प्रधानमन्त्री कार्यालयको ईमेल ह्याक गरी सरकारी डिभाइसमा मालवेयर फैलाइएको दाबी
मंसिर ८, २०८० २०:५१
काठमाडौं । प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालयका कर्मचारीको ईमेल ह्याक गरी भारतीय ह्याकर समूहले सरकारी डिभाइसमा मालवेयर फैलाएको दाबी भैरव टेक्नोलोजीले गरेको छ । नेपाली साइबर सुरक्षा कम्पनी भैरब टेक्नोलोजीले शुक्रवार एक अनुसन्धान रिपोर्ट सार्वजनिक गर्दै एड्भान्स्ड पर्सिस्टेन्ट थ्रेट (एपीटी) साइडवाइन्डर ह्याकर समूहले कर्मचारीको ईमेल तथा सिस्टम ह्याक गरी मालवेयर फैलाएको दाबी गरेको हो ।
कम्पनीका अनुसार सो रिपोर्ट कम्पनीका तीन जना साइबर सुरक्षा विश्लेषकले चार दिनसम्म अनुसन्धान गरेर सार्वजनिक गरेका हुन् । उक्त टिमलाई भैरव टेक्नोलोजीका प्रमुख कार्यकारी अधिकृत (सीईओ) एवं साइबर सुरक्षा जानकार विजय लिम्बुले नेतृत्व गरेका थिए । सो रिपोर्टबारे चर्चा गर्दै लिम्बुले आफूलाई एक अन्तर्राष्ट्रिय इन्टेलिजेन्स रिसर्चरले डकुमेन्ट उपलब्ध गराएपछि अनुसन्धान सुरु गरेको बताए ।
“एक अन्तर्राष्ट्रिय इन्टेलिजेन्स रिसर्चरबाट हामीले सबैभन्दा पहिले एउटा मालिसियस डकुमेन्ट प्राप्त गर्यौं,” लिम्बुले भने, “यो तिमीहरूको देशको डकुेमेन्ट जस्तो छ भनेर उहाँले हामीलाई नोभेम्बर १९ मा डकुमेन्ट उपलब्ध गराउनु भयो । त्यसपछि हामीले उक्त डकुमेन्ट विश्लेषण गर्न थाल्यौं ।”
डकुमेन्ट प्राप्त भएपछि आफ्नो टिमले उक्त डकुमेन्टले कुनकुन सर्भरसँग सम्पर्क गरिरहेको छ भन्ने विश्लेषण गरेको उनी सुनाउँछन् । अनुसन्धानका क्रममा सो टिमले ह्याकर ग्रुपले प्रयोग गरेको कमान्ड एन्ड कन्ट्रोल सेन्टर फेला पार्यो ।
लिम्बुले अगाडि भने, “त्यो विशेषतः म्याक्रो इनेबल्ड डकुमेन्ट हो । म्याक्रो इनेबल्ड डकुमेन्ट भनेको जोकोहीले त्यो डकुमेन्ट खोलेर म्याक्रो क्लिक गर्छ । त्यसमा क्लिक गर्ने बित्तिकै केही स्क्रिप्ट सिस्टममा डाउनलोड हुन्छ । डाउनलोड गरिसकेपछि त्यसले क्रिमिनलको अर्को सर्भरबाट ब्याकडोर इन्स्टल गर्छ ।”
ब्याकडोर इन्स्टल हुने बित्तिकै उक्त कम्प्युटर वा ल्यापटप पूर्ण रूपमा ह्याकरको नियन्त्रणमा जान्छ । यो विशेषगरी विन्डोज पीसीका लागि टार्गेट गरेर बनाइएको मालवेयर भएको रिपोर्टमा उल्लेख छ ।
पीसी कम्प्रोमाइज हुने बित्तिकै त्यसले कम्प्युटरलाई कमान्ड एन्ड कन्ट्रोल सेन्टरसँग जोड्छ । त्यसपछि कमान्ड एन्ड कन्ट्रोल सेन्टरले त्यही कम्प्युटरको डेटा ह्याकरलाई पठाइदिन्छ ।
“यसले क्यामेरा क्याप्चर गर्ने हो कि, भ्वाइस क्याप्चर गर्ने हो वा त्यहाँ भएको डेटा लगेर जाने हो, त्यो सबै चिज गर्छ,” लिम्बुले सुनाए ।
सो टिमले विश्लेषणका क्रममा प्राप्त कागजातबाट प्रधानमन्त्री तथा मन्त्रिपरिषद्को कार्यालय, परराष्ट्र मन्त्रालय, सार्वजनिक खरिद अनुगमनको कार्यालय (PPMO), सङ्घीय संसद र राष्ट्रिय सूचना प्रविधि केन्द्रलाई लक्षित रहेको दाबी गरेको छ ।
कसरी भयो सम्भव ?
लिम्बुका अनुसार सबैभन्दा पहिले एपीटी साइडवाइन्डरले सबैभन्दा पहिले प्रधानमन्त्रीको सचिवालयका कर्मचारीको सिस्टम अथवा ईमेल कम्प्रोमाइज गरेको छ । त्यसपछि मालिसियस डकुमेन्ट बनाउन निजी डेटा प्रयोग भएको छ ।
“त्यो निजी डेटा लगेर मालवेयर युक्त डकुमेन्ट बनाएर त्यसलाई साइबर हतियारका रूपमा उक्त ह्याकर समूहले प्रयोग गरेको छ,” लिम्बुले भने, “त्यही डकुमेन्टलाई ईमेल मार्फत राष्ट्रिय सूचना प्रविधि केन्द्रका अधिकारी, सङ्घीय संसद्का सांसद तथा कर्मचारी, प्रधानमन्त्री तथा मन्त्रीपरिषद् कार्यालयका कर्मचारीलाई पठाएइको अनुमान लगाउन सकिन्छ । किनभने त्यो डेटा चोरियो भने पक्कै पनि ईमेल एड्रेसहरू चोरी भएका छन् ।”
लिम्बुका अनुसार जुन डकुमेन्ट भैरव टेक्नोलोजीले प्राप्त गरेको छ, त्यो डकुमेन्ट प्रधानमन्त्रीको सुरक्षा र आगामी योजनासँग सम्बन्धित छ । यस्तो पत्र सम्बन्धित निकाय बाहेक बाहिर आउँदैन ।
“यदि राम्रो किसिमको एन्टी मालवेयर र अलिकति राम्रो ईमेल सेक्युरिटी गेटवे प्रयोग गरिएको छ भने कर्मचारी एवम् सरकारी डिभाइस जोगिएका छन्,” उनी भन्छन्, “तर, त्यस्तो थिएन भने सबै डिभाइसमा मालवेयर इन्स्टल भइसकेको छ ।”
कहिलेदेखि यो समूहले नेपालका सरकारी निकायलाई निशानामा पार्यो ? भैरव टेक्नोलोजीले गरेको अनुसन्धानका क्रममा उक्त ह्याकरको समूहले सरकारी निकायलाई १५ सेप्टेम्बरदेखि १८ नोभेम्बरसम्म करिब दुई महिना लगाएर अभियान नै सञ्चालन गरेको देखिन्छ ।
“यो दौरान उनीहरूले मालवेयर फैलाएका छन्,” उनले भने, “यो एक दुई महिनाको अवधिमा उनीहरूको टार्गेट पूरा हुन्छ । त्यसपछि आफ्नो सबै पूर्वाधार डाउन गर्छन् ।”
यसबीच उक्त ह्याकर समूहले विभिन्न सङ्घ संस्थालाई लक्षित गरेर कति कम्प्रोमाइज गर्न सफल भयो, त्यसको लेखाजोखा अहिलेसम्म हुन सकेको छैन ।
कति छ जोखिम ?
“हाम्रो टिमले उक्त ह्याकर समूहले चारपाँच ओटा निकायलाई निसानामा पारेको फेला पार्यो,” उनले थपे, “त्यस बाहेक अन्य कुन कुन निकायलाई निशानामा पारिएको थियो भन्ने कुराको लेखाजोखा छैन । जहाँजहाँ यो मालवेयर फैलिएको छ, त्यो मालवेयर फैलिएको सिस्टममा मालवेयरले निगरानी गरिरहेको जस्तो देखिन्छ ।”
यस्तो हुँदा मालवेयर इन्स्टल भएको कम्प्युटरमा के कस्ता डेटा छन्, कसले के बोलेको छ, कहाँ कुन डकुमेन्ट पठाएको छ, कति गोप्य निर्णय भएका छन्, जे डेटा छन्, सबै ह्याकरको पहुँचमा पुगेको लिम्बुको दाबी छ । उनले भने, “हामीले तयार पारेको रिपोर्ट साइबर जासुसको आक्रमण सम्बन्धी रिपोर्ट हो ।”
रिपोर्टमा उल्लेख भएका विभिन्न आईपी एड्रेस तथा डोमेनहरू ह्याकरले आफ्नो अभियान चलाउन प्रयोग गरेको लिम्बुको भनाइ छ । “त्यो सबै कमान्ड एन्ड कन्ट्रोल सेन्टरको सर्भर हो । कतिपय मालवेयर फैलाउनका लागि प्रयोग गरिएका छन्, यी सबै साइबर आक्रमणकारीले प्रयोग गरेका सर्भर र इन्फास्टक्चर हुन्,” उनले अगाडि भने, “हामीले रिपोर्टमा त्यो डोमेन राख्नुको कारण सो आईपी एड्रेस वा ह्याशफाइल सर्च गरेर आफू पीडित हो कि होइन भन्ने पत्ता लगाउन सकून् भनेरै हो ।”
अनुसन्धानका क्रममा उनीहरूले आफूलाई प्राप्त डकुमेन्ट भाइरस टोटलमा परीक्षण गरेका थिए । त्यस क्रममा उक्त डकुमेन्टमा मालवेयरको कति छ, त्यसको प्रकृति कस्तो छ भन्ने पत्ता लागेको उनले सुनाए । भाइरस टोटलमा पनि सो डकुमेन्ट मालवेयरले भरिएको देखिएको छ ।
विश्लेषक लिम्बुका अनुसार कसैले यो ईमेल खोलेको छ भने मालवेयर सबैभन्दा पहिले उसको डिभाइसमा इन्स्टल हुन्छ । त्यसपछि उसको कन्ट्याक्टमा भएका सबै ईमेलमा मालवेयर सहितको डकुमेन्ट जान्छ । यसरी यो मालवेयर चेन इफेक्टका रूपमा फैलिने उनको तर्क छ ।
सङ्क्रमित डिभाइसलाई कसरी सुरक्षित राख्न सकिन्छ ?
मालवेयरबाट सङ्क्रमित डिभाइसलाई सुरक्षित र भाइरसमुक्त राख्न डिजिटल फरेन्सिक टेस्ट गर्नुपर्ने लिम्बुको भनाइ छ । उनका अनुसार जति पनि शङ्कास्पद संस्था छन्, ती सबै डिजिटल फरेन्सिकमा जानुपर्छ ।
“डिजिटल फरेन्सिकमा गइसकेपछि सिस्टमको ब्याकडोरको फुटप्रिन्ट छ कि छैन, पहिचान गर्नुपर्ने हुन्छ,” उनले भने, “नेटवर्क मनिटरिङ गरेर मालिसियस कम्युनिकेसन भएको छ कि छैन पत्ता लगाउनु पर्छ । यी कुरा पत्ता लगाइसकेपछि त्यो क्लिनअपको प्रक्रियामा जान्छ । कतिपय अवस्थामा सिस्टम नै डिस्पोजल गर्नुपर्ने समेत हुन्छ ।”
त्यस्तै यो अवस्थामा इम्प्याक्ट एनालाइसिस (प्रभाव विश्लेषण) गर्नु पनि उत्तिकै आवश्यक हुने लिम्बुको भनाइ छ । उनले अगाडि भने, “यसबाट सरकारको कस्तो किसिमको डेटा गएको छ ? यस्तो डेटा अर्को पक्षले पायो भने त्यसबाट के कस्तो खालको जोखिम सिर्जना हुन्छ ? यी कुराको लेखाजोखा गर्नुपर्छ । अन्तिममा त्यही अनुसारको रेस्पोन्स प्लान बनाउनुपर्छ ।”
भोलिका दिनमा यस्तो समस्या आए ती समस्यासँग कसरी जुध्ने भन्ने कुराका लागि उपयुक्त नीति नियम बनाउन समेत आवश्यक रहेको उनको सुझाव छ । “अर्को पटक यस्तै किसिमको आक्रमण भएमा हाम्रा सरकारी कार्यालयको सिस्टमले त्यस्ता आक्रमणलाई निरुत्साहित गर्न सक्छ कि सक्दैन ? त्यही अनुसारको जोखिम न्यूनीकरण योजनाहरू ल्याउनुपर्छ,” उनले भने, “सबैभन्दा महत्त्वपूर्ण कुरा यस्ता आक्रमणबाट जोगिन सरकारी कार्यालयमा सचेतना अभियान चलाउनु पर्छ ।”
यो ह्याकर समूहले सरकारी निकायका डिभाइसमा मालवेयर फैलाउनुका पछाडि दुई ओटा कमजोरी भएको भैरव टेक्नोलोजीको अनुसन्धानले देखाएको छ । रिपोर्ट अनुसार सबैभन्दा पहिले यसमा मानवीय कमजोरी छ ।
“यसमा मानिस सचेत नहुँदा सिस्टम ह्याकरको कब्जामा गएको र त्यसैबाट समस्या उत्पन्न भएको देखिन्छ,” उनले भने, “फिशिङ लिङ्क तथा मालिसियस अट्याचमेन्ट नचिनेर खोल्दा मालवेयर इन्स्टल भएको देखिन्छ । साइबर सुरक्षा सचेतनाको अभावले गर्दा यस्तो भएको हुन सक्छ ।”
कहिलेकाहीं मानिसबाट कमजोरी हुन्छ । विशेषगरी आधिकारिक माध्यमबाटै ईमेल वा अन्य किसिमका लिङ्क आएको समयमा मान्छेले साइबर सुरक्षाको दृष्टिकोणबाट ती लिङ्क तथा ईमेल गम्भीरता पूर्वक लिन सक्दैन ।
जसले गर्दा ईमेलमार्फत डिभाइसमा भाइरस तथा मालवेयर इन्स्टल हुन पुग्छ । तर, यस्तोमा सरकारी संयन्त्र कडा हुनुपर्ने लिम्बुको भनाइ छ । उनले भने, “हो कहिलेकाहीं मान्छेबाट गल्ती हुन्छ । तर, गल्ती गर्दा गर्दै पनि त्यसलाई रोक्न सक्ने प्रविधिको प्रयोग गर्न नसक्नु सरकारको कमजोरी हो । जुन किसिमको ईमेल सेक्युरिटी गेटवे छ, एन्टी मालवेयरको कुरा छ, उचित सेक्युरिटी मनिटरिङको कुरा छ, थ्रेट इन्टेलिजेन्सका कार्यक्रम छन्, ती प्रभावकारी रूपमा अगाडि नबढाइएको देखिन्छ ।”
नेपालमा यो समूहले यसअघि चार पटकसम्म साइबर स्पियर मालवेयर अट्याक गरिसकेको लिम्बुको दाबी छ । विभिन्न समयमा यो समूहले नेपाली सेना, नेपाल प्रहरी लगायत सरकारका विभिन्न निकायलाई लक्षित गरेको उनले सुनाए ।
“हामीले यसभन्दा पहिले करिब दुई वर्षअघि पनि अनुसन्धान गर्दा फिशिङ लिङ्कबाट आक्रमण भएको पाएका थियौं,” उनले भने, “तर यस पटक भने मालवेयर बनाएर डकुमेन्ट फैलाएको हाम्रो अनुसन्धानमा देखिन्छ ।”
यसरी उक्त ह्याकर समूहले मालवेयर समावेश गरेर सरकारी निकायलाई निशानामा पारेको घटना भने यो नै पहिलो भएको लिम्बु सुनाउँछन् ।
“सरकारी निकायको केन्द्रीय संस्था छैन, जसले यस्तो किसिमका साइबर सुरक्षाका जोखिमलाई नियमन गरोस्,” लिम्बु भन्छन्, “मलाई हाम्रो देशमा यस्ता कुरा प्रभावकारी रूपमा नियमन हुन्छन् जस्तो नै लाग्दैन । जस्तो बैंकलाई हेर्ने नियमनकारी निकाय राष्ट्र बैंक छ, इन्टरनेट सेवा प्रदायक कम्पनी तथा टेलिकम कम्पनीलाई नियमन गर्ने नेपाल दूरसञ्चार प्राधिकरण छ । तर, सरकारी निकायलाई साइबर सुरक्षाका दृष्टिले नियमन गर्ने नियमनकारी निकाय कुन हो प्रस्ट छैन ।”
सरकारको सबै साइबर सुरक्षा सम्बन्धी विनियमावली (Byelaw) कार्यान्वयन गराउने र त्यसको अनुगमन गर्ने स्पष्ट निकाय नभएको उनले सुनाए । “हुन त एनपीसर्ट (NPCERT-इन्फरमेसन सेक्युरिटी रेस्पोन्स टिम नेपाल) छ । तर मलाई लागेको हाम्रो देशका लागि साइबर सुरक्षा नियम नै ल्याउनुपर्छ,” उनी भन्छन्, “त्यसमा यो संस्था साइबर सुरक्षा नियमन गर्ने नियमनकारी निकाय हो भन्ने तोकिनुपर्छ । ताकि त्यही निकायले सम्पूर्ण तवरबाट नियमनको काम गर्न सकोस् ।”
यस किसिमको नियम नहुँदा साइबर सुरक्षा सम्बन्धी जोखिम बढ्दै गएको लिम्बुको बुझाई छ । यो घटनाले केन्द्रीय रूपमा साइबर सुरक्षा नियमन गर्ने निकाय र त्यससँग सम्बन्धित नियम आवश्यक परेको देखाएको उनले सुनाए ।
अब सरकारले थ्रेट इन्टेलिजेन्स कार्याक्रम सुरु गर्नुपर्ने लिम्बुको सुझाव छ । “यसले गर्दा विभिन्न समयमा भइरहने साइबर आक्रमण र बाहिरबाट हुने साइबर आक्रमणलाई समयमै रेस्पोन्स गर्न सकिन्छ,” उनले भने ।
एउटा साधारण कर्मचारीको गल्तीले गर्दा देशको सूचना तथा प्रविधि प्रणाली नै जोखिममा परेको र साइबर सुरक्षा संयन्त्रमाथि प्रश्न खडा भएको अवस्था छ । त्यसका लागि सरकारले प्रभावकारी रूपमा साइबर सुरक्षासम्बन्धी सचेतना फैलाउनुपर्ने लिम्बुको धारणा छ । त्यस्तै तत्कालै सरकारी निकायका लागि साइबर सुरक्षा नियम ल्याउन समेत लिम्बुले सुझाव दिए ।
के हो एड्भान्ड पर्सिस्टेन्ट थ्रेट (एपीटी) साइडवाइन्डर ग्रुप ?
र्याटलस्नेक, हार्डकोर नेसनालिस्ट (एचएनटु), एपीटी क्यूफोर, रेजर टाइगर, एपीटी क्यू ३९, बेबी इलिफेन्ट, ग्रुप ए २१ नामबाट परिचित एपीटी साइडवाइन्डर एक परिष्कृत साइबर जासुसी समूह हो, जो भारतबाट जन्मिएको मानिन्छ ।
उनीहरूहरूले सन् २०१२ देखि एसिया-प्रशान्त क्षेत्रका सरकारी सङ्गठन, सैन्य संस्था र व्यवसायलाई सक्रिय रूपमा लक्षित गर्दै आएका छन् । यो समूहको प्राथमिक उद्देश्य भनेको क्रिप्टो, दूरसञ्चार, स्वास्थ्य, शिक्षा, राजनीति, सैन्य, तथा आर्थिक खुफिया सहित संवेदनशील जानकारी चोरी गर्नु रहेको विभिन्न अन्तर्राष्ट्रिय सञ्चार माध्यमले उल्लेख गरेका छन् ।
साइडवाइन्डर विशेषगरी स्पियर-फिसिङ आक्रमण गर्ने मामिलामा परिचित छ । यो समूहले विशेषगरी मालिसियस (दुर्भावनापूर्ण) अट्याचमेन्ट तथा लिङ्कहरू समावेश गरिएका लक्षित ईमेलहरू पठाउने गर्छ ।
जुन ईमेल यसरी डिजाइन गरिएका हुन्छन् कि पाउने व्यक्ति वा संस्था यस्ता लिङ्क वा अट्याचमेन्ट क्लिक गर्न पुग्छन् । जसले गर्दा उनीहरूको कम्प्युटरमा मालवेयर इन्स्टल हुन्छ ।
एक पटक मालवेयर इन्स्टल भएपछि, त्यसले संवेदनशील डेटा चोरी गर्न सक्छ, प्रापकको अनलाइन गतिविधि ट्रयाक गर्न सक्छ र उनीहरूको कम्प्युटरलाई नै नियन्त्रणमा लिन सक्छ ।
यो समूहले दक्षिण एसियाका विभिन्न राष्ट्र जस्तै बङ्गलादेश, पाकिस्तान, अफगानस्तान, चीन, फिलिपिन्स, श्रीलंका, भुटान, म्यानमार, सिङ्गापुर, मलेसिया, मध्यपूर्वमा कतार जस्ता देशलाई साइबर आक्रमण गरेको लिम्बुको भनाइ छ ।
यस्तो छ सरकारको प्रतिक्रिया
राष्ट्रिय सूचना प्रविधि केन्द्रका कार्यकारी निर्देशक प्रदीप पौडेलका अनुसार उक्त ईमेल स्पाम मात्र हो । उनले टेकपानासँग भने, ““मैले प्रधानमन्त्री कार्यालयको आईटी टिमलाई सोधेको थिएँ, त्यस्तो केही होइन भन्ने कुरा आएको छ । स्पाम ईमेल आउनु सामान्य हो ।”
सरकारी निकायका कम्प्युटरमा स्तरीय सुरक्षाका तरिकाको रूपमा फायरवाल राखिएकाले खतरनाक मालवेयरसहितका ईमेल आउने सम्भावना कम भएको पौडेलको दाबी छ । “मैले भैरव टेक्नोलोजीले उपलब्ध गराएको रिपोर्ट पनि अध्ययन गरेको थिएँ,” पौडेलले भने, “त्यसमा स्पाम ईमेल आयो, ईमेलमा कसले क्लिक गरे भन्ने मात्र कुरा भेटिएको भनिएको छ । त्यस्ता ईमेल प्रत्येक सेकेन्ड सेकेन्डमा आउँछन् ।”
सरकारी कार्यालयका डिभाइसमा मालवेयर फैलिएको भन्ने भैरव टेक्नोलोजीको दाबी झुटो भएको पौडेलको भनाइ छ । कार्यालयमा कुनै पनि ईमेलको आधिकारिकता प्रमाणित नभएसम्म क्लिक नगर्न सुझाव दिइएको पनी उनले सुनाए ।
“हाम्रोमा त्यस्तो केही आएको छैन । हाम्रा प्राविधिकलाई पनि मैंले सोधिसकें । कुनै मालवेयर आएर सिस्टममा समस्या ल्याएको छैन,” उनले भने ।
स्पाम ईमेल जसलाई पनि आउने भन्दै पौडेलले त्यस्ता ईमेल आउँदा विशेष सतर्कता अपनाउने गरिएको बताए । “हाम्रो ईमेल गेटवेका लागि अत्याधुनिक सिस्टम तयार पारेका छौं,” उनले भने, “त्यस्ता लिङ्क क्लिक गर्नु भनेको ईमेल स्वतः ब्लक हुनु हो ।”
पछिल्लो अध्यावधिक: मंसिर ९, २०८० १८:०
