করপোরেট জিমেইল অ্যাকাউন্টে গোপন অনুপ্রবেশ ও ই-মেইল চুরির জন্য অভিনব এক ম্যালওয়্যার ব্যবহার করছে সাইবার অপরাধীরা। সাইবার নিরাপত্তাপ্রতিষ্ঠান ক্যাসপারস্কির সাম্প্রতিক এক প্রতিবেদনে এই তথ্য প্রকাশ করা হয়েছে। ‘আমব্রিজ’ নামের দূষিত সফটওয়্যারটির পেছনে কাজ করছে বহুল আলোচিত হ্যাকিং গোষ্ঠী ‘টডিক্যাট’। ক্যাসপারস্কির গবেষকরা জানিয়েছেন, গুগলের এপিআই ও ওঅথ টু পয়েন্ট জিরো নামের অনুমোদন প্রক্রিয়াকে কাজে লাগিয়েই মূলত এই হামলা চালানো হচ্ছে।
হামলার কৌশলটি ব্যাখ্যা করে ক্যাসপারস্কি জানিয়েছে, আমব্রিজ প্রথমে হেডলেস মোডে একটি ব্রাউজার চালু করে এবং দূরবর্তী ডিবাগিং পোর্টের নিয়ন্ত্রণ নেয়। এর মাধ্যমে একাধিক অনুরোধ পাঠিয়ে ওঅথ অনুমোদন কোড সংগ্রহ করা হয়। পরবর্তীতে সেই কোডের বিনিময়ে অ্যাক্সেস টোকেন নিয়ে গুগলের বিভিন্ন সেবায় অনধিকারপ্রবেশ সম্ভব হয়। গবেষকেরা এই কৌশলের নাম দিয়েছেন ‘এসটিআরডি’ বা ‘শ্যাডো টোকেন ভায়া রিমোট ডিবাগ’। এই পদ্ধতিতে ক্রোমিয়ামভিত্তিক ব্রাউজারগুলোর সক্রিয় জিমেইল সেশনকেই কাজে লাগানো হয়। অর্থাৎ ব্যবহারকারী আগে থেকেই নিজের অ্যাকাউন্টে সাইন ইন করে থাকলে, সেটির মাধ্যমেই তথ্য হাতিয়ে নেওয়া সম্ভব হয়।
আমব্রিজের তিনটি ভিন্ন সংস্করণ শনাক্ত করা গেছে। কিছু সংস্করণে ডিবাগিংয়ের পাশাপাশি ব্রাউজারে সংরক্ষিত ব্যবহারকারী অ্যাকাউন্ট খুঁজে বের করার এবং নির্দিষ্ট অ্যাকাউন্ট নির্বাচনের ক্ষমতাও রয়েছে। টডিক্যাট গ্রুপটি দীর্ঘমেয়াদি সাইবার গুপ্তচরবৃত্তিতে বিশেষায়িত ‘অ্যাডভান্সড পারসিস্টেন্ট থ্রেট’ বা এপিটি গ্রুপ হিসেবে পরিচিত। গত ২০২০ সাল থেকে ইউরোপ ও এশিয়ার নানা প্রতিষ্ঠানকে লক্ষ্য করে তারা হামলা চালিয়ে আসছে। গত বছরের নভেম্বরে ক্যাসপারস্কির এক প্রতিবেদনে প্রকাশ, ‘টিসেক্টরকপি’ নামের একটি সরঞ্জামের মাধ্যমে বিভিন্ন প্রতিষ্ঠানের মাইক্রোসফট আউটলুকের ই-মেইল তথ্য চুরির চেষ্টাও করেছিল এই গোষ্ঠী।
ম্যালওয়্যারটি সক্রিয় করার প্রক্রিয়াও বেশ জটিল। ক্যাসপারস্কি জানিয়েছে, একটি থ্রেট হান্টিং অভিযানের সময় তারা আমব্রিজের সন্ধান পায়। হামলাকারীরা ক্যাসপারস্কি এন্ডপয়েন্ট সিকিউরিটি ইডিআর এভিপি নামের একটি নির্ধারিত টাস্ক ব্যবহার করছিল, যা দেখতে ক্যাসপারস্কির বৈধ সফটওয়্যারের মতো। তারপর ডিজিটালি স্বাক্ষরিত একটি ফাইল চালিয়ে ‘ডিএলএল সাইড-লোডিং’ কৌশলে আমব্রিজকে কার্যকর করা হয়। এই কাজে তিনটি বৈধ সফটওয়্যারের ফাইল অপব্যবহার করা হয়েছে— বিটডিফেন্ডারের বিডি সাবউইজ, মাইক্রোসফট ভিজ্যুয়াল স্টুডিওর ‘ভিএস টেস্ট ভিডিও রেকর্ডার’ এবং গুগলের বন্ধ হয়ে যাওয়া ‘গুগল ডেস্কটপ’। শেষ পর্যন্ত ডটনেট প্ল্যাটফর্মে তৈরি এবং ‘কনফিউসারএক্স’ নামের একটি উন্মুক্ত উৎসের অবফাসকেটর দিয়ে আড়াল করা আমব্রিজ ডিএলএল ফাইল চালু হয়।
আমব্রিজ সক্রিয় হওয়ার পর প্রথমেই ব্রাউজারের ডিবাগিং পোর্ট সচল আছে কিনা তা যাচাই করে। পরে ‘এক্সপ্লোরার ডট এক্সই’ প্রক্রিয়ার টোকেন অনুলিপি করে লগ ইন করা ব্যবহারকারীর অনুমতি নিজের নিয়ন্ত্রণে নেয়। এরপর কম্পিউটারে থাকা ক্রোম বা এজ ব্রাউজারের ব্যবহারকারী প্রোফাইল খুঁজে বের করে সেখানে সংরক্ষিত ই–মেইল ঠিকানা শনাক্ত করা হয়। ই–মেইল ঠিকানা পাওয়া গেলে ধরে নেওয়া হয় যে ব্যবহারকারী গুগলের কোনো সেবায় সাইন ইন অবস্থায় আছেন। তারপর ব্রাউজারের ফাইল ও তথ্যের অনুলিপি তৈরি করে সেগুলো দিয়ে হেডলেস মোডে ব্রাউজার চালু করা হয়। এতে ব্যবহারকারীর সক্রিয় কুকি ও লগ ইন তথ্য স্বয়ংক্রিয়ভাবে ব্যবহৃত হয়, ফলে নতুন করে পরিচয় যাচাইয়ের প্রয়োজন পড়ে না।
পরবর্তী ধাপে ‘পাপেটিয়ার’ নামের জাভাস্ক্রিপ্ট লাইব্রেরির মাধ্যমে ব্রাউজারের সঙ্গে সংযোগ স্থাপন করে গুগলের একটি নির্দিষ্ট ঠিকানায় অনুমোদনের অনুরোধ পাঠানো হয়। এখানে এমন একটি ক্লায়েন্ট আইডি ব্যবহার করা হয়, যা মূলত মাইক্রোসফট আউটলুক ও এক্সচেঞ্জের তথ্য গুগল ওয়ার্কস্পেসে স্থানান্তরের কাজে ব্যবহৃত হয়। এরপর ব্যবহারকারীর পক্ষে মাউস ক্লিকের অনুকরণ করে প্রয়োজনীয় অনুমতি প্রদান করা হয়। ফলে জিমেইল, গুগল ড্রাইভ, কনট্যাক্টস, ক্যালেন্ডার ও টাস্কসের পূর্ণ প্রবেশাধিকার পেয়ে যায় ম্যালওয়্যারটি। সবশেষে ওঅথ অনুমোদন কোড সংগ্রহ করে একটি লগ ফাইলে সংরক্ষিত হয়, যা পরবর্তীতে হামলাকারীরা আক্রান্ত কম্পিউটার থেকে সরিয়ে নেয়। পরে সেই কোড ব্যবহার করে অ্যাক্সেস টোকেন সংগ্রহ করে গুগলের এপিআইয়ের মাধ্যমে জিমেইল অ্যাকাউন্টে প্রবেশ সম্ভব হয়, যার ফলে প্রতিষ্ঠানের গোপন ই–মেইল যোগাযোগ গুরুতর ঝুঁকির মুখে পড়ে।
ক্যাসপারস্কির জ্যেষ্ঠ ম্যালওয়্যার বিশ্লেষক আন্দ্রে গুনকিন বলেন, করপোরেট ই–মেইল যোগাযোগে অনুপ্রবেশের অভিনব পথ খুঁজছে টডিক্যাট। আমব্রিজের মাধ্যমে তারা ই–মেইল অ্যাকাউন্টে প্রবেশের পুরো প্রক্রিয়াকে স্বয়ংক্রিয় করে ফেলেছে, যার ফলে তাদের হামলার পরিসর আরও বাড়তে পারে। এ ধরনের হামলা থেকে বাঁচতে ব্যবহারকারীদের প্রতি ক্যাসপারস্কির পরামর্শ হলো, গুগল অ্যাকাউন্টের ‘কানেকশনস’ পেজে গিয়ে ‘গুগল ওয়ার্কস্পেস মাইগ্রেশন ফর মাইক্রোসফট আউটলুক’ বা ‘গুগল ওয়ার্কস্পেস সিঙ্ক ফর মাইক্রোসফট আউটলুক’ নামের কোনো অ্যাপ অনুমোদিত আছে কিনা তা পরীক্ষা করা। প্রতিষ্ঠান যদি এসব অ্যাপ ব্যবহার না করে, তাহলে দ্রুত সেগুলোর অনুমতি বাতিল করে দেওয়ার পরামর্শ দিয়েছেন গবেষকেরা, কারণ এতে সংশ্লিষ্ট ওঅথ টোকেন অকার্যকর হয়ে যাবে।




