ছবি: সংগৃহীত
পাবলিকলি এক্সপোজড মাইক্রোসফট এক্সচেঞ্জ সার্ভারগুলোর লগইন পেজে ম্যালিশাস কোড ইনজেক্ট করে ব্যবহারকারীর তথ্য হাতিয়ে নিচ্ছে অজ্ঞাত হ্যাকাররা। রাশিয়ার সাইবার নিরাপত্তা প্রতিষ্ঠান Positive Technologies সম্প্রতি প্রকাশিত এক বিশ্লেষণে বিষয়টি নিশ্চিত করেছে।
তাদের তথ্যমতে, আউটলুক লগইন পেজে পাওয়া গিয়েছে দুই ধরনের জাভাস্ক্রিপ্ট ভিত্তিক কী-লগার:
* যেগুলো ব্যবহারকারীর আইডি-পাসওয়ার্ড লোকাল সার্ভারে সংরক্ষণ করে, এবং ফাইলটি ইন্টারনেট থেকে অ্যাক্সেসযোগ্য হয়।
* যেগুলো লগইনের সঙ্গে সঙ্গেই ব্যবহারকারীর তথ্য বাইরের সার্ভারে পাঠিয়ে দেয়।
প্রতিষ্ঠানটি জানিয়েছে, এখন পর্যন্ত ২৬টি দেশের ৬৫টি ভিকটিম সার্ভার এই আক্রমণের শিকার হয়েছে। ২০২৪ সালের মে মাসে প্রথম এই ক্যাম্পেইনের অস্তিত্ব ধরা পড়ে, যখন আফ্রিকা ও মধ্যপ্রাচ্যের বিভিন্ন সরকারি ও শিক্ষা প্রতিষ্ঠানে হামলা হয়েছিল। সেখানে কমপক্ষে ৩০টি সংস্থাকে টার্গেট করা হয়েছিল।
ব্যবহৃত দুর্বলতাসমূহ:
এই হামলায় মাইক্রোসফট এক্সচেঞ্জ সার্ভারের পরিচিত দুর্বলতা ব্যবহার করা হয়েছে, যেমন:
* CVE-2014-4078 – IIS সিকিউরিটি ফিচার বাইপাস
* CVE-2020-0796 – উইন্ডোজ SMBv3 রিমোট কোড এক্সিকিউশন
* CVE-2021-26855 থেকে 27065 পর্যন্ত – Exchange RCE (ProxyLogon)
* CVE-2021-31206, 31207, 34473, 34523 – Exchange সার্ভারের ProxyShell দুর্বলতা
হ্যাকাররা লগইন পেজে এমন জাভাস্ক্রিপ্ট কোড ইনজেক্ট করেছে যা অ্যাথেনটিকেশন ফর্ম থেকে তথ্য সংগ্রহ করে এবং তা XMLHttpRequest (XHR)-এর মাধ্যমে সার্ভারের একটি নির্দিষ্ট পেইজে পাঠিয়ে দেয়। এরপর সেই সার্ভারে থাকা হ্যান্ডলার ফাংশন এটি একটি ফাইলে লিখে রাখে।
একাধিক কৌশল:
Positive Technologies জানিয়েছে, এক ধরনের কী-লগার শুধু লোকাল সার্ভারে তথ্য রেখে যায় — যার ফলে আউটবাউন্ড ট্রাফিক না থাকায় এটি খুব সহজে নজর এড়িয়ে যায়। অন্যদিকে, আরেকটি ধরনের কী-লগার টেলিগ্রাম বট ব্যবহার করে। এখানে XHR GET রিকোয়েস্টে APIKey ও AuthToken হেডারে এনকোড করা ইউজারনেম-পাসওয়ার্ড পাঠানো হয়।
তৃতীয় আরেকটি কৌশলে দেখা যায়, হ্যাকাররা DNS টানেলিং ও HTTPS POST রিকোয়েস্ট ব্যবহার করে তথ্য পাঠিয়ে থাকে, যাতে সেটি ফায়ারওয়াল বা ইন্সপেকশন সিস্টেমের নজর এড়িয়ে যেতে পারে।
টার্গেট ভিকটিম:
এ পর্যন্ত চিহ্নিত ২২টি সংস্থা সরকারি, বাকিগুলো আইটি, শিল্প ও লজিস্টিকস খাতে। শীর্ষ আক্রান্ত দেশগুলোর মধ্যে রয়েছে: ভিয়েতনাম, রাশিয়া, তাইওয়ান, চীন, পাকিস্তান, লেবানন, অস্ট্রেলিয়া, জাম্বিয়া, নেদারল্যান্ডস ও তুরস্ক।
Positive Technologies সতর্ক করে বলেছে, “আজও বহু মাইক্রোসফট এক্সচেঞ্জ সার্ভার ইন্টারনেটে উন্মুক্ত ও পুরনো দুর্বলতার জন্য ঝুঁকিপূর্ণ। লগইন পেজে ক্ষতিকর কোড যুক্ত করে হ্যাকাররা দীর্ঘ সময় নজরে না পড়ে স্পষ্টপাঠ্য তথ্য হাতিয়ে নিচ্ছে।”
বিশেষ সতর্কতা:
যেসব প্রতিষ্ঠান এখনও পুরনো মাইক্রোসফট এক্সচেঞ্জ সার্ভার ব্যবহার করছে, তাদের দ্রুত সিস্টেম আপডেট ও লগইন পেজ মনিটর করার পরামর্শ দিয়েছে নিরাপত্তা বিশ্লেষকরা।
আসিফ
