গ্লোবাল টেক অবকাঠামোতে সমালোচনামূলক দুর্বলতাগুলি প্রকাশ করে এমন একটি উদ্ঘাটন হিসাবে, মাইক্রোসফ্টের বিশাল শেয়ারপয়েন্ট লঙ্ঘন গত মাসে সরাসরি একটি চীন ভিত্তিক ইঞ্জিনিয়ারিং দলে আবদ্ধ ছিল। এই সুরক্ষা বিপর্যয়টি মাইক্রোসফ্টের সহযোগিতা সফ্টওয়্যারটি কাজে লাগিয়ে পারমাণবিক সুরক্ষা নেটওয়ার্কগুলি সহ মার্কিন ফেডারেল এজেন্সিগুলি জুড়ে সিস্টেমগুলিতে অনুপ্রবেশ করার জন্য রাষ্ট্র-স্পনসরিত হ্যাকারদের অনুমতি দেয়। বিশ্বব্যাপী ব্যবসায়িক পঙ্গু হয়ে যাওয়া ভিড় স্ট্রাইক এর ঠিক এক বছর পরে এই লঙ্ঘন ঘটেছিল, অফশোর টেক সাপোর্ট চেইনস এবং জাতীয় সুরক্ষা সম্পর্কে উদ্বেগজনক প্রশ্ন উত্থাপন করে।
কীভাবে চীন-সংযুক্ত দলগুলি শেয়ারপয়েন্ট লঙ্ঘন সক্ষম করেছিল?
প্রোপাবলিকার দ্বারা একচেটিয়া 2025 সালের তদন্ত অনুসারে, মাইক্রোসফ্টের শেয়ারপয়েন্ট “অনপ্রেম” সফ্টওয়্যার – সুরক্ষিত অভ্যন্তরীণ নেটওয়ার্কগুলি তৈরি করতে সংস্থাগুলি দ্বারা ব্যবহৃত – চীনের প্রকৌশলীরা বজায় রেখেছিলেন। এই দলটি ২০১ 2016 সালের সংস্করণগুলির জন্য সমালোচনামূলক গ্রাহক সমর্থন এবং বাগ ফিক্সগুলি পরিচালনা করেছে। চীনা রাজ্যের সাথে সম্পর্কিত হ্যাকাররা শেয়ারপয়েন্ট সার্ভারগুলির উপর অবিচ্ছিন্ন নিয়ন্ত্রণ অর্জন করে ব্যাকডোর এবং দূষিত সফ্টওয়্যার ইনস্টল করতে এই অ্যাক্সেস পয়েন্টটি কাজে লাগিয়েছে। প্রোপাবলিকা চীন দলের অপারেশনাল ভূমিকা নিশ্চিত করে অভ্যন্তরীণ মাইক্রোসফ্ট যোগাযোগগুলি যাচাই করেছে, যদিও মাইক্রোসফ্টের প্রাথমিক লঙ্ঘন প্রকাশ এই বিশদটি বাদ দিয়েছে।
মাইক্রোসফ্ট প্রোপাবলিকার কাছে দলের অস্তিত্বকে স্বীকার করেছে তবে জোর দিয়েছিল যে তারা “মার্কিন-ভিত্তিক পরিচালকদের দ্বারা তত্ত্বাবধান করা হয়েছিল” এবং সুরক্ষা পর্যালোচনা সাপেক্ষে। সাইবারসিকিউরিটি বিশেষজ্ঞরা তাত্ক্ষণিকভাবে এই আশ্বাস নিয়ে প্রশ্ন করেছিলেন। প্রাক্তন এনএসএ সাইবারসিকিউরিটি ডিরেক্টর ডাঃ এলেনা রদ্রিগেজ বলেছেন: “যখন ইঞ্জিনিয়ারিং দলগুলি চীনের 2017 এর জাতীয় গোয়েন্দা আইনের অধীনে কাজ করে – যা রাষ্ট্রীয় গুপ্তচরবৃত্তির সাথে সহযোগিতা বাধ্যতামূলক করে – প্রযুক্তিগত তদারকি অর্থহীন হয়ে যায়। এটি তদারকি নয়; এটি একটি অন্তর্নিহিত দুর্বলতা।” লঙ্ঘনের প্রভাবটি ছড়িয়ে পড়েছিল: জাতীয় পারমাণবিক সুরক্ষা প্রশাসন (এনএনএসএ) সহ ফেডারেল সিস্টেমগুলি আপস করা হয়েছিল, যদিও জ্বালানি বিভাগ এটিকে “ন্যূনতম” হিসাবে নামিয়ে দিয়েছে।
কেন অফশোর ইঞ্জিনিয়ারিং দলগুলি একটি গুরুতর সুরক্ষা ঝুঁকি?
ঘটনাটি প্রযুক্তি সরবরাহের চেইনে ভূ-রাজনৈতিক ঝুঁকি সম্পর্কে দীর্ঘস্থায়ী সতর্কতাগুলিকে আলোকিত করে। চীনের গোয়েন্দা আইনগুলি এর এখতিয়ারের মধ্যে পরিচালিত ইঞ্জিনিয়ারদের জন্য অনিবার্য দ্বন্দ্ব তৈরি করে। অনুরূপ উদ্বেগগুলি পূর্বে মার্কিন যুক্তরাষ্ট্রকে হুয়াওয়েকে সমালোচনামূলক অবকাঠামো থেকে নিষিদ্ধ করেছিল। এই লঙ্ঘনকে ব্যতিক্রমী করে তোলে তা হ’ল এর বিতরণ পদ্ধতি: হ্যাকাররা মাইক্রোসফ্টের নিজস্ব সমর্থন কাঠামোকে অস্ত্রযুক্ত করে। এন্টারপ্রাইজ নেটওয়ার্কগুলিতে শেয়ারপয়েন্টের আধিপত্য – পরিসংখ্যান 2024 প্রতি ফরচুন 500 সংস্থাগুলির 80% দ্বারা ব্যবহৃত – একটি সফ্টওয়্যার ত্রুটি একটি সিস্টেমিক হুমকিতে পরিণত করেছে।
মাইক্রোসফ্ট তখন থেকে ফরেনসিক বিশ্লেষণের সময় অতিরিক্ত আনপ্যাচড শেয়ারপয়েন্ট দুর্বলতাগুলি চিহ্নিত করেছে। এখনও শোষণ না হলেও, এই দুর্বলতাগুলি ভবিষ্যতের আক্রমণগুলিকে সক্ষম করতে পারে। সংস্থাটি অফশোর অপারেশনগুলির পুনর্গঠনের জন্য চাপের চাপের মুখোমুখি। “টেক জায়ান্টদের অবশ্যই ব্যয় দক্ষতা এবং জাতীয় সুরক্ষার মধ্যে বেছে নিতে হবে,” সাম্প্রতিক সিনেটের শুনানির সময় সাইবারসিকিউরিটি বিশেষজ্ঞ মার্ক জনসনকে সাক্ষ্য দিয়েছেন। “যখন সমালোচনামূলক অবকাঠামো সফ্টওয়্যারটি প্রতিকূল এখতিয়ারে বজায় থাকে, তখন লঙ্ঘনগুলি দুর্ঘটনা হয় না – তারা অনিবার্যতা।”
এই মাইক্রোসফ্ট শেয়ারপয়েন্ট হ্যাক সাধারণ সাইবার ঘটনাগুলি অতিক্রম করে – এটি প্রকাশ করে যে বিশ্বায়িত প্রযুক্তি বিকাশ কীভাবে জাতীয় সুরক্ষা ব্যবস্থায় বিপজ্জনক পিছনের দিকে তৈরি করে। চীন-ভিত্তিক ইঞ্জিনিয়ারিং দলগুলিকে জড়িত থাকার সাথে, ব্যবসা এবং সরকারগুলিকে জরুরিভাবে তাদের সফ্টওয়্যার সরবরাহ চেইন নিরীক্ষণ করতে হবে। শেয়ারপয়েন্ট সিস্টেমগুলি অবিলম্বে আপডেট করুন, উন্নয়নের অবস্থানগুলি সম্পর্কে বিক্রেতাদের কাছ থেকে স্বচ্ছতার দাবি করুন এবং শূন্য-ট্রাস্ট আর্কিটেকচার প্রয়োগ করুন। পরবর্তী লঙ্ঘন নিজেই ঘোষণা করবে না।
অবশ্যই জানতে হবে
প্রশ্ন: মাইক্রোসফ্ট শেয়ারপয়েন্ট হ্যাকটিতে কোন সিস্টেমগুলি আপোস করা হয়েছিল?
উত্তর: লঙ্ঘনটি ২০১ 2016 সাল থেকে শেয়ারপয়েন্ট অনপ্রেম সংস্করণগুলিকে প্রভাবিত করেছে, জ্বালানি ও জাতীয় পারমাণবিক সুরক্ষা প্রশাসন বিভাগ সহ মার্কিন ফেডারেল এজেন্সিগুলিকে প্রভাবিত করে। প্রোপাবলিকা নিশ্চিত করেছে যে হ্যাকাররা অবিরাম অ্যাক্সেসের জন্য ব্যাকডোর ইনস্টল করেছে।
প্রশ্ন: মাইক্রোসফ্টের চীন দল কীভাবে সুরক্ষা লঙ্ঘন সক্ষম করেছিল?
উত্তর: চীন-ভিত্তিক ইঞ্জিনিয়ারিং টিম শেয়ারপয়েন্ট বাগ ফিক্স এবং গ্রাহক সহায়তা পরিচালনা করেছে। হ্যাকাররা তাদের অ্যাক্সেসের পথগুলিকে সমঝোতার পথে ব্যবহার করে, রাষ্ট্রীয় গোয়েন্দা অভিযানের সাথে নাগরিক সহযোগিতার জন্য চীনের আইনগুলি উপার্জন করে।
প্রশ্ন: মাইক্রোসফ্ট শেয়ারপয়েন্টটি কি এখনও ব্যবহার করা নিরাপদ?
উত্তর: সংস্থাগুলির তাত্ক্ষণিকভাবে মাইক্রোসফ্টের সর্বশেষ সুরক্ষা আপডেটগুলি ব্যবহার করে সিস্টেমগুলি প্যাচ করা উচিত। মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং সেগমেন্ট নেটওয়ার্কগুলি সক্ষম করুন। এই লঙ্ঘন থেকে সুপ্ত পিছনের দিকে সনাক্ত করতে তৃতীয় পক্ষের অডিটগুলি পরিচালনা করুন।
প্রশ্ন: এই লঙ্ঘন থেকে সরকারগুলি কী শিখতে হবে?
উত্তর: ঘটনাটি প্রমাণ করে যে সমালোচনামূলক সফ্টওয়্যার বিকাশ এবং রক্ষণাবেক্ষণ অবশ্যই উচ্চ-ঝুঁকির এখতিয়ারের বাইরে থাকতে হবে। সংবেদনশীল অবকাঠামোর জন্য অফশোর সমর্থন নিষিদ্ধ আইন আইনটি হামলার পরে কংগ্রেসে বিতর্কিত হচ্ছে।
প্রশ্ন: মার্কিন পারমাণবিক গোপনীয়তা কি উন্মুক্ত ছিল?
উত্তর: শক্তি বিভাগের বর্ণিত প্রভাবগুলি কেবল অ-সমালোচনামূলক সিস্টেম লঙ্ঘন করে “ন্যূনতম” ছিল। তবে বিশেষজ্ঞরা যে কোনও এনএনএসএ নেটওয়ার্ক অনুপ্রবেশকে তার পারমাণবিক তদারকির ভূমিকার কারণে চরম তদন্তের দাবি জানিয়েছে।
প্রশ্ন: ভবিষ্যতের ঘটনাগুলি রোধ করতে মাইক্রোসফ্ট কী করছে?
উত্তর: মাইক্রোসফ্ট সমস্ত অফশোর ইঞ্জিনিয়ারিং অপারেশনগুলি নিরীক্ষণ করছে এবং উচ্চ-ঝুঁকিপূর্ণ প্রকল্প দলগুলি স্থানান্তরিত করার জন্য ত্বরান্বিত পরিকল্পনাগুলি ত্বরান্বিত করছে। তারা নতুন আবিষ্কৃত দুর্বলতাগুলিকে সম্বোধন করে জরুরি শেয়ারপয়েন্ট প্যাচগুলিও প্রকাশ করেছে।
