গুগলের এপিআই ব্যবহার করে জিমেইলে আড়ি পাতছে নতুন ম্যালওয়্যার
· Prothom Alo

করপোরেট জিমেইল অ্যাকাউন্টে গোপনে প্রবেশ করে ই-মেইল হাতিয়ে নিতে নতুন একটি ম্যালওয়্যার ব্যবহার করছে সাইবার অপরাধীরা। ‘আমব্রিজ’ নামের এ ম্যালওয়্যারের সঙ্গে হ্যাকিং গোষ্ঠী ‘টডিক্যাট’-এর সংশ্লিষ্টতার তথ্য প্রকাশ করেছে সাইবার নিরাপত্তাপ্রতিষ্ঠান ক্যাসপারস্কি। গুগলের বিভিন্ন সেবায় প্রবেশের জন্য ব্যবহৃত এপিআইকে কাজে লাগিয়ে ব্যবহারকারীর ই-মেইলসহ বিভিন্ন তথ্যের প্রবেশাধিকার নেওয়ার জন্য বিশেষভাবে তৈরি করা হয়েছে ম্যালওয়্যারটি।
সম্প্রতি প্রকাশিত এক প্রতিবেদনে ক্যাসপারস্কি জানিয়েছে, এ অভিযানে হামলাকারীদের প্রধান লক্ষ্য ছিল জিমেইল–নির্ভর করপোরেট ই-মেইল ব্যবস্থা। গুগলের এপিআইয়ের মাধ্যমে অ্যাকাউন্টে প্রবেশের জন্য প্রয়োজনীয় অনুমোদন দখল করতেই তারা এ কৌশল ব্যবহার করেছে। গুগলের বিভিন্ন সেবায় তৃতীয় পক্ষের অ্যাপের প্রবেশাধিকার নিয়ন্ত্রণে ‘ওঅথ টু পয়েন্ট জিরো’ প্রটোকল ব্যবহার করা হয়। কোনো ব্যবহারকারী অনুমতি দিলে ওই অ্যাপ নির্দিষ্ট তথ্য ব্যবহারের সুযোগ পায়। আমব্রিজ মূলত এই অনুমোদন–প্রক্রিয়াকেই লক্ষ্যবস্তু করেছে। ক্যাসপারস্কির তথ্যমতে, ম্যালওয়্যারটি প্রথমে হেডলেস মোডে একটি ব্রাউজার চালু করে এবং দূরবর্তী ডিবাগিং পোর্টের মাধ্যমে সেটির নিয়ন্ত্রণ নেয়। এরপর একাধিক অনুরোধ পাঠিয়ে ওঅথ অনুমোদন কোড সংগ্রহ করা হয়। পরে সেই কোডের বিনিময়ে অ্যাক্সেস টোকেন নেওয়া হয়, যা ব্যবহার করে গুগলের বিভিন্ন সেবায় প্রবেশ করা সম্ভব। নিরাপত্তাগবেষকেরা এ কৌশলের নাম দিয়েছেন ‘শ্যাডো টোকেন ভায়া রিমোট ডিবাগ’, সংক্ষেপে এসটিআরডি।
Visit newsbetsport.bond for more information.
এ হামলার সবচেয়ে উদ্বেগজনক দিক হলো, এটি ক্রোমিয়ামভিত্তিক ব্রাউজারগুলোর সক্রিয় জিমেইলকে কাজে লাগায়। অর্থাৎ কোনো ব্যবহারকারী যদি আগে থেকেই জিমেইলে সাইন ইন করে থাকেন, তাহলে তার সক্রিয় সেশন ব্যবহার করেই গুগল অ্যাকাউন্টের বিভিন্ন তথ্যের প্রবেশাধিকার নেওয়া সম্ভব। গবেষকেরা আমব্রিজের তিনটি ভিন্ন সংস্করণ শনাক্ত করেছেন। এর কয়েকটিতে ডিবাগিংয়ের পাশাপাশি ব্রাউজারে সংরক্ষিত ব্যবহারকারী অ্যাকাউন্ট খুঁজে বের করা এবং নির্দিষ্ট অ্যাকাউন্ট নির্বাচন করার সুবিধাও রয়েছে।
টডিক্যাট একটি ‘অ্যাডভান্সড পারসিস্টেন্ট থ্রেট’ বা দীর্ঘমেয়াদি সাইবার গুপ্তচরবৃত্তিতে জড়িত হ্যাকিং গোষ্ঠী। অন্তত ২০২০ সাল থেকে ইউরোপ ও এশিয়ার বিভিন্ন প্রতিষ্ঠানকে লক্ষ্য করে তারা হামলা চালিয়ে আসছে। গত বছরের নভেম্বরে ক্যাসপারস্কি জানিয়েছিল, ‘টিসেক্টরকপি’ নামের একটি বিশেষ টুল ব্যবহার করে বিভিন্ন প্রতিষ্ঠানের মাইক্রোসফট আউটলুকের ই-মেইল তথ্য চুরির চেষ্টাও করেছিল গোষ্ঠীটি। ক্যাসপারস্কি জানিয়েছে, একটি ‘থ্রেট হান্টিং’ অভিযানের সময় তারা আমব্রিজের সন্ধান পায়। এ সময় হামলাকারীরা ‘ক্যাসপারস্কি এন্ডপয়েন্ট সিকিউরিটি ইডিআর এভিপি’ নামের একটি নির্ধারিত টাস্ক ব্যবহার করছিল, যা দেখতে ক্যাসপারস্কির বৈধ সফটওয়্যারের মতো। এরপর একটি ডিজিটালি স্বাক্ষরিত ফাইল চালিয়ে ‘ডিএলএল সাইড-লোডিং’ কৌশলে আমব্রিজ সক্রিয় করা হয়। এ কাজে তিনটি বৈধ সফটওয়্যারের ফাইল অপব্যবহার করা হয়েছে। এগুলো হলো বিটডিফেন্ডারের ‘বিডি সাবউইজ’, মাইক্রোসফট ভিজ্যুয়াল স্টুডিওর ‘ভিএস টেস্ট ভিডিও রেকর্ডার’ এবং গুগলের বন্ধ হয়ে যাওয়া ‘গুগল ডেস্কটপ’।
যে ফাইলই ব্যবহার করা হোক না কেন, শেষ পর্যন্ত ডটনেট প্ল্যাটফর্মে তৈরি এবং ‘কনফিউসারএক্স’ নামের একটি উন্মুক্ত উৎসের অবফাসকেটর দিয়ে আড়াল করা আমব্রিজ ডিএলএলই চালু হয়।
ম্যালওয়্যারটি সক্রিয় হওয়ার পর প্রথমেই ব্রাউজারের ডিবাগিংয়ের জন্য ব্যবহৃত পোর্টটি সচল আছে কি না, তা যাচাই করে। এরপর ‘এক্সপ্লোরার ডট এক্সই’ প্রক্রিয়ার টোকেন অনুলিপি করে লগ ইন করা ব্যবহারকারীর অনুমতি নিজের নিয়ন্ত্রণে নেয়। পরে কম্পিউটারে থাকা ক্রোম বা এজ ব্রাউজারের ব্যবহারকারী প্রোফাইল খুঁজে বের করে সেখানে সংরক্ষিত ই–মেইল ঠিকানা শনাক্ত করা হয়। কোনো ই–মেইল ঠিকানা পাওয়া গেলে ধরে নেওয়া হয়, ব্যবহারকারী গুগলের কোনো সেবায় সাইন ইন অবস্থায় আছেন। এরপর ব্রাউজারের বিভিন্ন ফাইল ও তথ্যের অনুলিপি তৈরি করে সেগুলো ব্যবহার করে হেডলেস মোডে ব্রাউজার চালু করা হয়। এতে ব্যবহারকারীর সক্রিয় কুকি ও লগ ইন তথ্য স্বয়ংক্রিয়ভাবে ব্যবহৃত হয়। ফলে নতুন করে পরিচয় যাচাইয়ের প্রয়োজন পড়ে না। পরবর্তী ধাপে ‘পাপেটিয়ার’ নামের একটি জাভাস্ক্রিপ্ট লাইব্রেরির মাধ্যমে ব্রাউজারের সঙ্গে সংযোগ স্থাপন করা হয়। এরপর গুগলের একটি নির্দিষ্ট ঠিকানায় অনুমোদনের অনুরোধ পাঠানো হয়। এতে এমন একটি ক্লায়েন্ট আইডি ব্যবহার করা হয়, যা মূলত মাইক্রোসফট আউটলুক ও এক্সচেঞ্জের তথ্য গুগল ওয়ার্কস্পেসে স্থানান্তরের কাজে ব্যবহৃত হয়।
পরে ব্যবহারকারীর হয়ে মাউস ক্লিকের অনুকরণ করে প্রয়োজনীয় অনুমতি দেওয়া হয়। এর ফলে জিমেইল, গুগল ড্রাইভ, কনট্যাক্টস, ক্যালেন্ডার ও টাস্কসের পূর্ণ প্রবেশাধিকার পেয়ে যায় ম্যালওয়্যারটি। সবশেষে ওঅথ অনুমোদন কোড সংগ্রহ করে একটি লগ ফাইলে সংরক্ষণ করা হয়, যা পরে হামলাকারীরা আক্রান্ত কম্পিউটার থেকে সরিয়ে নেয়। এরপর সেই কোড ব্যবহার করে অ্যাক্সেস টোকেন সংগ্রহ করা হয় এবং গুগলের এপিআইয়ের মাধ্যমে জিমেইল অ্যাকাউন্টে প্রবেশ করা সম্ভব হয়। এর ফলে প্রতিষ্ঠানের গোপন ই–মেইল যোগাযোগ গুরুতর ঝুঁকির মুখে পড়ে।
এ ধরনের হামলা থেকে সুরক্ষিত থাকতে ব্যবহারকারীদের গুগল অ্যাকাউন্টে অনুমোদিত অ্যাপগুলোর তালিকা নিয়মিত পর্যালোচনা করার পরামর্শ দিয়েছে ক্যাসপারস্কি। এ জন্য গুগল অ্যাকাউন্টের ‘কানেকশনস’ পেজে গিয়ে ‘গুগল ওয়ার্কস্পেস মাইগ্রেশন ফর মাইক্রোসফট আউটলুক’ বা ‘গুগল ওয়ার্কস্পেস সিঙ্ক ফর মাইক্রোসফট আউটলুক’ নামের কোনো অ্যাপ অনুমোদিত আছে কি না, তা পরীক্ষা করতে হবে। যদি কোনো প্রতিষ্ঠান এসব অ্যাপ ব্যবহার না করে, তাহলে সঙ্গে সঙ্গে সেগুলোর অনুমতি বাতিল করার পরামর্শ দিয়েছেন গবেষকেরা। কারণ, অনুমতি বাতিল করা হলে সংশ্লিষ্ট ওঅথ টোকেনও অকার্যকর হয়ে যাবে। ক্যাসপারস্কির জ্যেষ্ঠ ম্যালওয়্যার বিশ্লেষক আন্দ্রে গুনকিন বলেন, ‘করপোরেট ই–মেইল যোগাযোগে প্রবেশের নতুন নতুন উপায় খুঁজছে টডিক্যাট। আমব্রিজের মাধ্যমে তারা ই–মেইল অ্যাকাউন্টে অনুপ্রবেশের পুরো প্রক্রিয়াকে স্বয়ংক্রিয় করেছে। এতে তাদের হামলার পরিসর আরও বাড়তে পারে।’
সূত্র: দ্য হ্যাকারনিউজ