মাইক্রোসফট শেয়ারপয়েন্ট সার্ভারের দুর্বলতাকে কাজে লাগিয়ে চলমান একটি সাইবার-গুপ্তচরবৃত্তি অভিযান এখন র‍্যানসমওয়্যার ব্যবহারের মাধ্যমে নতুন মাত্রা পেয়েছে। মাইক্রোসফটের ২৩ জুলাই, ২০২৫-এর একটি ব্লগ পোস্টে এই তথ্য প্রকাশিত হয়েছে। এই হামলায় অন্তত ৪০০টি সংস্থা, সরকারি সংস্থা, ব্যাংক, বিশ্ববিদ্যালয়, এবং স্বাস্থ্যসেবা প্রতিষ্ঠান ক্ষতিগ্রস্ত হয়েছে বলে নেদারল্যান্ডস-ভিত্তিক সাইবার নিরাপত্তা সংস্থা আই সিকিউরিটি জানিয়েছে।

এই সাইবার হামলা শেয়ারপয়েন্ট সার্ভারের একটি জিরো-ডে দুর্বলতা, CVE-2025-53770 (CVSS স্কোর: ৯.৮), এবং একটি সম্পর্কিত স্পুফিং দুর্বলতা, CVE-2025-53771 (CVSS স্কোর: ৭.১)-কে কাজে লাগিয়ে পরিচালিত হচ্ছে। এই দুর্বলতাগুলো অন-প্রিমিসেস শেয়ারপয়েন্ট সার্ভারে প্রযোজ্য এবং মাইক্রোসফট ৩৬৫-এর শেয়ারপয়েন্ট অনলাইনকে প্রভাবিত করে না। হামলাকারীরা এই দুর্বলতাগুলো ব্যবহার করে সার্ভারের ASP.NET মেশিন কী চুরি করছে, যা তাদের প্যাচ প্রয়োগের পরেও সিস্টেমে পুনঃপ্রবেশের সুযোগ দেয়। এই কীগুলো ব্যবহার করে হামলাকারীরা সংবেদনশীল ডেটা চুরি, ব্যাকডোর স্থাপন, এবং এখন র‍্যানসমওয়্যার স্থাপন করছে।

মাইক্রোসফট জানিয়েছে, দুটি চীনা রাষ্ট্র-সমর্থিত হ্যাকিং গ্রুপ, লিনেন টাইফুন এবং ভায়োলেট টাইফুন, এবং আরেকটি চীন-ভিত্তিক হ্যাকার গ্রুপ, স্টর্ম-২৬০৩, এই হামলায় জড়িত। স্টর্ম-২৬০৩ গ্রুপটি ওয়ারলক এবং লকবিট র‍্যানসমওয়্যার ব্যবহার করছে বলে জানা গেছে, যদিও তাদের উদ্দেশ্য এখনও পুরোপুরি নিশ্চিত নয়। হামলাগুলো ৭ জুলাই, ২০২৫ থেকে শুরু হয়েছে এবং ১৮-১৯ জুলাইয়ে ব্যাপক আকার ধারণ করে।

আই সিকিউরিটির মতে, এই হামলায় ৪০০টিরও বেশি সংস্থা ক্ষতিগ্রস্ত হয়েছে, যার মধ্যে রয়েছে মার্কিন যুক্তরাষ্ট্র ও আন্তর্জাতিক সরকারি সংস্থা, শক্তি কোম্পানি, বিশ্ববিদ্যালয়, ব্যাংক, এবং স্বাস্থ্যসেবা প্রতিষ্ঠান। যুক্তরাষ্ট্রের ন্যাশনাল ইনস্টিটিউট অফ হেলথ (এনআইএইচ)-এর একটি সার্ভারও ক্ষতিগ্রস্ত হয়েছে। শোডান এবং শ্যাডোসার্ভারের তথ্য অনুযায়ী, বিশ্বব্যাপী ৮,০০০ থেকে ৯,০০০টিরও বেশি শেয়ারপয়েন্ট সার্ভার এই দুর্বলতার ঝুঁকিতে রয়েছে। হামলাকারীরা শেয়ারপয়েন্টের সংযোগের মাধ্যমে আউটলুক, টিমস, এবং ওয়ানড্রাইভের মতো অন্যান্য মাইক্রোসফট সার্ভিসে প্রবেশ করছে, যা ডেটা চুরি এবং পাসওয়ার্ড হার্ভেস্টিংয়ের ঝুঁকি বাড়িয়েছে।

র‍্যানসমওয়্যারের ব্যবহার এই হামলাকে আরও বিধ্বংসী করে তুলেছে, কারণ এটি ডেটা চুরির পাশাপাশি সিস্টেমে ব্যাপক ক্ষতি করতে পারে। ঐতিহ্যগত গুপ্তচরবৃত্তির তুলনায় র‍্যানসমওয়্যার ব্যবহার ব্যবসায়িক কার্যক্রম এবং সরকারি সেবায় বড় ধরনের বাধার সৃষ্টি করতে পারে।

মাইক্রোসফট ২০ জুলাই, ২০২৫-এ শেয়ারপয়েন্ট সার্ভার সাবস্ক্রিপশন এডিশন এবং শেয়ারপয়েন্ট ২০১৯-এর জন্য জরুরি সিকিউরিটি প্যাচ (CVE-2025-53770 এবং CVE-2025-53771) প্রকাশ করেছে। তবে, শেয়ারপয়েন্ট ২০১৬-এর জন্য এখনও প্যাচ তৈরি করা হচ্ছে। মাইক্রোসফট পরামর্শ দিয়েছে যে, গ্রাহকরা অবিলম্বে সিকিউরিটি আপডেট প্রয়োগ করুন, ASP.NET মেশিন কী রোটেট করুন, এবং ইন্টারনেট আইএস (IIS) সার্ভার রিস্টার্ট করুন। যেসব সার্ভারে অ্যান্টিম্যালওয়্যার স্ক্যান ইন্টারফেস (AMSI) সক্রিয় করা সম্ভব নয়, সেগুলো ইন্টারনেট থেকে সংযোগ বিচ্ছিন্ন করার পরামর্শ দেওয়া হয়েছে। এছাড়া, শেয়ারপয়েন্ট সার্ভার ২০১৩ এবং তার পূর্ববর্তী সংস্করণগুলো, যা এন্ড-অফ-লাইফ (EOL), তা বন্ধ করার সুপারিশ করা হয়েছে।

মাইক্রোসফট সিআইএসএ, ডিওডি সাইবার ডিফেন্স কমান্ড, এবং বিশ্বব্যাপী সাইবার নিরাপত্তা অংশীদারদের সঙ্গে সমন্বয় করে কাজ করছে। সিআইএসএ CVE-2025-53770-কে তার নোন এক্সপ্লয়েটেড ভালনারেবিলিটিস (KEV) ক্যাটালগে যুক্ত করেছে এবং ফেডারেল সিভিলিয়ান এক্সিকিউটিভ ব্রাঞ্চ (FCEB) সংস্থাগুলোকে ২১ জুলাই, ২০২৫-এর মধ্যে প্যাচ প্রয়োগের নির্দেশ দিয়েছে।

এই দুর্বলতা শেয়ারপয়েন্ট সার্ভারের ToolPane এন্ডপয়েন্টে (“/_layouts/15/ToolPane.aspx”) HTTP রেফারার হেডারের ভুল ব্যবস্থাপনা থেকে উদ্ভূত হয়েছে, যা হামলাকারীদের পাওয়ারশেলের মাধ্যমে ASPX পেলোড সরবরাহ করতে সক্ষম করে। এটি সার্ভারের মেশিন কী চুরি এবং রিমোট কোড এক্সিকিউশনের সুযোগ তৈরি করে। হামলাকারীরা মাল্টি-ফ্যাক্টর অথেনটিকেশন (MFA) এবং সিঙ্গল সাইন-অন (SSO) বাইপাস করতে সক্ষম হয়েছে, যা ঝুঁকিকে আরও গুরুতর করে তুলেছে।

আই সিকিউরিটির প্রধান হ্যাকার ভাইশা বার্নার্ড জানিয়েছেন, এই হামলাগুলো নির্দিষ্ট লক্ষ্যবস্তুকে কেন্দ্র করে নয়, বরং যতটা সম্ভব সংস্থাকে আক্রমণ করার লক্ষ্যে পরিচালিত হচ্ছে। ৮,০০০টিরও বেশি শেয়ারপয়েন্ট সার্ভার স্ক্যান করে তারা অন্তত ৫০টি সফল আক্রমণ শনাক্ত করেছেন, যদিও প্রকৃত সংখ্যা আরও বেশি হতে পারে।

সিআইএসএ এবং মাইক্রোসফট নিম্নলিখিত পদক্ষেপের সুপারিশ দিয়েছে:

• শেয়ারপয়েন্ট সার্ভারে মাইক্রোসফট ডিফেন্ডার AV এবং AMSI সক্রিয় করা।

• ১৮-১৯ জুলাই, ২০২৫-এর মধ্যে IP ঠিকানা ১০৭.১৯১.৫৮.৭৬, ১০৪.২৩৮.১৫৯.১৪৯, এবং ৯৬.৯.১২৫.১৪৭ থেকে সন্দেহজনক কার্যকলাপ পর্যবেক্ষণ করা।

• ইন্ট্রুশন প্রিভেনশন সিস্টেম এবং ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) নিয়ম আপডেট করা।

• শেয়ারপয়েন্ট সার্ভার ২০১৬ এবং পুরোনো সংস্করণ ব্যবহারকারীদের জন্য ইন্টারনেট সংযোগ বিচ্ছিন্ন করা পর্যন্ত প্যাচ প্রকাশ না হয়।

এই হামলা মাইক্রোসফটের সাম্প্রতিক সাইবার নিরাপত্তা ব্যর্থতার একটি ধারাবাহিকতা। ২০২৩ সালে চীনা হ্যাকাররা মাইক্রোসফটের এক্সচেঞ্জ সার্ভারে হামলা চালিয়ে মার্কিন সরকারি কর্মকর্তাদের ইমেল অ্যাকাউন্টে প্রবেশ করেছিল। মাইক্রোসফটের সিইও সত্য নাদেলা গত বছর সাইবার নিরাপত্তাকে শীর্ষ অগ্রাধিকার হিসেবে ঘোষণা করেছেন, তবে এই ঘটনা কোম্পানির নিরাপত্তা ব্যবস্থার উপর নতুন করে প্রশ্ন তুলেছে।

এই হামলার প্রভাব বিশ্বব্যাপী ছড়িয়ে পড়ছে, এবং সংস্থাগুলোকে অবিলম্বে প্রতিরোধমূলক ব্যবস্থা নেওয়ার পরামর্শ দেওয়া হচ্ছে। মাইক্রোসফট এবং সিআইএসএ তদন্ত চালিয়ে যাচ্ছে এবং নতুন তথ্য প্রকাশের সঙ্গে সঙ্গে আপডেট প্রদান করবে।