4 স্কোর: 6.7)। জুনোস ওএস কার্নেলে পাওয়া এই ত্রুটিটি উচ্চ-সুবিধাপ্রাপ্ত আক্রমণকারীদের ইচ্ছামত কোড ইনজেক্ট করার অনুমতি দেয়, যা শেষ পর্যন্ত ডিভাইসের অখণ্ডতার সাথে আপস করে।

জুনোস ওএস সংস্করণ 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, এবং 24.4R1-এ প্যাচগুলি প্রকাশ করা হয়েছে। প্রতিষ্ঠানগুলিকে নিশ্চিত করতে হবে যে তারা এই আপডেট হওয়া সংস্করণগুলি চালাচ্ছে।

UNC3886: গোপনতা এবং অধ্যবসায়ের মাস্টার

UNC3886-এর উন্নত সিস্টেম ইন্টার্নালের দক্ষতা স্পষ্টতই প্যাসিভ ব্যাকডোর, লগ টেম্পারিং এবং ফরেনসিক ফাঁকির কৌশলগত ব্যবহারে স্পষ্ট। এর প্রাথমিক লক্ষ্য হল দীর্ঘমেয়াদী স্থায়িত্ব বজায় রেখে সনাক্তকরণের ঝুঁকি কমানো, যা একটি চলমান এবং উল্লেখযোগ্য সাইবার নিরাপত্তা চ্যালেঞ্জ তৈরি করে।