Mahids LAB

আপনি কী জানেন?
২০১৬ সালের ফেব্রুয়ারি মাসে বাংলাদেশ ব্যাংকের রিজার্ভ চুরি একটি অত্যন্ত পরিকল্পিত এবং জটিল সাইবার হামলা ছিল । এই চুরিতে ব্যবহৃত প্রধান কারিগরি পদ্ধতিগুলো নিচে ব্যাখ্যা করা হলো:

১. প্রাথমিক প্রবেশ (Initial Access)
হ্যাকাররা চুরির প্রায় এক বছর আগে থেকেই ব্যাংকের নেটওয়ার্কে প্রবেশাধিকার পায় [৬২৯]। তারা "Rasel Ahlam" নামক ছদ্মনামে ভুয়া চাকরির আবেদন সংবলিত স্পিয়ার-ফিশিং (Spear-phishing) ইমেইল পাঠিয়ে ব্যাংকের কর্মীদের প্রলুব্ধ করে।

এই ইমেইলের সাথে থাকা জিপ ফাইলে (Resume.zip) ম্যালওয়্যার লুকানো ছিল, যা ওপেন করার মাধ্যমে হ্যাকাররা ব্যাংকের অভ্যন্তরীণ নেটওয়ার্কে প্রবেশের পথ তৈরি করে।

২. নেটওয়ার্কে বিস্তার ও নিয়ন্ত্রণ (Lateral Movement and Persistence)
একবার নেটওয়ার্কে প্রবেশের পর হ্যাকাররা ব্যাংকের বিভিন্ন সিস্টেমে ছড়িয়ে পড়ে।

• NESTEGG: এটি একটি উন্নত ব্যাকডোর যা কম্পিউটারের মেমরিতে চলত, ফলে সাধারণ নিরাপত্তা সফটওয়্যার একে সহজে শনাক্ত করতে পারত না। এটি হ্যাকারদের সিস্টেমে দীর্ঘস্থায়ী নিয়ন্ত্রণ বজায় রাখতে সাহায্য করত।

• MACKTRUCK: এটি আরেকটি ব্যাকডোর যা সুইফট টার্মিনালগুলোর সাথে যোগাযোগের জন্য ব্যবহৃত হতো।

৩. সুইফট সফটওয়্যারের পরিবর্তন (Manipulation of SWIFT Software)
হ্যাকাররা সরাসরি সুইফট (SWIFT) নেটওয়ার্ক হ্যাক করেনি, বরং ব্যাংকের স্থানীয় ‘সুইফট অ্যালায়েন্স অ্যাক্সেস’ (SWIFT Alliance Access) সফটওয়্যারটি নিয়ন্ত্রণ করে।

• সফটওয়্যার প্যাচিং: তারা ব্যাংকের নিজস্ব সিস্টেমের liboradb.dll নামক ফাইলটি পরিবর্তন বা 'প্যাচ' করে দেয়। এর ফলে সফটওয়্যারের অভ্যন্তরীণ নিরাপত্তা পরীক্ষাগুলো (Integrity checks) অকার্যকর হয়ে পড়ে এবং হ্যাকাররা ডাটাবেজে হস্তক্ষেপ করার সুযোগ পায়।

• ভুয়া মেসেজ পাঠানো: তারা ব্যাংকের অনুমোদিত অপারেটরদের পরিচয় চুরি করে নিউ ইয়র্ক ফেডারেল রিজার্ভ ব্যাংকে ৩৫টি জাল সুইফট মেসেজ (MT103 এবং MT202) পাঠায়।

৪. প্রমাণ মুছে ফেলা ও ফাঁকি দেওয়া (Evasion and Anti-Forensics)
চুরি শনাক্ত করা কঠিন করার জন্য হ্যাকাররা বেশ কিছু কৌশল অবলম্বন করে:

• FakeTLS প্রোটোকল: হ্যাকাররা তাদের ম্যালওয়্যারের ট্রাফিককে বৈধ এনক্রিপ্টেড ট্রাফিকের মতো দেখানোর জন্য FakeTLS প্রোটোকল ব্যবহার করে, যা নিরাপত্তা ব্যবস্থার চোখ ফাঁকি দিতে সক্ষম ছিল ।

• কনফার্মেশন রিপোর্ট জালিয়াতি: ব্যাংকের কর্মীরা যাতে চুরির বিষয়টি বুঝতে না পারেন, সেজন্য হ্যাকাররা nroff.exe নামক ম্যালওয়্যার ব্যবহার করে লেনদেনের প্রিন্ট করা কনফার্মেশন রিপোর্ট এবং PDF ফাইলগুলো ইন্টারসেপ্ট ও পরিবর্তন করে দিত।

• ডাটা চিরতরে মুছে ফেলা: কাজ শেষে হ্যাকাররা evtsys.exe এবং evtdiag.exe নামক ম্যালওয়্যার ব্যবহার করে তাদের ব্যবহৃত সরঞ্জাম এবং লগ ফাইলগুলো 'সিকিউর ডিলিট' (Secure Delete) ফাংশনের মাধ্যমে চিরতরে মুছে ফেলে, যাতে ফরেনসিক তদন্তে কোনো প্রমাণ না থাকে।

এই পুরো প্রক্রিয়াটি পরিচালনার জন্য তারা মিশরসহ বিভিন্ন দেশের কমান্ড-অ্যান্ড-কন্ট্রোল (C2) সার্ভার এবং প্রক্সি সার্ভিস ব্যবহার করে নিজেদের আসল পরিচয় গোপন রেখেছিল।