এআই দিয়ে হামলা করছে ব্লু-নরফ: ক্যাসপারস্কি
ক.বি.ডেস্ক: ২০২৫ সালের এপ্রিল থেকে ল্যাজারাস গ্রুপের উপশাখা ব্লু-নরফ, ‘ঘোস্টকল’ ও ‘ঘোস্টহায়ার’ এর মাধ্যমে ভারত, তুরস্ক, অস্ট্রেলিয়া সহ ইউরোপ ও এশিয়ার বিভিন্ন দেশের ওয়েব৩ এবং ক্রিপ্টোকারেন্সি প্রতিষ্ঠানগুলোর ওপর সাইবার হামলা চালাচ্ছে বলে ক্যাসপারস্কির এক গবেষণায় ওঠে এসেছে। থাইল্যান্ডে অনুষ্ঠিত সিকিউরিটি অ্যানালিস্ট সামিটে ক্যাসপারস্কির গ্লোবাল রিসার্চ অ্যান্ড অ্যানালাইসিস টিম (জিআরইএটি) ব্লু-নরফ নামের অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) গ্রুপের সাম্প্রতিক কার্যক্রম প্রকাশ করেছে।
ঘোস্টকল ও ঘোস্টহায়ার নামে দুটি ‘হাইলি টার্গেটেড ম্যালিশিয়াস ক্যাম্পেইন’এর মাধ্যমে পরিচালিত এই হামলাগুলো চলমান অবস্থায় রয়েছে।ল্যাজারাস গ্রুপের উপশাখা ব্লু-নরফ, ‘ঘোস্টকল’ ও ‘ঘোস্টহায়ার’ এর মাধ্যমে তাদের পূর্ববর্তী স্ন্যাসক্রিপ্টো ক্যাম্পেইন আরও জোরালোভাবে চালিয়ে যাচ্ছে। এই ক্যাম্পেইনে মূলত ম্যাকওএস ও উইন্ডোজ ব্যবহারকারী ব্লকচেইন ডেভেলপার এবং প্রতিষ্ঠানের নির্বাহী কর্মকর্তাদের টার্গেট করছে।
‘ঘোস্টকল’ ক্যাম্পেইনে উন্নত সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করা হচ্ছে, যেখানে হ্যাকাররা টেলিগ্রাম প্ল্যাটফর্মে নিজেদের ভেঞ্চার ক্যাপিটালিস্ট পরিচয়ে উপস্থাপন করে। এরপর ভিকটিমদের ফিশিং সাইটে ভুয়া মিটিংয়ে আমন্ত্রণ করে। এরপর সেখানে দেখানো ‘আপডেট’ ইনস্টল করতে উৎসাহিত করে, যা আসলে ম্যালওয়্যার ইনস্টল করে হ্যাকারদের সিস্টেমে প্রবেশাধিকার নিশ্চিত করে।
ক্যাসপারস্কি জিআরইএটি-এর সিকিউরিটি রিসার্চার সোজুন রিউ বলেন, “এই অভিযানে ছিল পরিকল্পিত ও নিখুঁত প্রতারণার কৌশল। আক্রমণকারীরা আগের ভুক্তভোগীদের ভিডিও ব্যবহার করে সাজানো মিটিংয়ে সেটি রিপ্লে করে দেখাতো, যেন কলটি বাস্তব মনে হয়। এভাবেই তারা নতুন টার্গেটদের বিভ্রান্ত করত। এই প্রক্রিয়ায় সংগৃহীত তথ্য শুধু এই ধরনের ভুক্তভোগীর বিরুদ্ধেই নয়, পরবর্তীতে সাপ্লাই চেইন আক্রমণেও ব্যবহার করা হয়। আক্রমণকারীরা এভাবে বিশ্বাসের সম্পর্ককে কাজে লাগিয়ে আরও বেশি প্রতিষ্ঠান ও ব্যবহারকারীর সিস্টেমে প্রবেশাধিকার পাওয়ার চেষ্টা করে যাচ্ছে।”
এই ক্যাম্পেইনে হ্যাকাররা সাত ধাপে কার্যকরী একাধিক এক্সিকিউশন চেইন ব্যবহার করেছে, যার মধ্যে চারটি সম্পূর্ণ নতুন কৌশল রয়েছে। এগুলো দিয়ে তারা কাস্টমাইজড ক্রিপ্টো স্টিলার (ক্রিপ্টো চোরানো প্রোগ্রাম), ব্রাউজার ও সিক্রেট স্টিলার (গোপন তথ্য চোরানো টুল) এবং টেলিগ্রাম ক্রেডেনশিয়াল থেফট-এর (টেলিগ্রামের পরিচয়পত্র চুরি) মাধ্যমে মালওয়্যার ছড়িয়েছে।
ঘোস্টহায়ার-এ ডেভেলপারদের টার্গেট করতে ভুয়া রিক্রুটারের নাম করে গিটহাব চ্যালেঞ্জ দেখানো হয়, যাতে তারা ফাঁদে পড়ে। আর ঘোস্টকল-এ ভিডিও কলে ‘আপডেট’ বলে ফিশিং লিংক দেখিয়ে ম্যালওয়্যার ইনস্টল করানো হয়। এই গ্রুপটি জেনারেটিভ এআই ব্যবহার করে ম্যালওয়্যারের দ্রুত উন্নয়ন করছে, নতুন ভাষা ও ফিচার যোগ করছে এবং বিশ্বব্যাপী অপারেশন আরও দ্রুত বাড়াচ্ছে।
ক্যাসপারস্কি জিআরইএটি-এর সিনিয়র সিকিউরিটি রিসার্চার ওমর আমিন বলেন, “আগের অভিযানের পর থেকে হামলার কৌশল কেবল ক্রিপ্টোকারেন্সি বা ব্রাউজারের ক্রেডেনশিয়াল চুরিতে সীমাবদ্ধ নেই। জেনারেটিভ এআই ব্যবহারে এই প্রক্রিয়া খুব দ্রুত হচ্ছে, আর ম্যালওয়্যার তৈরি করা সহজ হচ্ছে তাই অপারেশনাল ঝামেলাও অনেক কমে এসেছে। গ্রুপটি এআই-এর বিশ্লেষণাত্মক ক্ষমতা এবং কম্প্রোমাইজড ডাটা একসঙ্গে ব্যবহার করে হামলার পরিসর আরও বাড়িয়ে চলেছে। আমাদের গবেষণা ভবিষ্যতে আরও এই ধরনের ক্ষতিকর হামলা প্রতিরোধে সহায়ক হবে বলে আমরা আশা করি।”
এই ধরনের আক্রমণ থেকে সুরক্ষার জন্য প্রতিষ্ঠানগুলোকে নতুন যোগাযোগ বা পার্টনার যাচাই করে নেয়া, অপরিচিত বা যাচাইবিহীন স্ক্রিপ্ট ব্যবহার থেকে বিরত থাকা এবং সর্বদা নিরাপদ যোগাযোগ মাধ্যম ব্যবহারের পরামর্শ দিয়েছে গবেষকরা। একইসঙ্গে রিয়েল-টাইম সুরক্ষা, ইডিআর ও এক্সডিআর সক্ষমতার জন্য ক্যাসপারস্কি নেক্সট ব্যবহারের সুপারিশ করা হয়েছে। পাশাপাশি কম্প্রোমাইজড এসেসমেন্ট, ম্যানেজড ডিটেকশন অ্যান্ড রেসপন্স (এমডিআর) এবং ইনসিডেন্ট রেসপন্স, একইসঙ্গে প্রতিষ্ঠানগুলো হুমকি ও সময়মতো ঝুঁকি শনাক্ত করার সক্ষমতা বাড়াতে ক্যাসপারস্কি থ্রেট ইন্টেলিজেন্স সার্ভিস গ্রহণের পরামর্শ দেয়া হয়েছে। ঘোস্টকল ও ঘোস্টহায়ার সম্পর্কিত আরও বিস্তারিত তথ্য: Securelist.com-এ।
