এআই দিয়ে হামলা করছে ব্লু-নরফ: ক্যাসপারস্কি
২০২৫ সালের এপ্রিল থেকে ল্যাজারাস গ্রুপের উপশাখা ব্লু-নরফ, ‘ঘোস্টকল’ ও ‘ঘোস্টহায়ার’ এর মাধ্যমে ভারত, তুরস্ক, অস্ট্রেলিয়া সহ ইউরোপ ও এশিয়ার বিভিন্ন দেশের ওয়েব৩ এবং ক্রিপ্টোকারেন্সি প্রতিষ্ঠানগুলোর ওপর সাইবার হামলা চালাচ্ছে। এক্ষেত্রে হ্যাকাররা সাত ধাপে কার্যকরী একাধিক এক্সিকিউশন চেইন ব্যবহার করেছে। এর মধ্যে চারটি সম্পূর্ণ নতুন কৌশল রয়েছে। এগুলো দিয়ে তারা কাস্টমাইজড ক্রিপ্টো স্টিলার (ক্রিপ্টো চুরির প্রোগ্রাম), ব্রাউজার ও সিক্রেট স্টিলার (গোপন তথ্য চোরানো টুল) এবং টেলিগ্রাম ক্রেডেনশিয়াল থেফট-এর (টেলিগ্রামের পরিচয়পত্র চুরি) মাধ্যমে মালওয়্যার ছড়িয়েছে।
এছাড়াও ঘোস্টহায়ার-এ ডেভেলপারদের টার্গেট করতে ভুয়া রিক্রুটারের নাম করে গিটহাব চ্যালেঞ্জ দেখানো হয়, যাতে তারা ফাঁদে পড়ে। আর ঘোস্টকল-এ ভিডিও কলে ‘আপডেট’ বলে ফিশিং লিংক দেখিয়ে ম্যালওয়্যার ইনস্টল করানো হয়। এই গ্রুপটি জেনারেটিভ এআই ব্যবহার করে ম্যালওয়্যারের দ্রুত উন্নয়ন করছে, নতুন ভাষা ও ফিচার যোগ করছে এবং বিশ্বব্যাপী অপারেশন আরও দ্রুত বাড়াচ্ছে।
সাইবার সুরক্ষা প্রতিষ্ঠান ক্যাসপারস্কির এক গবেষণায় এসব তথ্য উঠেছে এসেছে। ঘোস্টকল ও ঘোস্টহায়ার সম্পর্কিত আরও বিস্তারিত তথ্য এবং ইন্ডিকেটর অব কমপ্রোমাইজের বিষয়গুলি এরইমধ্যে ক্যাসপারস্কির গবেষণা প্ল্যাটফর্ম Securelist.com-এ প্রকাশিত প্রতিবেদনে উল্লেখ করা হয়েছে।
সেখানে ঘোস্টকল ও ঘোস্টহায়ারের মতো আক্রমণ থেকে সুরক্ষার জন্য প্রতিষ্ঠানগুলোকে নতুন যোগাযোগ বা পার্টনার যাচাই করে নেওয়া, অপরিচিত বা যাচাইবিহীন স্ক্রিপ্ট ব্যবহার থেকে বিরত থাকা এবং সর্বদা নিরাপদ যোগাযোগ মাধ্যম ব্যবহারের পরামর্শ দিয়েছে গবেষকরা। একইসাথে রিয়েল-টাইম সুরক্ষা, ইডিআর ও এক্সডিআর সক্ষমতার জন্য ক্যাসপারস্কি নেক্সট ব্যবহারের সুপারিশ করা হয়েছে। পাশাপাশি কম্প্রোমাইজড এসেসমেন্ট, ম্যানেজড ডিটেকশন অ্যান্ড রেসপন্স (এমডিআর) এবং ইনসিডেন্ট রেসপন্স, একইসাথে প্রতিষ্ঠানগুলো হুমকি ও সময়মতো ঝুঁকি শনাক্ত করার সক্ষমতা বাড়াতে ক্যাসপারস্কি থ্রেট ইন্টেলিজেন্স সার্ভিস গ্রহণের পরামর্শ দেওয়া হয়েছে।
এদিকে থাইল্যান্ডে অনুষ্ঠিত সিকিউরিটি অ্যানালিস্ট সামিটে ক্যাসপারস্কির গ্লোবাল রিসার্চ অ্যান্ড অ্যানালাইসিস টিম (জিআরইএটি) ব্লু-নরফ (BlueNoroff) নামের অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) গ্রুপের সাম্প্রতিক কার্যক্রম প্রকাশ করেছে। ঘোস্টকল (GhostCall) ও ঘোস্টহায়ার (GhostHire) নামে দুটি ‘হাইলি টার্গেটেড ম্যালিশিয়াস ক্যাম্পেইন’এর মাধ্যমে পরিচালিত এই হামলাগুলো চলমান অবস্থায় রয়েছে।
ল্যাজারাস গ্রুপের উপশাখা ব্লু-নরফ, ‘ঘোস্টকল’ ও ‘ঘোস্টহায়ার’ এর মাধ্যমে তাদের পূর্ববর্তী স্ন্যাসক্রিপ্টো ক্যাম্পেইন আরও জোরালোভাবে চালিয়ে যাচ্ছে। এই ক্যাম্পেইনে মূলত ম্যাকওএস ও উইন্ডোজ ব্যবহারকারী ব্লকচেইন ডেভেলপার এবং প্রতিষ্ঠানের নির্বাহী কর্মকর্তাদের টার্গেট করছে। ‘ঘোস্টকল’ ক্যাম্পেইনে উন্নত সোশ্যাল ইঞ্জিনিয়ারিং কৌশল ব্যবহার করা হচ্ছে, যেখানে হ্যাকাররা টেলিগ্রাম প্ল্যাটফর্মে নিজেদের ভেঞ্চার ক্যাপিটালিস্ট পরিচয়ে উপস্থাপন করে। এরপর ভিকটিমদের ফিশিং সাইটে ভুয়া মিটিংয়ে আমন্ত্রণ করে। এরপর সেখানে দেখানো ‘আপডেট’ ইনস্টল করতে উৎসাহিত করে, যা আসলে ম্যালওয়্যার ইনস্টল করে হ্যাকারদের সিস্টেমে প্রবেশাধিকার নিশ্চিত করে।
ক্যাসপারস্কি জিআরইএটি-এর সিকিউরিটি রিসার্চার সোজুন রিউ বলেন, “এই অভিযানে ছিল পরিকল্পিত ও নিখুঁত প্রতারণার কৌশল। আক্রমণকারীরা আগের ভুক্তভোগীদের ভিডিও ব্যবহার করে সাজানো মিটিংয়ে সেটি রিপ্লে করে দেখাতো, যেন কলটি বাস্তব মনে হয়। এভাবেই তারা নতুন টার্গেটদের বিভ্রান্ত করত। এই প্রক্রিয়ায় সংগৃহীত তথ্য শুধু এই ধরনের ভুক্তভোগীর বিরুদ্ধেই নয়, পরবর্তীতে সাপ্লাই চেইন আক্রমণেও ব্যবহার করা হয়। আক্রমণকারীরা এভাবে বিশ্বাসের সম্পর্ককে কাজে লাগিয়ে আরও বেশি প্রতিষ্ঠান ও ব্যবহারকারীর সিস্টেমে প্রবেশাধিকার পাওয়ার চেষ্টা করে যাচ্ছে।”
ক্যাসপারস্কি জিআরইএটি-এর সিনিয়র সিকিউরিটি রিসার্চার ওমর আমিন বলেন, “আগের অভিযানের পর থেকে হামলার কৌশল কেবল ক্রিপ্টোকারেন্সি বা ব্রাউজারের ক্রেডেনশিয়াল চুরিতে সীমাবদ্ধ নেই। জেনারেটিভ এআই ব্যবহারে এই প্রক্রিয়া খুব দ্রুত হচ্ছে, আর ম্যালওয়্যার তৈরি করা সহজ হচ্ছে তাই অপারেশনাল ঝামেলাও অনেক কমে এসেছে। গ্রুপটি এআই-এর বিশ্লেষণাত্মক ক্ষমতা এবং কম্প্রোমাইজড ডাটা একসঙ্গে ব্যবহার করে হামলার পরিসর আরও বাড়িয়ে চলেছে। আমাদের গবেষণা ভবিষ্যতে আরও এই ধরনের ক্ষতিকর হামলা প্রতিরোধে সহায়ক হবে বলে আমরা আশা করি।”
