🔐 PumaBot বটনেট: Linux IoT হ্যাকিং, SSH পাসওয়ার্ড চুরি আর ক্রিপ্টো মাইনিং নিয়ে ফিরেছে নতুন আতঙ্ক!

লিনাক্স ইউজারদের জন্য আবার নতুন দুঃসংবাদ। PumaBot নামে এক নতুন Go-based বটনেট এখন লিনাক্স চালিত IoT ডিভাইসে SSH brute-force দিয়ে ঢুকে পাসওয়ার্ড চুরি করছে আর ডিভাইসকে বানিয়ে ফেলছে cryptomining মেশিন!

এই পোস্টে আমরা বিস্তারিত জানবো এই বটনেট কিভাবে কাজ করে, কাদের টার্গেট করছে, কোন কোন ম্যালিসিয়াস ফাইল ব্যবহার করছে, আর কিভাবে আপনি নিজেকে রক্ষা করতে পারেন।

📌 PumaBot কী?

PumaBot হচ্ছে Go ভাষায় লেখা একটি বটনেট যেটা Linux IoT ডিভাইসকে টার্গেট করে SSH brute-force অ্যাটাক চালায়। এর মূল উদ্দেশ্য হচ্ছে অরক্ষিত ডিভাইসে ঢুকে credentials চুরি করে এবং পরে cryptominer চালিয়ে দেয় — বিশেষভাবে XMRig ব্যবহার করে।

🎯 টার্গেট: Linux IoT ডিভাইস

PumaBot মূলত surveillance camera, smart router, gateway বা embedded IoT device টার্গেট করে। SSH সার্ভিস চালু থাকা যেকোনো ডিভাইসই এই বটনেটের রাডারে পড়ে যেতে পারে।

এটি একটি C2 (Command and Control) সার্ভার থেকে IP লিস্ট নিয়ে আসে — ssh.ddos-cc[.]org — এবং ওইসব IP-তে SSH brute-force অ্যাটাক চালায়।

🔓 কীভাবে SSH দিয়ে ঢোকে?

PumaBot একের পর এক পাসওয়ার্ড guess করে brute-force চালিয়ে SSH-তে লগইন করার চেষ্টা করে। সফল হলে:

• 🔍 ডিভাইসের সিস্টেম ইনফো সংগ্রহ করে
• 📦 ম্যালওয়্যারকে /lib/redis ফোল্ডারে রেখে দেয়
• 🛠️ /etc/systemd/system/redis.service বা mysqI.service তৈরি করে
• 🔁 সার্ভিসটিকে persist করে দেয়, যেন রিবুটের পরেও থেকে যায়

🕵️ হানিপট চিনে ফেলে!

এই malware শুধু brute-force না, আগে চেক করে নেয় সেটা honeypot কিনা। এমনকি “Pumatronix” নামে surveillance ক্যামেরা কোম্পানির presence থাকলে সেটা detect করে — হয়তো specific করে টার্গেট করছে, বা হয়তো bypass করছে।

💣 কোড বসিয়ে দেয় যেভাবে

পামাবট সিস্টেমে নিচের ফাইলগুলো ব্যবহার করে:

• ddaemon: Go-based backdoor
• networkxm: SSH brute-force tool
• installx.sh: jc.sh নামের script রান করে
• jc.sh: Malicious pam module (pam_unix.so) ডাউনলোড করে
• pam_unix.so: legit pam ফাইলের জায়গায় বসিয়ে দেয় এবং login credentials capture করে /usr/bin/con.txt এ
• 1: ফাইলটি con.txt monitor করে এবং C2 সার্ভারে পাঠায়

🪙 মূল লক্ষ্য: Cryptomining

Malware মূলত XMRig চালায়, যেটা Monero কয়েন মাইন করে। পাশাপাশি networkxm কমান্ডও রান করে — আবারও brute-force চালিয়ে অন্য ডিভাইসে ছড়িয়ে পড়ে।

🚨 বিপদের লক্ষণ গুলো চেনার উপায়

• ⛔ অচেনা systemd সার্ভিস যেমন redis.service, mysqI.service
• 📁 ফোল্ডার /usr/bin/con.txt এ credentials পাওয়া
• 📡 অদ্ভুত HTTP request header: X-API-KEY: jieruidashabi
• 💻 ডিভাইস হঠাৎ করে স্লো হয়ে যাওয়া
• 🔧 অনেক failed SSH login দেখা log ফাইলে

🛡️ নিজের IoT ডিভাইসকে সুরক্ষিত রাখার টিপস

নিচের সিকিউরিটি গাইডলাইনগুলো ফলো করলে PumaBot এর মতো SSH brute-force বটনেট থেকে নিজেকে রক্ষা করতে পারবেন:

1. ✅ SSH-তে strong password ব্যবহার করুন অথবা key-based authentication সেট করুন
2. ✅ fail2ban অথবা SSHGuard দিয়ে brute-force আটকান
3. ✅ Firewall দিয়ে SSH port শুধুমাত্র trusted IP-তে allow করুন
4. ✅ systemd সার্ভিস ফোল্ডার নিয়মিত মনিটর করুন
5. ✅ অজানা binary বা shell script detect হলে সাথে সাথে remove করুন
6. ✅ firmware বা OS নিয়মিত আপডেট করুন

বাংলাদেশি সাইবার কমিউনিটির জন্য এই পোস্ট গুরুত্বপূর্ণ কারণ:

IoT ডিভাইসের ব্যবহার দিনে দিনে বাড়ছে, কিন্তু অধিকাংশ মানুষ জানেই না কিভাবে সেগুলোকে সুরক্ষিত রাখতে হয়। এই পোস্ট তাদেরকে বাস্তব হুমকি সম্পর্কে সচেতন করবে এবং নিরাপদ থাকার উপায়ও জানাবে।

📌 শেষ কথা

PumaBot হচ্ছে সেই নতুন জেনারেশনের বটনেট যা brute-force, persistence, stealth, credential theft আর cryptomining সব একসাথে করে। এটা দেখিয়ে দিয়েছে যে Go-based malware গুলো কতটা সিরিয়াস হতে পারে।

যদি আপনার IoT ডিভাইসে SSH খোলা থাকে, তাহলে এখনই সময় সিকিউরিটি রিভিউ করার। একটা মাত্র দুর্বল পাসওয়ার্ডই PumaBot-এর মত বটনেটকে আমন্ত্রণ জানাতে পারে!

সতর্ক থাকুন, লগ মনিটর করুন, আর গুগলে খুঁজে না পেয়ে যেন নিজের ডিভাইসেই নিজের তথ্য খুঁজে পান — এমন অবস্থা যেন না হয়!

✍️ লেখক: Bugmohol