Data Destruction: সাইবার হামলায় ডেটা মুছে ফেলার ঝুঁকি এবং পুনরুদ্ধারের উপায়!

Data Destruction Attack হলো এমন একটি সাইবার আক্রমণ যেখানে প্রাথমিক উদ্দেশ্য ভিকটিমের ডেটা ও সিস্টেম স্থায়ীভাবে অব্যবহারযোগ্য করে তোলা। Ransomware-এর সাথে এর প্রধান পার্থক্য হলো Ransomware-এ ডেটা encrypt করা হয় এবং চাবি দিয়ে পুনরুদ্ধারের সম্ভাবনা থাকে। Wiper-এ ডেটা সম্পূর্ণভাবে নষ্ট করা হয় - পুনরুদ্ধারের কোনো উপায় নেই।

এই ধরনের আক্রমণের পেছনে বিভিন্ন উদ্দেশ্য থাকতে পারে। রাষ্ট্রীয় উদ্দেশ্যে geopolitical conflict-এর অংশ হিসেবে ব্যবহৃত হয়। NotPetya প্রাথমিকভাবে ইউক্রেনকে লক্ষ্য করেছিল রাশিয়ান অপারেশনের অংশ হিসেবে। Hacktivist-রা রাজনৈতিক বার্তা পাঠাতে এই কৌশল ব্যবহার করেন। কর্পোরেট sabotage-এ প্রতিযোগী ক্ষতিগ্রস্ত করতে। কখনো কখনো Insider Threat যেখানে অসন্তুষ্ট কর্মচারী প্রতিশোধ নেন।

Data Destruction-এর প্রভাব Ransomware-এর চেয়েও বিপর্যয়কর। Ransomware-এ মুক্তিপণ দিলে ডেটা ফেরত পাওয়ার সম্ভাবনা থাকে। Wiper আক্রমণের পর কোনো negotiation সম্ভব নয়। যদি ব্যাকআপ না থাকে বা ব্যাকআপও কম্প্রোমাইজ হয়, তাহলে ডেটা চিরতরে হারিয়ে যায়।

Maersk-এর NotPetya অভিজ্ঞতা একটি ক্লাসিক উদাহরণ। কোম্পানির ৪৯ হাজার ল্যাপটপ এবং ১২০০ অ্যাপ্লিকেশন কয়েক ঘণ্টায় অব্যবহারযোগ্য হয়ে পড়ে। তারা প্রায় ১০ দিনের জন্য ম্যানুয়ালি অপারেশন চালাতে বাধ্য হয়েছিল। সম্পূর্ণ পুনরুদ্ধারে কয়েক মাস লেগেছিল এবং মোট ক্ষতি ৩০০ মিলিয়ন ডলার ছাড়িয়েছিল।

আধুনিক Wiper ম্যালওয়্যার বিভিন্ন কৌশল ব্যবহার করে ডেটা ধ্বংস করে। প্রথম শ্রেণী হলো MBR/VBR Wiper যা Master Boot Record বা Volume Boot Record overwrite করে। এর ফলে কম্পিউটার বুট করতে পারে না এবং Operating System অপ্রাপ্য হয়ে যায়। Petya এবং NotPetya এই কৌশল ব্যবহার করেছিল।

দ্বিতীয় শ্রেণী হলো File-Level Wiper যা নির্দিষ্ট ফাইল বা পুরো ফাইল সিস্টেম overwrite করে। DoD 5220.22-M-এর মতো standard pattern ব্যবহার করে multiple pass-এ ফাইল overwrite করা হয় যাতে data recovery সম্ভব না হয়। Shamoon এই কৌশল ব্যবহার করে।

তৃতীয় শ্রেণী হলো MFT Wiper যা NTFS-এর Master File Table ক্ষতিগ্রস্ত করে। MFT হারিয়ে গেলে disk-এ ডেটা থাকলেও সেগুলোতে পৌঁছানো প্রায় অসম্ভব। কিছু advanced Wiper এই কৌশল ব্যবহার করে।

চতুর্থ শ্রেণী হলো Firmware Wiper যা hardware-এর firmware লক্ষ্য করে। UEFI BIOS বা storage controller-এর firmware overwrite করলে সম্পূর্ণ system motherboard-level-এ অব্যবহারযোগ্য হয়ে যায়। CosmicEnergy এবং MoonBounce-এর মতো উন্নত malware এই কৌশল প্রদর্শন করেছে।

পঞ্চম শ্রেণী হলো Database Wiper যা ডাটাবেস record বা schema ধ্বংস করে। MySQL, PostgreSQL, MongoDB-এর মতো ডাটাবেস সিস্টেমে SQL command বা direct file manipulation-এর মাধ্যমে ডেটা মুছে ফেলা হয়।

Shamoon ২০১২ সালে Saudi Aramco-র বিরুদ্ধে ব্যবহৃত হয় এবং ৩৫ হাজার কম্পিউটার ধ্বংস করে। আক্রমণকারীরা সমস্ত হার্ড ড্রাইভে একটি জ্বলন্ত আমেরিকান পতাকার ছবি overwrite করেছিল। Saudi Aramco পুনরুদ্ধারে বহু মাস ব্যয় করতে হয়েছিল এবং বিশ্বব্যাপী হার্ড ড্রাইভের সরবরাহ চেইনে প্রভাব পড়েছিল। ২০১৬ এবং ২০১৮ সালে Shamoon-এর নতুন সংস্করণ ব্যবহার করা হয়।

DarkSeoul ২০১৩ সালে দক্ষিণ কোরিয়ার মিডিয়া কোম্পানি এবং ব্যাংকগুলোকে আক্রমণ করে। হাজার হাজার কম্পিউটারের MBR overwrite করা হয় এবং সরকারি ও আর্থিক সেবা বিঘ্নিত হয়। উত্তর কোরিয়ার Lazarus Group-কে এই আক্রমণের জন্য দায়ী করা হয়।

NotPetya ২০১৭ সালের সবচেয়ে ব্যয়বহুল সাইবার আক্রমণ। ইউক্রেনের MeDoc অ্যাকাউন্টিং সফটওয়্যার আপডেটের মাধ্যমে ছড়ানো এই ম্যালওয়্যার বিশ্বব্যাপী $১০ বিলিয়ন ডলারের বেশি ক্ষতি করে। Maersk, Merck, FedEx, Mondelez-এর মতো বহু বহুজাতিক কোম্পানি ব্যাপকভাবে প্রভাবিত হয়। এটি Ransomware-এর ছদ্মবেশে আসলেও পুনরুদ্ধারের কোনো উপায় ছিল না।

WhisperGate ২০২২ সালে ইউক্রেনের সরকারি সিস্টেমে ব্যবহৃত হয়, যা যুদ্ধ শুরুর কয়েক সপ্তাহ আগে। এর সাথে HermeticWiper, IsaacWiper এবং CaddyWiper যুক্ত হয় যা যুদ্ধের প্রথম মাসে ব্যাপকভাবে ব্যবহৃত হয়। এই Wiper-গুলো ইউক্রেনের সরকারি, আর্থিক এবং সমালোচনামূলক অবকাঠামোতে আক্রমণ করে।

Industroyer/CrashOverride এবং পরবর্তীতে Industroyer2 বিদ্যুৎ গ্রিড-নির্দিষ্ট Wiper। এগুলো সরাসরি SCADA সিস্টেম লক্ষ্য করে এবং বিদ্যুৎ সরবরাহ বিঘ্নিত করার ক্ষমতা রাখে। ২০১৬ সালে কিয়েভে এবং ২০২২ সালে আবার ইউক্রেনে এই ম্যালওয়্যার ব্যবহৃত হয়।

Wiper ম্যালওয়্যার বিভিন্ন ভেক্টর ব্যবহার করে বিতরণ হয়। Spear Phishing সবচেয়ে সাধারণ যেখানে targeted ইমেইলের মাধ্যমে প্রাথমিক সংক্রমণ ঘটে। Supply Chain Compromise একটি অত্যন্ত কার্যকর কৌশল যেখানে software update বা trusted vendor-এর মাধ্যমে ম্যালওয়্যার ছড়ানো হয় - NotPetya-র MeDoc compromise এর প্রকৃষ্ট উদাহরণ।

Living-off-the-Land কৌশল ব্যবহার করে আক্রমণকারীরা legitimate tool ব্যবহার করে। PsExec, WMI, PowerShell, Group Policy-এর মাধ্যমে দ্রুত পুরো network জুড়ে ম্যালওয়্যার ছড়ানো যায়। Active Directory এবং Domain Controller compromise হলে আক্রমণকারীরা একই সাথে হাজার হাজার সিস্টেমে ম্যালওয়্যার ডিপ্লয় করতে পারেন।

আধুনিক Wiper আক্রমণে Multiple Wave কৌশল প্রায়শই ব্যবহৃত হয়। প্রথম Wave সিস্টেমে penetrate করে, দ্বিতীয় Wave persistence এবং lateral movement স্থাপন করে, এবং শেষ Wave Wiper deploy করে। এই বহু-পর্যায়ের পদ্ধতি শনাক্তকরণ এবং প্রতিরোধ কঠিন করে।

কিছু Wiper সময়-ভিত্তিক trigger ব্যবহার করে। ম্যালওয়্যার সিস্টেমে সংক্রমিত হয়ে কয়েক দিন বা সপ্তাহ পরে নির্দিষ্ট তারিখ-সময়ে সক্রিয় হয়। এই দেরির ফলে backup-এও আক্রান্ত ম্যালওয়্যার চলে যায়, যা পুনরুদ্ধার আরও জটিল করে।

Wiper আক্রমণের বিরুদ্ধে কার্যকর প্রতিরোধের জন্য একটি বহুস্তরীয় পদ্ধতি প্রয়োজন। প্রথমত, শক্তিশালী Backup Strategy অপরিহার্য। 3-2-1 নিয়ম অনুসরণ করুন - ৩টি কপি, ২টি ভিন্ন media-তে, ১টি offsite। তবে আধুনিক হুমকির জন্য 3-2-1-1-0 নিয়ম আরও ভালো যেখানে অতিরিক্ত ১টি immutable বা air-gapped কপি এবং ০ verified error থাকে।

Immutable Backup বিশেষভাবে গুরুত্বপূর্ণ। Amazon S3 Object Lock, Azure Immutable Blob Storage, AWS S3 Glacier Vault Lock - এই ধরনের সমাধান ব্যাকআপকে modify বা delete হওয়া থেকে রক্ষা করে। Veeam, Rubrik, Cohesity-এর মতো ব্যাকআপ সমাধানে immutability ফিচার রয়েছে।

Air-Gapped Backup আরেকটি গুরুত্বপূর্ণ স্তর। নেটওয়ার্ক থেকে সম্পূর্ণভাবে বিচ্ছিন্ন backup ব্যবস্থা যা শুধুমাত্র ব্যাকআপের সময় সংযুক্ত হয়। এই পদ্ধতি ব্যয়বহুল এবং পরিচালনায় জটিল কিন্তু সবচেয়ে নিরাপদ।

দ্বিতীয়ত, Network Segmentation শক্তিশালী করুন। যদি Wiper-এর প্রসার সীমিত করা যায়, তাহলে ক্ষতিও সীমিত থাকে। East-West traffic monitoring, microsegmentation এবং Zero Trust নীতি বাস্তবায়ন করুন।

তৃতীয়ত, Privileged Access Management বাস্তবায়ন করুন। Wiper আক্রমণ সফল হওয়ার জন্য বেশিরভাগ ক্ষেত্রে administrative privilege প্রয়োজন। Just-in-time access, MFA এবং password vault ব্যবহার করে এই হুমকি কমান। CyberArk, BeyondTrust, Delinea-এর মতো PAM সমাধান কার্যকর।

চতুর্থত, Active Directory নিরাপত্তা উন্নত করুন। AD compromise হলে আক্রমণকারী পুরো organization-এ Wiper deploy করতে পারে। Tier 0 asset সুরক্ষা, regular AD audit এবং tools যেমন Microsoft Defender for Identity ব্যবহার করুন।

পঞ্চমত, Endpoint Detection and Response সমাধান মোতায়েন করুন। CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Carbon Black - এই ধরনের EDR ম্যালিশাস behavior শনাক্ত করতে পারে। বিশেষত mass file modification, MBR overwrite attempt এবং similar destructive operation।

ষষ্ঠত, Application Whitelisting বাস্তবায়ন করুন। শুধু অনুমোদিত অ্যাপ্লিকেশন সম্পাদনের অনুমতি দিন। Microsoft AppLocker, Carbon Black App Control-এর মতো সরঞ্জাম unknown executable ব্লক করতে পারে।

সপ্তমত, Patch Management কঠোর রাখুন। অনেক Wiper আক্রমণ পরিচিত দুর্বলতা ব্যবহার করে প্রসারিত হয়। নিয়মিত patching এবং vulnerability management অপরিহার্য।

Wiper আক্রমণ ঘটলে দ্রুত এবং কার্যকর প্রতিক্রিয়া অত্যন্ত গুরুত্বপূর্ণ। প্রথম ঘণ্টা সংকেতে আক্রান্ত সিস্টেম আইসোলেট করুন যাতে আরো প্রসার বন্ধ হয়। Network থেকে disconnect, VLAN-এ আলাদাকরণ এবং emergency containment পদক্ষেপ প্রয়োজন।

দ্বিতীয়ত, একটি Incident Response Team সক্রিয় করুন। Internal IR team না থাকলে external service যেমন Mandiant, CrowdStrike, KPMG-এর সাথে pre-arranged contract থাকা ভালো। Wiper আক্রমণে time-to-response অত্যন্ত critical।

তৃতীয়ত, business continuity plan সক্রিয় করুন। কোন process এবং system সবচেয়ে গুরুত্বপূর্ণ তা চিহ্নিত করে অগ্রাধিকার অনুযায়ী পুনরুদ্ধার শুরু করুন। Maersk-এর ক্ষেত্রে শারীরিক port operation manual করতে হয়েছিল।

চতুর্থত, backup থেকে পুনরুদ্ধার শুরু করুন। কিন্তু সতর্ক থাকুন - backup নিজেই compromised হতে পারে। Recent backup-এর integrity যাচাই করুন এবং পরিষ্কার system-এ restore করুন। Restore process পরীক্ষিত পরিবেশে শুরু করা উচিত।

পঞ্চমত, forensic investigation পরিচালনা করুন। কীভাবে আক্রমণ ঘটল, কোন vector ব্যবহৃত হল, কোন persistence mechanism স্থাপিত হয়েছিল তা বুঝতে হবে। এর ভিত্তিতে ভবিষ্যতের প্রতিরোধ ব্যবস্থা শক্তিশালী করা যায়।

ষষ্ঠত, communication ব্যবস্থাপনা গুরুত্বপূর্ণ। গ্রাহক, regulator, partner এবং কর্মচারীদের সঠিক তথ্য সঠিক সময়ে পৌঁছানো প্রয়োজন। Crisis communication plan আগে থেকেই প্রস্তুত থাকা উচিত।

Wiper আক্রমণ থেকে ডেটা পুনরুদ্ধার অত্যন্ত কঠিন। যদি single-pass overwrite হয়, কিছু advanced forensic technique-এ partial পুনরুদ্ধার সম্ভব হতে পারে। তবে multi-pass overwrite-এর পরে পুনরুদ্ধার কার্যত অসম্ভব।

SSD-এর ক্ষেত্রে wear leveling এবং garbage collection-এর কারণে পুনরুদ্ধারের সম্ভাবনা আরো কম। TRIM enabled SSD-এ deleted ডেটা দ্রুত physically erased হয়ে যায়।

Database-এর ক্ষেত্রে transaction log থাকলে কিছু পুনরুদ্ধার সম্ভব। RAID-এর parity তথ্য কখনো কখনো সাহায্য করতে পারে কিন্তু এটি Wiper-resistant নয়।

মূল কথা - Wiper আক্রমণের পর পুনরুদ্ধার নির্ভর করে backup-এর গুণমানের উপর। তাই backup strategy-ই সবচেয়ে গুরুত্বপূর্ণ প্রতিরক্ষা।