साइबर सुरक्षा

कैसे एक ज़ीरो-क्लिक एक्सप्लॉइट ने यूरोपीय संसद की स्पाइवेयर जांच में सेंध लगाई

कैसे एक ज़ीरो-क्लिक पेगासस एक्सप्लॉइट ने एक महत्वपूर्ण स्पाइवेयर जांच के दौरान यूरोपीय संसद के एक सदस्य को निशाना बनाया। PWNYOURHOME खामी का तकनीकी विश्लेषण।
कैसे एक ज़ीरो-क्लिक एक्सप्लॉइट ने यूरोपीय संसद की स्पाइवेयर जांच में सेंध लगाई

अवैध निगरानी की जांच करने वाले एक विधायक के मोबाइल डिवाइस में सेंधमारी एक ऐसी स्थिति है जो किसी जासूसी उपन्यास जैसी लगती है, लेकिन स्टेलियोस कौलोग्लू (Stelios Kouloglou) के लिए, यह एक फॉरेंसिक वास्तविकता थी। यूरोपीय संसद की PEGA समिति में सेवा करते समय, कौलोग्लू बार-बार पेगासस स्पाइवेयर संक्रमणों का लक्ष्य बने। यह समिति विशेष रूप से पूरे यूरोपीय संघ में वाणिज्यिक निगरानी उपकरणों के दुरुपयोग की जांच के लिए बनाई गई थी। स्थिति की विडंबना गंभीर है, फिर भी हमले के तकनीकी तंत्र आधुनिक मोबाइल सुरक्षा के बारे में कहीं अधिक चिंताजनक वास्तविकता प्रकट करते हैं। यह घटना किसी उपयोगकर्ता द्वारा संदिग्ध लिंक पर क्लिक करने या दुर्भावनापूर्ण अटैचमेंट डाउनलोड करने का मामला नहीं थी। यह एक मूक, ज़ीरो-क्लिक घुसपैठ थी जिसने बाज़ार के सबसे सुरक्षित उपभोक्ता उपकरणों में से एक के मानक सुरक्षा नियंत्रणों को दरकिनार कर दिया।

मैंने हाल ही में मोबाइल इंसिडेंट रिस्पांस में विशेषज्ञता रखने वाले एक सहयोगी के साथ पेगासस संक्रमणों में आम फॉरेंसिक कलाकृतियों (artifacts) की समीक्षा करते हुए एक दोपहर बिताई। हम अक्सर एक पैटर्न देखते हैं जहां सबसे परिष्कृत हमलावर पूरी तरह से इंटरैक्शन से बचते हैं। वे सबसे कम प्रतिरोध वाला रास्ता पसंद करते हैं, जिसमें उच्च-स्तरीय भाड़े के स्पाइवेयर की दुनिया में, अक्सर उन सिस्टम प्रक्रियाओं को लक्षित करना शामिल होता है जिन्हें उपयोगकर्ता कभी नहीं देखता है। कौलोग्लू के मामले में, हमलावरों ने एप्पल के होमकिट (HomeKit) फ्रेमवर्क में एक विशिष्ट भेद्यता को हथियार बनाया। यह कार्यप्रणाली हमलावर को मालिक की किसी भी सूचना या कार्रवाई के बिना डिवाइस से समझौता करने की अनुमति देती है। जब आपका सुरक्षा मॉडल सही विकल्प चुनने वाले उपयोगकर्ता पर निर्भर करता है, तो एक ज़ीरो-क्लिक एक्सप्लॉइट प्रभावी रूप से उस मॉडल को अप्रचलित बना देता है।

PWNYOURHOME एक्सप्लॉइट की शारीरिक रचना

सिटीजन लैब (Citizen Lab) के शोधकर्ताओं ने पहचान की कि कौलोग्लू के आईफोन पर संक्रमण PWNYOURHOME कोडनेम वाले एक एक्सप्लॉइट के माध्यम से हुआ था। यह विशिष्ट हमला श्रृंखला iOS पर होमकिट डेमन (HomeKit daemon) को लक्षित करती है। 21 अक्टूबर, 2022 को, फॉरेंसिक लॉग ने एक विशिष्ट होमकिट-संबंधित ईमेल पते की खोज दिखाई: rauharepo888[@]gmail.com। दो मिनट बाद, डिवाइस पर एक पेगासस प्रक्रिया सक्रिय थी, जो मोबाइल डेटा की खपत कर रही थी। घटनाओं का यह क्रम काम पर एक ज़ीरो-क्लिक एक्सप्लॉइट का क्लासिक संकेत है। हमलावर iMessage या HomeKit जैसी सेवा के माध्यम से एक विशेष रूप से तैयार किया गया अनुरोध भेजता है, जिसे फोन पृष्ठभूमि में स्वचालित रूप से संसाधित करता है। यदि अनुरोध में दुर्भावनापूर्ण कोड है जो मेमोरी प्रबंधन दोष का फायदा उठाता है, तो हमलावर लक्षित सेवा के विशेषाधिकारों के साथ कोड निष्पादित करने की क्षमता प्राप्त कर लेता है।

पहले संक्रमण के समय, कौलोग्लू iOS 15.5 चला रहे थे। एप्पल ने अंततः iOS 16.3.1 में इस भेद्यता को संबोधित किया, लेकिन महीनों तक, डिवाइस इस विशिष्ट प्रवेश बिंदु के लिए खुला रहा। एक वास्तुशिल्प दृष्टिकोण से, यह एक्सप्लॉइट मोबाइल ऑपरेटिंग सिस्टम द्वारा जटिल, परस्पर जुड़ी सेवाओं को संभालने के तरीके में एक प्रणालीगत कमजोरी को उजागर करता है। होमकिट को स्मार्ट होम डिवाइस को स्वचालित करके जीवन को आसान बनाने के लिए डिज़ाइन किया गया है, लेकिन OS के कोर में इसका गहरा एकीकरण एक विशाल हमला क्षेत्र (attack surface) प्रदान करता है। इसे एक उच्च-सुरक्षा वाली इमारत में बिना ताले के छोड़े गए पिछले दरवाजे के रूप में सोचें क्योंकि निवासी रिमोट-कंट्रोल एंट्री सिस्टम की सुविधा चाहते थे।

घुसपैठ की समयरेखा का मानचित्रण

इन संक्रमणों का समय एक अत्यधिक रणनीतिक उद्देश्य का सुझाव देता है। पहला सफल समझौता अक्टूबर 2022 में हुआ, जब कौलोग्लू सर्जरी के लिए अस्पताल में थे। इस अवधि के दौरान, उन्हें थानोसिस कुकाकिस (Thanasis Koukakis) से मुलाकात हुई, जो एक ग्रीक पत्रकार थे जिन्हें पहले प्रीडेटर (Predator) स्पाइवेयर से निशाना बनाया गया था। संक्रमणों का दूसरा सेट मार्च 2023 में हुआ। यह अवधि PEGA समिति के लिए महत्वपूर्ण थी, क्योंकि सदस्य अपनी जांच रिपोर्ट के अंतिम मसौदे के संबंध में गहन चर्चा में लगे हुए थे। हमलावरों के पास उन हफ्तों के दौरान डिवाइस तक पहुंच थी जब गोपनीय विचार-विमर्श और गवाहों की गवाही सबसे संवेदनशील थी।

सिटीजन लैब ने पाया कि स्पाइवेयर 6 और 7 मार्च, 2023 को सक्रिय था, जिसमें महीनों पहले इस्तेमाल किए गए उसी PWNYOURHOME एक्सप्लॉइट को हथियार बनाया गया था। यह निरंतरता पेगासस संचालन की एक पहचान है। स्पाइवेयर को गुप्त रहने के लिए डिज़ाइन किया गया है, लेकिन यह लचीला भी है। यदि कोई डिवाइस रीबूट होता है, तो ऑपरेटर को अक्सर इसे फिर से संक्रमित करने की आवश्यकता होती है। तथ्य यह है कि हमलावरों ने उसी वेक्टर का उपयोग करके डिवाइस से सफलतापूर्वक फिर से समझौता किया, यह बताता है कि वे अनपैच किए गए iOS संस्करण के खिलाफ एक्सप्लॉइट की निरंतर प्रभावकारिता में आश्वस्त थे। डिज़ाइन के अनुसार, पेगासस ऑपरेटर को कॉल रिकॉर्ड करने, एन्क्रिप्टेड संदेशों को पढ़ने और यहां तक कि माइक्रोफ़ोन या कैमरे को दूरस्थ रूप से सक्रिय करने की अनुमति देता है। इन्हीं उपकरणों की जांच करने वाली समिति के एक सदस्य के लिए, ऐसे डेटा का उजागर होना गोपनीयता की एक विनाशकारी विफलता है।

व्यापक यूरोपीय निगरानी से संबंध

सिटीजन लैब की रिपोर्ट में सबसे महत्वपूर्ण निष्कर्षों में से एक कौलोग्लू मामले और अन्य अभियानों के बीच ओवरलैप है। होमकिट लुकअप में उपयोग किया गया विशिष्ट जीमेल पता, rauharepo888[@]gmail.com, यूरोप में निर्वासन में रह रहे रूसी और बेलारूसी पत्रकारों के खिलाफ हमलों में भी देखा गया था। पेगासस बुनियादी ढांचे के फॉरेंसिक विश्लेषण से पता चलता है कि ये ईमेल पते अक्सर NSO ग्रुप के विशिष्ट ऑपरेटरों या ग्राहकों के लिए अद्वितीय होते हैं। यह खोज एक ऐसे पेगासस ग्राहक की ओर इशारा करती है जिसके पास लाइसेंस है जो कई यूरोपीय न्यायालयों में संचालन की अनुमति देता है।

यह संबंध कथा को एक अलग घटना से सीमा पार निगरानी के एक व्यापक पैटर्न के हिस्से में बदल देता है। जब एक ही ऑपरेटर विपक्षी पत्रकारों और उच्च पदस्थ यूरोपीय विधायकों दोनों को निशाना बना रहा होता है, तो राष्ट्रीय सुरक्षा और राजनीतिक जासूसी के बीच का अंतर समाप्त हो जाता है। डेटा अखंडता के संदर्भ में, एक कानून निर्माता के डिवाइस पर ऐसे उपकरणों की उपस्थिति व्हिसलब्लोअर्स और कार्यकर्ताओं के साथ उनके द्वारा किए गए प्रत्येक संचार की सुरक्षा पर सवाल उठाती है। ये व्यक्ति अक्सर जांच समितियों को जानकारी प्रदान करने के लिए अपनी जान जोखिम में डालते हैं, और वे इस धारणा के तहत ऐसा करते हैं कि उनकी पहचान विधायक की डिजिटल सुरक्षा द्वारा संरक्षित है।

एक मूक वेक्टर के रूप में दूरसंचार

जबकि कौलोग्लू मामला मैलवेयर-आधारित निगरानी पर केंद्रित था, यह पहचानना महत्वपूर्ण है कि पेगासस एक बड़े टूलकिट का केवल एक हिस्सा है। सिटीजन लैब की हालिया जांचों ने दूरसंचार-स्तर की ट्रैकिंग के उपयोग का भी खुलासा किया है। ये अभियान सिग्नलिंग सिस्टम नंबर 7 (SS7) और डायमीटर (Diameter) प्रोटोकॉल की कमजोरियों का फायदा उठाते हैं, जो वैश्विक मोबाइल रोमिंग की रीढ़ हैं। हमलावर किसी व्यक्ति के डिवाइस पर मैलवेयर इंस्टॉल किए बिना ही उसकी लोकेशन को ट्रैक कर सकते हैं। वे ऑपरेटर की पहचान को खराब करके और विश्वसनीय दूरसंचार प्रदाताओं के माध्यम से दुर्भावनापूर्ण सिग्नलिंग कमांड भेजकर ऐसा करते हैं।

इस प्रकार की निगरानी का पता लगाना पेगासस संक्रमण की तुलना में भी कठिन है। फोन पर कोई फॉरेंसिक अवशेष नहीं होते हैं क्योंकि हमला नेटवर्क बुनियादी ढांचे के भीतर होता है। सक्रिय रूप से कहें तो, यह दूरसंचार पारिस्थितिकी तंत्र को उच्च जोखिम वाले व्यक्तियों के लिए विफलता का एक महत्वपूर्ण बिंदु बनाता है। यूके और जर्सी में कुछ प्रदाताओं को इस दुर्भावनापूर्ण सिग्नलिंग ट्रैफिक के लिए ट्रांजिट पॉइंट के रूप में पहचाना गया था। इन प्रदाताओं ने प्रभावी रूप से निगरानी विक्रेताओं के लिए वैश्विक स्तर पर लक्ष्यों को ट्रैक करने के लिए एक गुप्त पुल के रूप में कार्य किया। यह प्रकट करता है कि भले ही आपके पास दुनिया का सबसे सुरक्षित फोन हो, नेटवर्क स्वयं राज्य-प्रायोजित अभिनेताओं के लिए एक शोषण योग्य मार्ग बना हुआ है।

एक लचीली रक्षा की ओर बढ़ना

इन फॉरेंसिक रिपोर्टों में आवर्ती विषय यह है कि पारंपरिक सुरक्षा उपाय भाड़े के स्पाइवेयर के खिलाफ अपर्याप्त हैं। यदि आप एक उच्च-जोखिम वाले लक्ष्य हैं, तो पैचिंग केवल पहला कदम है। पैचिंग एक जहाज के पतवार में छेद बंद करने जैसा है; यह आपको तैरते हुए रखता है, लेकिन यह दुश्मन को और गोलियां चलाने से नहीं रोकता है। राज्य-प्रायोजित खतरों का सामना करने वाले उपयोगकर्ताओं के लिए, एप्पल ने लॉकडाउन मोड (Lockdown Mode) पेश किया। यह सुविधा जटिल वेब तकनीकों को अक्षम करके, कुछ प्रकार के अटैचमेंट को ब्लॉक करके और अज्ञात उपयोगकर्ताओं से होमकिट आमंत्रण जैसे आने वाले सेवा अनुरोधों को प्रतिबंधित करके हमले के क्षेत्र को काफी कम कर देती है।

जोखिम के दृष्टिकोण से, कौलोग्लू मामला एक अनुस्मारक है कि डिजिटल सुरक्षा लोकतांत्रिक निरीक्षण का एक मिशन-महत्वपूर्ण घटक है। जब जांचकर्ता स्वयं समझौता कर लेते हैं, तो पूरी जांच की अखंडता खतरे में पड़ जाती है। हमें मोबाइल उपकरणों के लिए ज़ीरो-ट्रस्ट मॉडल की ओर बढ़ना चाहिए जहां हम अब यह नहीं मानते कि कोई डिवाइस केवल इसलिए सुरक्षित है क्योंकि वह अपडेट है। संवेदनशील भूमिकाओं वाले लोगों के लिए, हार्डवेयर सुरक्षा कुंजियाँ और सिग्नल (Signal) जैसे प्लेटफार्मों के माध्यम से एंड-टू-एंड एन्क्रिप्टेड संचार अब वैकल्पिक नहीं हैं। वे एक ऐसे डिजिटल वातावरण में जीवित रहने के लिए आधार रेखा हैं जहाँ दीवारों के भी कान हैं।

उच्च जोखिम वाले उपयोगकर्ताओं के लिए मुख्य सुझाव

एक रक्षात्मक रणनीति को लागू करने के लिए डिवाइस को मजबूत करने के लिए एक विस्तृत दृष्टिकोण की आवश्यकता होती है। यदि आपके काम में संवेदनशील डेटा को संभालना या शक्तिशाली संस्थाओं की जांच करना शामिल है, तो निम्नलिखित चरणों पर विचार करें:

  • ज़ीरो-क्लिक एक्सप्लॉइट्स में अक्सर उपयोग की जाने वाली उच्च-जोखिम वाली सुविधाओं को अक्षम करने के लिए सभी iOS और macOS उपकरणों पर लॉकडाउन मोड सक्षम करें।
  • अनधिकृत उपकरणों के लिए अपने एप्पल आईडी और गूगल खातों का ऑडिट करें और सुनिश्चित करें कि होमकिट अनुमतियां ज्ञात, विश्वसनीय संपर्कों तक सीमित हैं।
  • मल्टी-फैक्टर ऑथेंटिकेशन के लिए हार्डवेयर सुरक्षा कुंजियों का उपयोग करें ताकि आपके क्रेडेंशियल्स से समझौता होने पर भी खाता अधिग्रहण को रोका जा सके।
  • अपने मोबाइल डिवाइस को रोजाना रीबूट करें। जबकि कुछ स्पाइवेयर स्थायी होते हैं, कई एक्सप्लॉइट अस्थायी मेमोरी में रहते हैं और पुनरारंभ होने पर साफ हो जाते हैं।
  • निर्माताओं से खतरे की सूचनाओं की निगरानी करें। एप्पल और गूगल अब सक्रिय रूप से उपयोगकर्ताओं को सचेत करते हैं जब वे राज्य-प्रायोजित लक्ष्यीकरण के संकेतों का पता लगाते हैं।

स्रोत:

  • सिटीजन लैब: "The PEGA Committee and the Pegasus Spyware"
  • NIST विशेष प्रकाशन 800-213: "IoT Device Cybersecurity Guidance"
  • MITRE ATT&CK: "Mobile Software Techniques and Sub-Techniques"
  • यूरोपीय संसद: "PEGA Committee Final Report on the Use of Pegasus"

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या इंसिडेंट रिस्पांस सेवा का स्थान नहीं लेता है।

bg
bg
bg

आप दूसरी तरफ देखिए।

हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।

/ एक नि: शुल्क खाता बनाएं