पाकिस्तानी हैकर्स का निशाना 'मेक इन इंडिया' रक्षा कार्यक्रम

नई दिल्ली: एक भारतीय रक्षा अधिकारी के इनबॉक्स में एक सहज सा दिखने वाला ईमेल आया। सबसे पहले, उसकी सावधान आँखों ने इसे खारिज कर दिया। लेकिन प्रेषक - कथित तौर पर एक प्रसिद्ध थिंक-टैंक - का एक निश्चित महत्व था। उन्होंने शकील भट्टी द्वारा प्रसारित मेल और संलग्न पीडीएफ दस्तावेज़ पर क्लिक किया। जब तक उन्हें एहसास हुआ कि यह एक जाल है, संवेदनशील डेटा पहले ही चोरी हो चुका था। और यह कोई अकेली घटना नहीं थी. एक रिपोर्ट के अनुसार, तीन सार्वजनिक क्षेत्र के रक्षा उपकरण निर्माताओं के साथ-साथ भारत के सुरक्षा बल एक कुख्यात पाकिस्तानी हैकिंग समूह द्वारा चलाए जा रहे जासूसी अभियान के निशाने पर हैं, जिसका उसकी सेना से संबंध होने का संदेह है।

ट्रांसपेरेंट ट्राइब, जिसे साइबर सुरक्षा पेशेवरों के बीच एडवांस्ड पर्सिस्टेंट थ्रेट (एपीटी) 36 के रूप में जाना जाता है, रक्षा प्रतिष्ठानों में कर्मचारियों को निशाना बना रही है, खासकर उन कंपनियों में जो रक्षा मंत्रालय के रक्षा उत्पादन विभाग के अंतर्गत आती हैं। भारतीय वायु सेना (आईएएफ) के कर्मियों को लक्षित करने के लिए डिज़ाइन किया गया एक साइबर हमला अभियान, जिसकी रिपोर्ट पहले इंडिया टुडे ने दी थी, भी इस समूह द्वारा चलाया गया था। अपनी रिपोर्ट में, कनाडाई साइबर सुरक्षा फर्म ब्लैकबेरी ने कहा कि उसने पाकिस्तानी शहरों में ऑनलाइन जासूसी अभियान की जड़ों का पता लगाया और शकील भट्टी को समूह के सदस्य के रूप में पहचाना। निशाने पर रक्षा निर्माता ब्लैकबेरी रिसर्च एंड इंटेलिजेंस टीम ने अपनी रिपोर्ट में कहा कि सितंबर 2023 और अप्रैल 2024 के बीच ट्रांसपेरेंट ट्राइब का फोकस भारतीय रक्षा बल और राज्य संचालित रक्षा ठेकेदार थे। मैलवेयर वाले फ़िशिंग ईमेल सीधे "एशिया की सबसे बड़ी एयरोस्पेस और रक्षा कंपनियों में से एक", "एक भारतीय राज्य के स्वामित्व वाली एयरोस्पेस और रक्षा इलेक्ट्रॉनिक्स कंपनी" और "एशिया के पृथ्वी से चलने वाले उपकरणों के दूसरे सबसे बड़े निर्माता, जो एक महत्वपूर्ण भूमिका निभाते हैं" को भेजे गए थे।

ग्राउंड सपोर्ट वाहनों की आपूर्ति करके देश की एकीकृत निर्देशित मिसाइल विकास परियोजना में भूमिका”, रिपोर्ट में स्पष्ट रूप से लक्ष्यों का नाम बताए बिना कहा गया है।

सबसे अधिक संभावना वाली कंपनियां हिंदुस्तान एयरोनॉटिक्स लिमिटेड (एचएएल), भारत इलेक्ट्रॉनिक्स लिमिटेड (बीईएल), और भारत अर्थ मूवर्स लिमिटेड (बीईएमएल) हैं - जिनका मुख्यालय बेंगलुरु में है। हमलावरों ने अपने लक्ष्यों को धोखा देने के लिए रक्षा उत्पादन विभाग के प्रमुख अधिकारियों की ऑनलाइन उपस्थिति की "कार्बन-कॉपी" की। फ़िशिंग मेल खोलने के लिए अधिक लक्ष्य प्राप्त करने के लिए, उन्होंने विषयों की एक विस्तृत श्रृंखला का उपयोग किया - सामान्य रुचि के विषयों जैसे कि राजस्थान के जैसलमेर में अवकाश शिविर, पेंशन, भविष्य निधि, मूल्यांकन, एक शिक्षा ऋण आवेदन और टेलीफोन निर्देशिका से लेकर अधिक पेशेवर विषयों तक। जैसे भारतीय वायुसेना मुख्यालय की जनसंपर्क नीति, अनिर्दिष्ट निमंत्रण, रक्षा निर्यात के लिए अवधारणा पत्र और समीक्षा बैठकों के मिनट।

सद्भावना दांव पर साइबर हमलावरों ने कई सैन्य-संचालित और निजी संस्थाओं की सद्भावना का फायदा उठाने की कोशिश की, जिन्हें रक्षा हलकों में व्यापक रूप से मान्यता प्राप्त है। इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (CERT-In), सेंटर फॉर लैंड वारफेयर स्टडीज (CLAWS), दिल्ली कैंट के आर्मी पब्लिक स्कूल और आर्मी वेलफेयर एजुकेशन सोसाइटी, जो सैकड़ों आर्मी स्कूल चलाती है, की नकल करने वाले वेबसाइट डोमेन बनाए गए और शामिल किए गए पीड़ितों का विश्वास अर्जित करने के लिए जासूसी अभियान में। काम करने का ढंग हमलावर लक्षित सिस्टम में मैलवेयर पहुंचाने के लिए विभिन्न तकनीकों और उपकरणों का उपयोग कर रहे हैं, जिसमें फ़िशिंग ईमेल पसंदीदा तरीका है। दुर्भावनापूर्ण ज़िप अभिलेखागार या निष्पादन योग्य और लिंक करने योग्य प्रारूप (ईएलएफ) फ़ाइलें - जो विभिन्न प्रोसेसर प्रकारों पर चल सकती हैं - लक्षित मेलबॉक्सों तक पहुंचाई गईं। ईएलएफ बायनेरिज़ को विशिष्ट फ़ाइल प्रकारों के लिए निर्देशिकाओं की निगरानी करने, उन्हें बाहरी सर्वर पर भेजने के लिए डिज़ाइन किया गया है। ब्लैकबेरी की रिपोर्ट में कहा गया है कि समूह ने रक्षा क्षेत्र के लिए स्वदेशी रूप से विकसित लिनक्स-आधारित ऑपरेटिंग सिस्टम मायाओएस में घुसपैठ करने के लिए ईएलएफ बायनेरिज़ पर बहुत अधिक भरोसा किया। समूह ने पायथन-आधारित डाउनलोडर और विंडोज बायनेरिज़ भी विकसित किए जो समान कार्य करते हैं। इसने Google की ओपन-सोर्स भाषा GoLang पर आधारित एक "ऑल-इन-वन" जासूसी उपकरण तैनात किया, जिसमें लोकप्रिय फ़ाइल एक्सटेंशन के साथ फ़ाइलों को खोजने और निकालने, स्क्रीनशॉट लेने, फ़ाइलों को अपलोड करने और डाउनलोड करने और कमांड निष्पादित करने की क्षमताएं थीं। इसके अलावा, यह आईएसओ छवियों को एक हमले वेक्टर के रूप में उपयोग करना जारी रखता है, जैसा कि इंडिया टुडे द्वारा पहली बार रिपोर्ट किया गया था।

इन हमलों में क्रॉस-प्लेटफ़ॉर्म प्रोग्रामिंग भाषाओं जैसे पायथन, गोलैंग और रस्ट का लाभ उठाया गया और चुराए गए डेटा को निर्यात करने के लिए टेलीग्राम, डिस्कॉर्ड और Google ड्राइव जैसी वेब सेवाओं का शोषण किया गया। पाकिस्तानी मूल ब्लैकबेरी के शोधकर्ताओं को पाकिस्तान स्थित अभिनेताओं की संलिप्तता का संकेत देने वाले निशान मिले। उदाहरण के लिए, एक दुर्भावनापूर्ण डिलीवरी पैकेज से निकाली गई फ़ाइल के लिए समय-क्षेत्र चर को "एशिया/कराची," एक पाकिस्तानी समय क्षेत्र पर सेट किया गया था। इसी तरह, जासूसी अभियान में उपयोग की गई एक आईएसओ छवि मुल्तान से प्रस्तुत की गई थी और फ़िशिंग ईमेल से जुड़े एक दूरस्थ आईपी पते का पता सीएमपैक लिमिटेड से लगाया गया था, जो पाकिस्तान स्थित है और चाइना मोबाइल के स्वामित्व में है। साइबर सुरक्षा फर्म लुकआउट की 2018 की एक रिपोर्ट में कहा गया है कि उसका मानना ​​है कि ट्रांसपेरेंट जनजाति पाकिस्तानी सेना से जुड़ी थी।