ई-जीपी प्रणाली ह्याक गरी अर्बौंका सरकारी ठेक्कामा चलखेल, क्रिप्टोमार्फत हुन्थ्यो घुस लेनदेन
बैशाख २९, २०८३ १४:२७
काठमाडौँ । सार्वजनिक खरिद अनुगमन कार्यालय (पीपीएमओ) को विद्युतीय खरिद प्रणाली (ई-जीपी सिस्टम) ह्याक गरी अर्बौंका ठेक्कामा चलखेल भएको घटनाले देशको डिजिटल सुरक्षा संयन्त्रमाथि गम्भीर प्रश्न उब्जाएको छ । बोलपत्र पेस गर्ने अन्तिम समय सकिएपछि पनि प्रणालीमा अनधिकृत पहुँच बनाएर ठेक्काको रकम र छुट प्रतिशतमा फेरबदल गरिएको पाइएपछि यो घटना सतहमा आएको हो ।
यस घटनामा सरकारी कर्मचारी, निर्माण व्यवसायी र बिचौलियाको संगठित गिरोह संलग्न रहेको निष्कर्षसहित नेपाल प्रहरीले अनुसन्धान पूरा गरेको छ । सोही अनुसन्धानका आधारमा सरकारी वकिलको कार्यालय काठमाडौँले शुक्रबार काठमाडौँ जिल्ला अदालतमा अभियोगपत्र दायर गरेको छ । पूर्वमन्त्री एवं निर्माण व्यवसायी विक्रम पाण्डे, निर्माण व्यवसायी ७० वर्षीय ऋषिकेश गौली र सरकारी कर्मचारी दिवाकर देउजासहित २२ जनालाई प्रतिवादी बनाइएको छ । सोमबार न्यायाधीश चुनाराम खड्काको इजलासले यो मुद्दालाई ‘हेर्दाहेर्दै’ मा राखेको थियो
के हो घटना अनि कसरी सतहमा आयो ?
ई-जीपी प्रणालीको सर्भर व्यवस्थापनको जिम्मेवारी पाएको कम्पनी आईएमएस सफ्टवेयर प्रालिले आफ्नो क्लाउड सर्भरमा अनधिकृत पहुँच भएको भन्दै प्रहरीमा उजुरी दिएपछि यो घटना सार्वजनिक भएको थियो । कम्पनीका प्रशासन तथा लेखावित्त प्रमुख केशव अर्यालले २८ माघ २०८२ मा साइबर ब्युरोमा जाहेरी दिँदै ‘डेटा हब प्रालि’ को क्लाउड सर्भरमा प्रोजेक्ट टेस्टिङका लागि लिइएको भीपीएस सर्भरमा अनधिकृत प्रवेश गरी शंकास्पद गतिविधि गरिएको दाबी गरेका थिए । जाहेरीमा आक्रमणकारीले प्रयोग गरेका विभिन्न आईपी एड्रेस र स्क्रिनसटहरू प्रमाणका रूपमा पेस गरिएको थियो ।
प्रहरीको प्रारम्भिक अनुसन्धान र प्राविधिक विश्लेषणबाट आक्रमणकारीले ‘रिमोट डेस्कटप प्रोटोकल’ र ‘भर्चुअल प्राइभेट नेटवर्क’ (भीपीएन) को प्रयोग गरी सर्भरमा प्रवेश गरेको पत्ता लाग्यो । उनीहरूले डेटाबेसमा रहेको ‘वेब युजर्स’ नामक टेबलमा हेरफेर गरी आफूलाई एडमिनको रूपमा स्थापित गराएका थिए । त्यसपछि पीपीएमओको सर्भरमा प्रवेश गरी विभिन्न ठेक्काको ‘फाइनान्सियल रेस्पोन्स डकुमेन्ट’ अर्थात् आर्थिक प्रस्तावलाई बोलपत्र पेश गर्ने म्याद सकिएपछि पनि परिवर्तन गरेको पाइयो । अनुसन्धान अघि बढ्दै जाँदा उक्त अनधिकृत पहुँच पुर्याउन प्रयोग भएको इन्टरनेट नेपाल टेलिकमको रहेको र उक्त इन्टरनेट जडान भएको धनकुटास्थित घरमा ‘सघन शहरी तथा भवन निर्माण आयोजना’ (पीडियुबीसी) मा कार्यरत कम्प्युटर अपरेटर दिवाकर देउजा बस्ने गरेको तथ्य बाहिर आएको थियो ।
साइबर आक्रमणको शैली र क्रिप्टोकरेन्सीको प्रयोग
प्रहरी अनुसन्धानका अनुसार यस घटनामा प्रविधिको उच्च दुरुपयोग गर्दै ठेकेदारलाई प्रलोभनमा पार्ने र बैंकिङ प्रणालीबाट बच्न अभौतिक मुद्रा (क्रिप्टोकरेन्सी) को प्रयोग गरिएको थियो । ह्याकरको समूहले प्रणालीमा पहुँच बनाएपछि एउटा छद्म ईमेल एड्रेस ‘लिम्बुजीवन डट सान्स एट जिमेल डटकम’ र ‘९८२८८६१५५६’ नम्बरको ह्वाट्सएप खडा गरेका थिए । उनीहरूले विभिन्न निर्माण व्यवसायीलाई सम्पर्क गर्दै आफूलाई पीपीएमओको कर्मचारी ‘जीवन लिम्बु’ का रूपमा चिनाउने गर्थे । उनीहरूले ठेकेदारलाई सम्पर्क गरी ठेक्का दोस्रो वा तेस्रो स्थानमा रहेको र आफूले भित्रबाट रकम मिलाएर ठेक्का पारिदिन सक्ने भन्दै बार्गेनिङ गर्ने गरेका थिए।
रकमको लेनदेन बैंकिङ प्रणालीबाट गर्दा अनुसन्धानको दायरामा परिने डरले उनीहरूले बिटकोइनको प्रयोग गरेको अभियोगपत्रमा उल्लेख छ । उदाहरणका लागि ‘सोली थुम्का निर्माण सेवाका सञ्चालक’ सञ्जय भट्टले आफ्नो ठेक्का पार्नका लागि ‘जीवन लिम्बु’ भनिने व्यक्तिलाई २३ लाख रुपैयाँ बराबरको बिटकोइन पठाएको अनुसन्धानबाट खुलेको छ । उक्त रकम सञ्जय भट्टका साला नाता पर्ने भाष्करराज अर्यालमार्फत अमेरिकामा रहेका पारस रत्न तुलाधर धाख्वालाई सम्पर्क गरी डलरमा रूपान्तरण गरेर ह्याकरको बिटकोइन वालेटमा जम्मा गरिएको थियो । सो बराबरको नेपाली रुपैयाँ भने धाख्वाकी आमालाई नेपालमै बैंकमार्फत भुक्तानी गरिएको थियो । अनुसन्धानमा ह्याकरले प्रयोग गरेको मोबाइल नम्बर भरत धामी नामक व्यक्तिको नाममा दर्ता रहेको पाइएको थियो ।
मुख्य प्रतिवादी दिवाकर देउजाको बयान
मुख्य प्राविधिक योजनाकार मानिएका कम्प्युटर अपरेटर दिवाकर देउजाले भने आरोप अस्वीकार गरेका छन् । उनले प्रहरीसमक्ष दिएको बयानमा आफूलाई सामान्य प्राविधिक ज्ञान मात्र रहेको र सर्भर ह्याक गर्ने क्षमता नभएको दाबी गरेका छन् ।
देउजाले भनेका छन्, “म २०७६ देखि धनकुटा शाखामा कार्यरत छु । मैले कार्यालयको ल्यापटप कार्यालयमै बुझाएको छु । आईएमएसको सर्भरमा मैले अनधिकृत पहुँच पुर्याएको छैन । मलाई प्रोग्रामिङ र डेटाबेसको सामान्य ज्ञान मात्र छ ।” उनले आफ्नो इन्टरनेटको आईपी देखिए पनि अरू कसैले नेटवर्क दुरुपयोग गरेको हुन सक्ने जिकिर गरेका छन् ।
ठेक्का पार्न बिटकोइन तिर्ने सञ्जय भट्ट र सहजकर्ताको बयान
ह्याकरलाई बिटकोइनमार्फत घूस बुझाएको आरोप लागेका ठेकेदार सञ्जय भट्टले रकम पठाएको स्वीकार गरे पनि आफूलाई प्रणाली ह्याक भएको विषयमा जानकारी नभएको बताएका छन् । उनले पीपीएमओकै कर्मचारी सम्झेर ठेक्का पारिदिने प्रलोभनमा परी रकम दिएको बयान दिएका छन् ।
भट्टले आफ्नो बयानमा भनेका छन्, “मलाई ईमेलमार्फत ‘म पीपीएमओको कर्मचारी हुँ । तपाईंले हालेको ठेक्का र दोस्रो स्थानमा हुनेको अन्तर धेरै छ । तपाईं चाहनुहुन्छ भने दुई करोडभन्दा माथिको रेटमा पनि मिलाउन सक्छौं’ भन्ने म्यासेज आएको थियो । मैले सुरुमा वास्ता गरिनँ । तर पछि उसले मलाई एउटा लिङ्क पठाएर पीपीएमओको ड्यासबोर्ड नै देखाएपछि मैले विश्वास गरें । उसले ५६ लाख रुपैयाँ माग गरेको थियो । अन्तिममा हामी बीच ४५ लाख बिटकोइनमार्फत बुझाउने सहमति भयो । मैले मेरो सालो भाष्कर अर्यालमार्फत अमेरिकामा रहेका साथीको सहयोगमा दुई किस्ता गरी २३ लाख रुपैयाँ बराबरको बिटकोइन पठाएको हुँ । मलाई यो कारोबार गैरकानुनी हो भन्ने ज्ञान थियो, तर मैले ठेक्का पार्नका लागि मात्र पैसा दिएको हुँ ।”
वित्तीय सहजकर्ताको भूमिका निर्वाह गरेका भाष्कर राज अर्यालले पनि भिनाजुको आग्रहमा पैसा मात्र पठाइदिएको दाबी गरेका छन् । उनले बयानमा भनेका छन्, “भिनाजुले मलाई बिटकोइनमार्फत पेमेन्ट गर्नु छ भनेपछि मैले अमेरिकामा रहेका साथी पारस धाख्वालाई सम्पर्क गरेर २३ लाख रुपैयाँ बराबरको बिटकोइन पठाउन लगाएको हुँ । सो रकम पारसको आमालाई नेपालमै बैंकमार्फत भुक्तानी गरिएको हो । मलाई यो ठेक्का पार्नका लागि वा गैरकानुनी कामको लागि हो भन्ने थाहा थिएन ।” त्यस्तै, ह्याकरले प्रयोग गरेको सिमकार्ड आफ्नो नाममा रहेको विषयमा प्रतिवादी भरत धामीले उक्त सिमकार्ड आफूले लकडाउनको बेला आमा र बहिनीलाई दिएको र पछि हराएको भन्दै आफ्नो संलग्नता इन्कार गरेका छन् ।
पूर्वमन्त्री विक्रम पाण्डेसहितका निर्माण व्यवसायीको बयान
यस प्रकरणमा कालिका कन्स्ट्रक्सनका सञ्चालक तथा पूर्वमन्त्री एवम् राष्ट्रिय प्रजातन्त्र पार्टी (राप्रपा) का नेता विक्रम पाण्डेसहित १६ जना निर्माण व्यवसायीलाई प्रतिवादी बनाइएको छ । कालिका कन्स्ट्रक्सनको नाममा रहेको ठेक्काको रकम ६७ करोड ५१ लाखबाट घटाएर ६० करोड ५४ लाख बनाइएको अनुसन्धानबाट देखिएको छ । तर पाण्डेले यसमा आफ्नो वा आफ्नो कम्पनीको कुनै संलग्नता नरहेको भन्दै प्रतिवाद गरेका छन् ।
पाण्डेले आफ्नो बयानमा भनेका छन्, “हाम्रो कम्पनीले एसियाली विकास बैंक जस्ता दातृ संस्थाबाट समयभन्दा पहिले गुणस्तरयुक्त काम सम्पन्न गरेबापत पटकपटक सम्मानित भएको छ । यस निर्माणको क्षेत्रमा हाम्रो राम्रो छवि कायम छ । हाम्रो कम्पनीको तर्फबाट कुनै छुट दिई बोलपत्र संशोधन गरिएको छैन । मेरो कम्पनीको नाम बदनाम गराउनका लागि कुनै आपराधिक समूहले यस्तो गरेको हो । मेरो र मेरो कम्पनीको नाम कसरी देखियो, म खुलाउन सक्दिनँ । यस विषयमा गहिरो अनुसन्धान होस् ।” उनले आफूले ह्याकर भनिएको ईमेल वा ह्वाट्सएपबाट कुनै सन्देश प्राप्त नगरेको दाबी गरेका छन् ।
त्यसैगरी आशिष निर्माण सेवाका सञ्चालक ७० वर्षीय ऋषिकेश गौलीले पनि आफूले कुनै ह्याकरलाई पैसा नदिएको र आफ्नो बोलपत्रमा अनधिकृत पहुँच कसले पुर्यायो भन्ने जानकारी नभएको बताएका छन् । उनले बयानमा भनेका छन्, “म विगत ४० वर्षदेखि निर्माण व्यवसाय क्षेत्रमा काम गर्दै आइरहेको छु । हामीले ठेक्का हालेपछि पीपीएमओको सिस्टम आफैं लक हुन्छ । हाम्रो ठेक्कामा कसले र कसरी अनधिकृत पहुँच पुर्याएर आर्थिक प्रस्ताव परिवर्तन गर्यो, मलाई थाहा छैन । मलाई उल्लेखित ईमेल वा नम्बरबाट कुनै सम्पर्क गरिएको छैन ।”
कल्पवृक्ष बिल्डर्स प्राइभेट लिमिटेडका सञ्चालक प्रकाश ढुंगानाले आफ्नो ठेक्कामा सिस्टम भित्रैबाट वैध रूपमै चलखेल गरिएको हुन सक्ने तर आफूले कुनै अनधिकृत कार्य नगरेको दाबी गरेका छन् । उनले भनेका छन्, “हामीले सुरुमा २१ प्रतिशत तल रहेर बिड गरेका थियौं । पछि हिसाबकिताब गर्दा अझै ३ प्रतिशत घटाउन सकिन्छ भन्ने लागेर सिस्टमबाटै परिमार्जन गरी २४ प्रतिशत तल रहेर बिड गरेका हौं । हाम्रो ठेक्कामा कुनै अनधिकृत पहुँच पुगेको मलाई थाहा छैन ।”
अर्का ठेकेदार कटुवाल कन्स्ट्रक्सनका सागर कटुवालले आफूलाई ह्याकरले सम्पर्क गरेर पैसा मागेको तर आफूले नदिएको बताएका छन् । उनले बयानमा भनेका छन्, “मलाई ईमेलमार्फत सम्पर्क गरेर ‘हामी तपाईंलाई ठेक्का पार्न मद्दत गर्छौं, त्यसका लागि ५ देखि १० लाख रुपैयाँ पेस्की जम्मा गरिदिनुहोस्’ भन्दै बिटकोइनको क्युआर कोड पठाएका थिए । मैले विदेशमा रहेका साथीभाइलाई भनेको थिएँ तर उनीहरूले रकम जम्मा गरेको नगरेको मलाई यकिन छैन । मैले आफ्नो तर्फबाट कुनै रकम पठाएको छैन ।” यसैगरी, अनिल श्रेष्ठ, टंक कुमार श्रेष्ठ, अमृत बोहोरा लगायतका अन्य ठेकेदारले पनि आफ्नो ठेक्कामा अनधिकृत रूपमा कसले परिवर्तन गर्यो भन्ने कुराको जानकारी आफूहरूलाई नभएको बयान दिएका छन् ।
प्रहरीको निष्कर्ष र अभियोग
नेपाल प्रहरीको केन्द्रीय अनुसन्धान ब्युरो र साइबर ब्युरोको संयुक्त अनुसन्धानले यो घटनालाई एक संगठित र प्राविधिक रूपमा अत्यन्तै जटिल साइबर अपराध मानेको छ । प्रहरीको अनुसन्धान प्रतिवेदन अनुसार, दिवाकर देउजासहितको समूहले नेपालको सार्वजनिक खरिद प्रणालीलाई नियन्त्रणमा लिएर त्यसको गोपनीयता र विश्वसनीयता पूर्ण रूपमा भङ्ग गरेको छ । प्रहरीले डिजिटल फरेन्सिक ल्याबको रिपोर्ट, बरामद गरिएका मोबाइल र ल्यापटपका डेटा, इन्टरनेट सेवा प्रदायकका लग र बिटकोइन ट्रान्जेक्सनका विवरणलाई प्रमुख प्रमाणका रूपमा अदालतमा पेश गरेको छ ।
प्रहरीले अभियुक्तलाई उनीहरूको भूमिकाका आधारमा चार मुख्य श्रेणीमा विभाजन गरेको छ । जसमा प्रणालीमा अनधिकृत प्रवेश गरी डेटा परिवर्तन गर्ने प्राविधिक कार्यान्वयनकर्ताका रूपमा दिवाकर देउजालाई राखिएको छ । त्यस्तै ठेकेदारलाई सम्पर्क गरी बार्गेनिङ गर्ने सञ्चार व्यवस्थापकका रूपमा अज्ञात ‘जीवन लिम्बु’, क्रिप्टो कारोबारको व्यवस्थापन गर्ने वित्तीय सहजकर्ताका रूपमा भाष्करराज अर्याल र ठेक्कामा चलखेल गराई फाइदा लिने लाभग्राहीका रूपमा सञ्जय भट्ट तथा अन्य निर्माण व्यवसायीलाई वर्गीकरण गरिएको छ ।
प्रतिवादीहरूमाथि विद्युतीय कारोबार ऐन, २०६३ (दफा ४५ र ४६), मुलुकी अपराध संहिता, २०७४ (क्रिप्टोकरेन्सी कारोबार) र संगठित अपराध निवारण ऐन, २०७० अन्तर्गत मुद्दा चलाइएको छ । सरकारी कर्मचारीको हकमा थप सजाय र पीपीएमओलाई भएको क्षतिपूर्तिको समेत मागदाबी गरिएको छ ।
पछिल्लो अध्यावधिक: बैशाख २९, २०८३ १७:७
