মূল বিষয়বস্তুতে যান
ইন্টেলিজেন্স ডাইজেস্ট

মাইক্রোসফট অ্যাজুরে এনভায়রনমেন্টে বুধের আক্রমণ

ধ্বংসাত্মক অ্যাডভান্সড পারসিসটেন্ট থ্রেট (এপিটি) গ্রুপ ক্লাউড এনভায়রনমেন্টে পিভট করে

২৫ মে ২০২৩

রডম্যান রামেজানিয়ান - গ্লোবাল ক্লাউড থ্রেট লিড

সাম্প্রতিক শিল্প গবেষণা অনুসারে, বুধ এপিটি গ্রুপ (ওরফে মুডি ওয়াটার, স্ট্যাটিক বিড়ালছানা) দ্বারা পরিচালিত একাধিক প্রচারণা এবং সরঞ্জাম - ব্যাপকভাবে ইরানের গোয়েন্দা ও সুরক্ষা মন্ত্রকের (এমওআইএস) স্বার্থের সাথে সম্পর্কিত বলে বিবেচিত - মাইক্রোসফ্ট অ্যাজুরে ক্লাউড পরিবেশে ক্ষতিকারক আক্রমণ চালাতে দেখা গেছে।

মাইক্রোসফ্ট দ্বারা পরিচালিত গবেষণা দেখায় যে কীভাবে জাতি-রাষ্ট্র আক্রমণকারীরা দুর্বল, অনিরাপদ অন-সাইট সংস্থানগুলির পাশাপাশি ক্লাউড পরিবেশগুলিতে অ্যাক্সেস অর্জন করেছে, যা তাদের লক্ষ্যবস্তুর অবকাঠামোর ব্যাপক ক্ষতি করতে সক্ষম করে। স্থানীয় অ্যাক্টিভ ডিরেক্টরি (এডি) এবং অ্যাজুর অ্যাক্টিভ ডিরেক্টরি (এএডি) একত্রিত করে হাইব্রিড উইন্ডোজ ডোমেন পরিবেশ চালানোর লক্ষ্যযুক্ত সংস্থাগুলি তাদের অ্যাজুর অ্যাক্টিভ ডিরেক্টরি কানেক্ট এজেন্টকে ম্যানিপুলেট করেছে, যার ফলে তাদের অনলাইন অ্যাজুরে অবকাঠামোতে প্রবেশ করা এবং পরবর্তীকালে ক্ষতিগ্রস্থের অ্যাজুর পরিবেশ ধ্বংস করা হয়েছে।

Diagram of Microsoft Azure attack scenario

এটি তাদের অ্যাজুর ভার্চুয়াল মেশিন দৃষ্টান্ত, সার্ভার ফার্ম এবং ওয়ার্কলোড, ভার্চুয়াল নেটওয়ার্ক, স্টোরেজ অ্যাকাউন্ট এবং আরও অনেক কিছু মুছে ফেলা থেকে শুরু করে।

তাদের অপারেশন জুড়ে, হুমকি অভিনেতারা সক্রিয়ভাবে অন-প্রিমাইজ এবং ক্লাউড পরিবেশ উভয়কেই লক্ষ্য করেছে। বর্তমানে এই অভিযানের যতটুকু জানা যাচ্ছে, তাতে তাদের প্রাথমিক উদ্দেশ্য হচ্ছে বিঘ্ন ও ধ্বংসযজ্ঞ।

মজার বিষয় হল, এই বিঘ্নজনক এবং ধ্বংসাত্মক আচরণটি সাধারণত দেখা যায় ইরানী জাতিরাষ্ট্র আক্রমণকারীদের কৌশল, কৌশল এবং পদ্ধতি (টিটিপি) এর সাথে সামঞ্জস্যপূর্ণ, বিশেষত ইরানী হ্যাকারদের হাতে ২০১২ সালের সৌদি আরামকো আক্রমণের পাশাপাশি তাদের ডিডিওএস আক্রমণ এবং ওয়াইপার ম্যালওয়্যার স্ট্রেনগুলির অব্যাহত ব্যবহার সিস্টেমগুলিকে ওভাররাইট করতে বা অন্যথায় তাদের অব্যবহারযোগ্য বা অপুনরুদ্ধারযোগ্য রেখে দেয় (যদি না সংস্থাগুলির কাজের ব্যাকআপ থাকে)।

মাইক্রোসফ্ট ক্লাউড ইকোসিস্টেমের প্রতি এপিটি গ্রুপের শক্তিশালী পিভট দ্বিগুণ আকর্ষণীয়, তাদের অতীতের আক্রমণগুলি বেশিরভাগ দুর্বল, অন-প্রাঙ্গনে এক্সচেঞ্জ পরিষেবাদি এবং ফোর্টিনেট সুরক্ষা সরঞ্জামগুলিতে বা সম্প্রতি ড্রপবক্স এবং ওয়ানহাবের মতো অনলাইন পরিষেবাগুলির সাথে ফোকাস করে।

কেন এই ঘটনাগুলো ঘটছে?

এতে অবাক হওয়ার কিছু নেই যে আজকের পরিশীলিত হ্যাকাররা তাদের এজেন্ডাগুলি আরও এগিয়ে নেওয়ার জন্য ক্রমবর্ধমান ক্লাউড পরিবেশে মনোনিবেশ করছে। ভূ-রাজনীতি এই জাতি-রাষ্ট্র অভিনেতার গল্পে ভূমিকা পালন করে তা নির্বিশেষে, আমরা লক্ষ্য পরিবেশে একটি প্রধান প্রাথমিক অ্যাক্সেস ভেক্টর হিসাবে দূরবর্তী অ্যাক্সেস সরঞ্জামগুলির শোষণ দেখতে অব্যাহত রেখেছি।

বেশিরভাগ সংস্থাগুলি ক্লাউডে তাদের বিবর্তন অব্যাহত রাখার সাথে সাথে হাইব্রিড অবকাঠামোগুলি প্রয়োজনীয়তার জন্য নমনীয়তা সরবরাহ করে যা ক্লাউড-কেবল বাস্তুতন্ত্রগুলিতে পূরণ করা যায় না, বা এখনও মেঘলা হওয়ার জন্য প্রস্তুত নাও হতে পারে। অন-প্রিমাইজ এবং ক্লাউড-নেটিভ সংস্থানগুলি বজায় রাখা (সম্ভবত একটি সিঙ্ক্রোনাইজড, হাইব্রিড ফ্যাশনে) এই উদ্যোগগুলিকে আরও দক্ষ পদ্ধতিগুলি তাদের জন্য পরিপক্ক না হওয়া পর্যন্ত উভয় বিশ্বের সেরা উপভোগ করতে সক্ষম করে।

এই দর্শনটি আরও সাধারণ হয়ে ওঠার সাথে সাথে, হুমকি অভিনেতারা আরও ঐতিহ্যবাহী এবং প্রতিষ্ঠিত অ্যাক্সেস ভেক্টরগুলিতে তাদের পেশীগুলি নমনীয় করার চিন্তাভাবনা উপভোগ করে (বলুন, দূরবর্তী ডেস্কটপ সংযোগ), তারপরে শেষ পর্যন্ত লক্ষ্যটির ক্লাউড অবকাঠামোতে একটি পিভট-পয়েন্ট দিয়ে পুরস্কৃত করা হবে। পরবর্তীকালে, সেই সম্পূর্ণ নতুন ক্লাউড ডোমেনটি চুরি, মুক্তিপণের মাধ্যমে আর্থিক লাভ, বিঘ্ন বা এমনকি সরাসরি ধ্বংসের জন্য বিশাল সুযোগের প্রতিনিধিত্ব করে যা আমরা এখানে দেখি।

কি করা যায়?

এই জাতীয় হুমকিগুলি দুর্বল বা উন্মুক্ত পরিষেবাগুলিতে ভোজ দেয় যা লক্ষ্যবস্তুর পরিবেশে একটি সৈকত সরবরাহ করে। সেই বিন্দু থেকে, এটি কেবল কোথায় এবং কীভাবে দূষিত অভিনেতারা তাদের আক্রমণ চালানোর জন্য অতিরিক্ত সুযোগ-সুবিধা এবং অনুমতিগুলি ব্যবহার করে তা একটি বিষয় হয়ে ওঠে। আপনার সামগ্রিক আক্রমণের পৃষ্ঠকে হ্রাস করা, খুব কমপক্ষে, হুমকি অভিনেতাদের সামনে রাখা "কম ঝুলন্ত ফল" প্রলোভনগুলি ব্যর্থ করার দিকে অনেক এগিয়ে যাবে। এর অর্থ হ'ল দূরবর্তী অ্যাক্সেস পরিষেবাদি, ব্যক্তিগত অ্যাপ্লিকেশন বা প্রোটোকলগুলি অক্ষম করা বা ন্যূনতম সেগমেন্ট করা যা আর প্রয়োজন নেই বা তারিখের ঘেরের সরঞ্জামগুলির পিছনে সর্বজনীনভাবে অ্যাক্সেসযোগ্য হওয়া উচিত নয়। মত সক্ষমতা Zero Trust Network Access (জেডটিএনএ) সংস্থাগুলিকে সফ্টওয়্যার-সংজ্ঞায়িত পরিধি তৈরি করতে এবং কর্পোরেট নেটওয়ার্ককে একাধিক মাইক্রো-সেগমেন্টে বিভক্ত করার অনুমতি দেয়, হুমকির পার্শ্বীয় চলাচল রোধ করে এবং লঙ্ঘনের ক্ষেত্রে আক্রমণের পৃষ্ঠকে হ্রাস করে।

ক্রমাগত অ্যাক্সেস মূল্যায়ন এবং বৈধতাগুলিও খুব কার্যকর প্রশমন কৌশল, যেহেতু অপব্যবহারের প্রচেষ্টা প্রতিটি অ্যাক্সেস অনুরোধের জন্য পৃথক কেস-বাই-কেস ভিত্তিতে সনাক্ত এবং প্রতিরোধ করা যায়। ব্যবহারকারীর পরিচয়, ডিভাইস পরিচয়, অঙ্গবিন্যাস এবং অন্যান্য প্রাসঙ্গিক কারণগুলির মূল্যায়নে, জেডটিএনএ নির্দিষ্ট অ্যাপ্লিকেশনগুলিতে "ন্যূনতম বিশেষাধিকার" অ্যাক্সেসের অনুমতি দেয় এবং সফল লগইন সহ কোনও ব্যবহারকারীকে পুরো অন্তর্নিহিত নেটওয়ার্ক নয়।

স্ক্রিনশট Skyhigh Securityএর নিরাপত্তা কনফিগারেশন অডিট

যেহেতু আমরা মাইক্রোসফ্ট অ্যাজুর পরিবেশের মধ্যে কনফিগারেশনগুলিও ধ্বংসের পথ প্রশস্ত করার জন্য হস্তক্ষেপ করতে দেখছি, পাশাপাশি সুবিধাপ্রাপ্ত মাইক্রোসফ্ট অ্যাজুর অ্যাডমিন অ্যাকাউন্টগুলির অপব্যবহার, ভঙ্গি পরিচালনার মতো ক্ষমতাগুলি অস্বাভাবিক বা কর্পোরেট মানগুলির বিরুদ্ধে বিবেচিত ক্রিয়াকলাপ এবং পরিবর্তনগুলি সনাক্ত করতে এবং প্রতিরোধ করতে সহায়তা করতে পারে।

Skyhigh Security মাইক্রোসফ্ট Azure অবকাঠামোতে ক্রিয়াকলাপ পর্যবেক্ষণ এবং সুরক্ষা কনফিগারেশন অডিট বৈশিষ্ট্যগুলি প্রসারিত করে এটির সাথে সহায়তা করে। Azure অবকাঠামোর অভ্যন্তরীণ এবং বাহ্যিক হুমকি সনাক্ত করতে, Skyhigh Security একাধিক হিউরিস্টিক জুড়ে মাইক্রোসফ্ট অ্যাজুরে সমস্ত ব্যবহারকারীর ক্রিয়াকলাপের সম্পূর্ণ রেকর্ড ক্যাপচার করে, হুমকি সনাক্ত করে, স্বয়ংক্রিয়ভাবে ঝুঁকি প্রশমনকারী পদক্ষেপ নেয় এবং ফরেনসিক তদন্তকে সমর্থন করে। হুমকিগুলি সমাধান হওয়ার সাথে সাথে স্কাইহাই সনাক্তকরণের নির্ভুলতা উন্নত করতে স্বয়ংক্রিয়ভাবে এই ডেটাটিকে তার আচরণগত মডেলগুলিতে অন্তর্ভুক্ত করে।

স্কাইহাই অভ্যন্তরীণ হুমকির নির্দেশক ক্রিয়াকলাপগুলি সনাক্ত করতে প্রতিটি ব্যবহারকারী এবং গোষ্ঠীর জন্য গতিশীলভাবে এবং ক্রমাগত থ্রেশহোল্ডগুলি আপডেট করে। ইন-বিল্ট প্রিভিলেজড ইউজার অ্যানালিটিক্স নিষ্ক্রিয় প্রশাসক অ্যাকাউন্ট, অত্যধিক অনুমতি এবং অনুমতি এবং ব্যবহারকারীর বিধানের অযৌক্তিক বৃদ্ধি থেকে ঝুঁকি সনাক্ত করে।

ব্যবহার Skyhigh Security?

রডম্যান রামেজানিয়ান

লেখক সম্পর্কে

রডম্যান রামেজানিয়ান

গ্লোবাল ক্লাউড থ্রেট লিড

11 বছরেরও বেশি বিস্তৃত সাইবার সিকিউরিটি শিল্পের অভিজ্ঞতার সাথে, রডম্যান রামেজানিয়ান একটি এন্টারপ্রাইজ ক্লাউড সিকিউরিটি অ্যাডভাইজার, প্রযুক্তিগত উপদেষ্টা, সক্রিয়করণ, সমাধান ডিজাইন এবং আর্কিটেকচারের জন্য দায়ী Skyhigh Security. এই ভূমিকায়, রডম্যান প্রাথমিকভাবে অস্ট্রেলিয়ান ফেডারেল সরকার, প্রতিরক্ষা এবং এন্টারপ্রাইজ সংস্থাগুলিতে মনোনিবেশ করে।

রডম্যান অ্যাডভারসারিয়াল থ্রেট ইন্টেলিজেন্স, সাইবার ক্রাইম, ডেটা প্রোটেকশন এবং ক্লাউড সিকিউরিটির ক্ষেত্রে বিশেষজ্ঞ। তিনি একজন অস্ট্রেলিয়ান সিগন্যাল ডিরেক্টরেট (এএসডি) -অনুমোদিত আইআরএপি মূল্যায়নকারী - বর্তমানে সিআইএসএসপি, সিসিএসপি, সিআইএসএ, সিডিপিএসই, মাইক্রোসফ্ট অ্যাজুরে এবং এমআইটিআরই এটিটি এবং সিটিআই সার্টিফিকেশন ধারণ করছেন।

স্পষ্টতই, রডম্যানের সহজ শর্তে জটিল বিষয়গুলি স্পষ্ট করার জন্য একটি দৃঢ় আবেগ রয়েছে, গড় ব্যক্তি এবং নতুন সুরক্ষা পেশাদারদের সাইবারসিকিউরিটি কী, কেন এবং কীভাবে বুঝতে সহায়তা করে।

অ্যাটাক হাইলাইটস

  • বুধের হুমকি অভিনেতারা প্রাথমিকভাবে ক্ষতিগ্রস্থদের পরিবেশে অ্যাক্সেস করতে দুর্বল, আনপ্যাচড ইন্টারনেট-মুখী ডিভাইস এবং ওয়েব অ্যাপ্লিকেশনগুলি কাজে লাগায়।
  • সফল শোষণের পরে, অপারেটররা দূরবর্তীভাবে সিস্টেম কমান্ডগুলি চালানোর অনুমতি দেওয়ার জন্য সেই সম্পদগুলিতে ওয়েব শেল স্থাপন করে।
  • স্থানীয় ব্যবহারকারী অ্যাকাউন্টগুলি প্রশাসক মোডে বিশেষাধিকারের বৃদ্ধি সক্ষম করার জন্য তৈরি করা হয়েছে, যার লক্ষ্য অবশেষে আরও প্রচারের জন্য লক্ষ্য ডোমেন নিয়ন্ত্রকদের কাছে পৌঁছানো।
  • যদি লক্ষ্যযুক্ত সংস্থাটি স্থানীয় এডি এবং অ্যাজুর এডি পরিষেবাদির সংমিশ্রণে হাইব্রিড উইন্ডোজ ডোমেন পরিবেশ চালাচ্ছে তবে হুমকিদাতারা Azure AD Connect এজেন্ট দ্বারা তৈরি কোনও সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলি কাজে লাগায়। এই এজেন্টটি স্থানীয় এডি এবং অ্যাজুরে এডি পরিবেশের মধ্যে "সেতু" হিসাবে কাজ করে যাতে তাদের সিঙ্কে রাখা যায়, ভাগ করা পরিচয়গুলির জন্য পাসওয়ার্ড সিঙ্ক্রোনাইজেশন, অবজেক্ট সিঙ্ক্রোনাইজেশন এবং আরও অনেক কিছুর মতো অতিরিক্ত বৈশিষ্ট্য সহ।
  • একবার আক্রমণকারীরা সফলভাবে মাইক্রোসফ্ট অ্যাজুরে পরিবেশে সাইন ইন করে - আপোস করা অ্যাকাউন্টের মাধ্যমে - অ্যাকাউন্টের অনুমতি সেট এবং ভূমিকা বিশেষাধিকারগুলি পরবর্তী পদক্ষেপের জন্য হস্তক্ষেপ করা হয়।
  • মাইক্রোসফ্ট Azure সম্পদের ধ্বংস শুরু হয়, যার মধ্যে ওয়ার্কলোড, ভিএম চিত্র, সার্ভার, ডিস্ক, স্টোরেজ অ্যাকাউন্ট এবং Azure অ্যাকাউন্টে অন্যান্য বিভিন্ন পরিষেবা উদাহরণ মুছে ফেলা অন্তর্ভুক্ত।