পুরোনো সফটওয়্যারের আইফোনে হ্যাকিং টুলসের ঝুঁকি, ‘করুনা’ কিট নিয়ে সতর্কবার্তা

স্টাফ রিপোর্ট: PNN

পুরোনো সংস্করণের সফটওয়্যার চালিত আইফোনে অনুপ্রবেশ করতে সক্ষম শক্তিশালী এক সেট হ্যাকিং টুলস শনাক্ত করেছেন নিরাপত্তা গবেষকেরা। তাঁদের দাবি, ‘করুনা’ (Coruna) নামে পরিচিত এই এক্সপ্লয়েট কিটটি প্রথমে একটি সরকারি গ্রাহকের জন্য ব্যবহৃত হলেও পরবর্তীতে তা সাইবার অপরাধীদের হাতে পৌঁছে গেছে।

মঙ্গলবার Google জানায়, ২০২৫ সালের ফেব্রুয়ারিতে একটি নজরদারি সরঞ্জাম সরবরাহকারী প্রতিষ্ঠানের মাধ্যমে সরকার–সমর্থিত স্পাইওয়্যার হামলার চেষ্টার সময় তারা প্রথম ‘করুনা’ কিট শনাক্ত করে। কয়েক মাস পর একই টুল ইউক্রেনীয় ব্যবহারকারীদের লক্ষ্য করে রুশ গোয়েন্দা গোষ্ঠীর বৃহৎ অভিযানে ব্যবহৃত হতে দেখা যায়। পরে চীনে আর্থিকভাবে লাভবান হওয়ার উদ্দেশ্যে কাজ করা এক হ্যাকারও এটি ব্যবহার করেছে বলে গুগলের গবেষকেরা জানান।

কীভাবে এই টুলস ফাঁস হলো বা ছড়িয়ে পড়ল—তা স্পষ্ট নয়। তবে গুগল সতর্ক করে বলেছে, “সেকেন্ডহ্যান্ড এক্সপ্লয়েট”–এর একটি বাজার গড়ে উঠছে, যেখানে পুরোনো সরকারি হ্যাকিং সরঞ্জাম অর্থলোভী গোষ্ঠীর কাছে বিক্রি হচ্ছে।

মোবাইল নিরাপত্তা প্রতিষ্ঠান iVerify তাদের এক ব্লগপোস্টে জানায়, তারা ‘করুনা’ কিট সংগ্রহ ও রিভার্স ইঞ্জিনিয়ারিং করে এর সঙ্গে যুক্তরাষ্ট্র সরকারের পূর্বে ব্যবহৃত কিছু হ্যাকিং কাঠামোর মিল পেয়েছে। তবে প্রতিষ্ঠানটি বলেছে, উৎস যাই হোক না কেন, এ ধরনের টুল একবার ছড়িয়ে পড়লে তা নিয়ন্ত্রণের বাইরে চলে যায় এবং অপব্যবহারের ঝুঁকি তৈরি করে।

গুগলের তথ্য অনুযায়ী, ‘করুনা’ কিট অত্যন্ত শক্তিশালী। এটি একটি ক্ষতিকর ওয়েবসাইটে প্রবেশের মাধ্যমেই—যেমন প্রতারণামূলক লিংকে ক্লিক করলে—আইফোনের সুরক্ষা ব্যবস্থা ভেদ করতে পারে। এ ধরনের আক্রমণকে “ওয়াটারিং হোল” বলা হয়। কিটটি ২৩টি পৃথক দুর্বলতা একত্রে ব্যবহার করে পাঁচটি ভিন্ন উপায়ে আইফোনে প্রবেশ করতে সক্ষম। ঝুঁকিতে রয়েছে iOS 13 থেকে শুরু করে ১৭.২.১ সংস্করণ পর্যন্ত চালিত ডিভাইসগুলো, যা ২০২৩ সালের ডিসেম্বর পর্যন্ত প্রকাশিত হয়েছিল।

প্রযুক্তিবিষয়ক সাময়িকী Wired জানায়, ‘করুনা’ কিটে এমন কিছু উপাদান রয়েছে যা আগে ‘অপারেশন ট্রায়াঙ্গুলেশন’ নামে পরিচিত এক হ্যাকিং অভিযানে ব্যবহৃত হয়েছিল। রুশ সাইবার নিরাপত্তা প্রতিষ্ঠান Kaspersky ২০২৩ সালে দাবি করেছিল, যুক্তরাষ্ট্র সরকার তাদের কর্মীদের ব্যবহৃত কয়েকটি আইফোনে হ্যাকিংয়ের চেষ্টা চালায়।

হ্যাকিং টুলস ফাঁসের ঘটনা বিরল হলেও একেবারে নতুন নয়। ২০১৭ সালে National Security Agency–এর তৈরি উইন্ডোজে অনুপ্রবেশের একটি ব্যাকডোর ‘EternalBlue’ ফাঁস হয়ে যায়। পরবর্তীতে এটি ব্যবহার করে কুখ্যাত WannaCry র‍্যানসমওয়্যার হামলা চালানো হয়।

সম্প্রতি আরেক ঘটনায়, যুক্তরাষ্ট্রের প্রতিরক্ষা ঠিকাদার প্রতিষ্ঠানের সাবেক কর্মকর্তা পিটার উইলিয়ামস চুরি করে আটটি এক্সপ্লয়েট বিক্রির দায়ে সাত বছরের বেশি কারাদণ্ডে দণ্ডিত হন। প্রসিকিউটরদের দাবি, এসব টুল বিশ্বজুড়ে লাখো কম্পিউটার ও ডিভাইসে প্রবেশ করতে সক্ষম ছিল।

বিশেষজ্ঞরা বলছেন, সরকার–উদ্ভাবিত সাইবার সরঞ্জাম একবার ফাঁস হলে তা অপরাধচক্রের হাতে পৌঁছে যাওয়ার ঝুঁকি থেকে যায়। তাই সফটওয়্যার নিয়মিত হালনাগাদ রাখা এবং সন্দেহজনক লিংক এড়িয়ে চলাই ব্যবহারকারীদের জন্য প্রধান সুরক্ষা ব্যবস্থা।