मेटा ने NSO ग्रुप के नवीनतम फ़िशिंग इन्फ्रास्ट्रक्चर को कैसे ध्वस्त किया

क्या आप अपने मैसेजिंग ऐप पर भरोसा करते हैं कि वह दुनिया के सबसे परिष्कृत भाड़े के सैनिकों (mercenaries) से आपकी रक्षा करेगा? मैं यह इसलिए पूछ रहा हूँ क्योंकि एंड-टू-एंड एन्क्रिप्शन के बावजूद, असली लड़ाई सॉफ्टवेयर के किनारों पर होती है। मेटा ने हाल ही में NSO ग्रुप को फिर से ताला तोड़ने की कोशिश करते हुए पकड़ा है। यह केवल एक तकनीकी दिग्गज और एक सॉफ्टवेयर विक्रेता के बीच चूहे-बिल्ली का खेल नहीं है। यह एक संघीय अदालत के आदेश का सीधा उल्लंघन है। जोखिम के नजरिए से, यह घटना दर्शाती है कि लगातार खतरा पैदा करने वाले हमलावर कानूनी लड़ाई हारने के बाद भी रुकते नहीं हैं। वे बस अपना इन्फ्रास्ट्रक्चर बदलते हैं और दूसरे दरवाजे से कोशिश करते हैं।

मेटा ने सोमवार को घोषणा की कि उसने इजरायली स्पाइवेयर विक्रेता से जुड़े स्पियर-फ़िशिंग प्रयासों की एक श्रृंखला का पता लगाया और उन्हें रोक दिया। कंपनी अब NSO ग्रुप के खिलाफ संघीय अदालत में अवमानना का आदेश दायर कर रही है। यह कदम इसलिए उठाया गया है क्योंकि NSO ग्रुप ने एक स्थायी निषेधाज्ञा (permanent injunction) का उल्लंघन किया है, जिसने उसे व्हाट्सएप और उसके उपयोगकर्ताओं को लक्षित करने से प्रतिबंधित कर दिया था। पर्दे के पीछे, मेटा की सुरक्षा टीमों ने उन दुर्भावनापूर्ण डोमेन और अनधिकृत खातों को ट्रैक किया जिनका उपयोग स्पाइवेयर फर्म ने इन हमलों को अंजाम देने के लिए किया था।

वन-क्लिक हमले की वास्तुकला

फ़िशिंग सबसे मजबूत प्रणालियों के लिए भी एक डिजिटल 'ट्रोजन हॉर्स' बनी हुई है। इस नवीनतम अभियान में, NSO ग्रुप ने लक्ष्यों को बाहरी वेबसाइटों पर ले जाने के लिए दुर्भावनापूर्ण लिंक का उपयोग किया। ये 1-क्लिक फ़िशिंग अभियान हैं। इनमें किसी डिवाइस से समझौता करने के लिए उपयोगकर्ता को केवल एक बार लिंक के साथ इंटरैक्ट करने की आवश्यकता होती है। एक बार जब उपयोगकर्ता क्लिक करता है, तो ब्राउज़र आमतौर पर एक ऐसी साइट पर जाता है जो पेलोड वितरित करती है या क्रेडेंशियल चुराती है। मेटा ने इस अभियान में तीन विशिष्ट डोमेन की पहचान की: fr24cast[.]com, ghazacast[.]com, और ikhwancast[.]com ।

मैंने आज सुबह इन डोमेन के नामकरण सम्मेलनों का विश्लेषण करने में एक घंटा बिताया। वे समाचार या मौसम सेवाओं की नकल करते हैं। यह लक्ष्य की सतर्कता को कम करने की एक सामान्य रणनीति है। एक अंतिम-उपयोगकर्ता के दृष्टिकोण से, एक लिंक जो स्थानीय समाचार अपडेट जैसा दिखता है, वह रैंडम वर्णों की स्ट्रिंग की तुलना में बहुत कम संदिग्ध होता है। NSO ग्रुप इस स्तर के विवरण के लिए जाना जाता है। वे केवल एक लिंक नहीं भेजते; वे एक कहानी बुनते हैं। आर्किटेक्चरल स्तर पर, ये डोमेन पेगासस (Pegasus) स्पाइवेयर के लिए स्टेजिंग ग्राउंड के रूप में कार्य करते हैं। यह सॉफ्टवेयर एंड्रॉइड और आईओएस दोनों उपकरणों से संदेश, फोटो और स्थान डेटा निकालने की अपनी क्षमता के लिए प्रसिद्ध है।

स्थायी निषेधाज्ञा का उल्लंघन

कानूनी ढांचे केवल उतने ही मजबूत होते हैं जितना उनके पीछे का प्रवर्तन। मेटा अब उस प्रवर्तन के लिए दबाव डाल रही है। 2023 में, एक अमेरिकी अदालत ने 1,400 व्यक्तियों तक स्पाइवेयर पहुंचाने के लिए व्हाट्सएप सर्वर का शोषण करने के बाद NSO ग्रुप को संघीय कानूनों के उल्लंघन का दोषी पाया था। उस फैसले के परिणामस्वरूप लगभग $168 मिलियन का जुर्माना लगा। इससे भी महत्वपूर्ण बात यह है कि इसमें एक स्थायी निषेधाज्ञा शामिल थी। इस कानूनी बाधा ने NSO ग्रुप को फिर कभी व्हाट्सएप सिस्टम तक पहुंचने से प्रतिबंधित कर दिया था।

नए परीक्षण खाते और समूह बनाकर, NSO ग्रुप ने उस निषेधाज्ञा की भावना और अक्षर दोनों का उल्लंघन किया। मेटा ने कंपनी को यह सत्यापित करने के लिए ये खाते बनाते हुए पकड़ा कि उनके फ़िशिंग लिंक ऐप के भीतर कैसे दिखाई देते हैं। मैंने अपने स्वयं के लैब वातावरण में इस व्यवहार को देखा है। एक हमलावर को यह देखने की जरूरत होती है कि लक्ष्य क्या देखता है। उन्हें यह सुनिश्चित करने की आवश्यकता है कि लिंक पूर्वावलोकन वैध दिखे और संदेश एक स्वचालित स्पैम फ़िल्टर को ट्रिगर न करे। मेटा ने इन खातों और समूहों को तुरंत हटा दिया। यह सक्रिय बचाव आवश्यक है क्योंकि NSO ग्रुप का सुरक्षा नियंत्रणों को दरकिनार करने के व्यवस्थित प्रयासों का इतिहास रहा है।

एंड-टू-एंड एन्क्रिप्शन की सीमाएं

मैं अक्सर लोगों को यह कहते हुए सुनता हूँ कि व्हाट्सएप सुरक्षित है क्योंकि यह एन्क्रिप्टेड है। यह एक खतरनाक सरलीकरण है। एन्क्रिप्शन पारगमन (transit) में डेटा की सुरक्षा करता है। यह आपके फोन से किसी मित्र के फोन तक जाने वाले आपके संदेश के लिए एक अभेद्य डिजिटल वॉल्ट है। हालाँकि, यदि हमलावर एंडपॉइंट (डिवाइस) के साथ समझौता कर लेता है, तो एन्क्रिप्शन कुछ नहीं कर पाता। यदि पेगासस के माध्यम से किसी हैकर का आपके फोन पर नियंत्रण है, तो वे आपके संदेशों को एन्क्रिप्ट होने से पहले या डिक्रिप्ट होने के बाद पढ़ सकते हैं।

फ़िशिंग वह पुल है जो हमलावरों को एन्क्रिप्शन की खाई को पार करने की अनुमति देता है। NSO ग्रुप सिग्नल प्रोटोकॉल (Signal Protocol) को तोड़ने की कोशिश नहीं करता है जिसका व्हाट्सएप उपयोग करता है। वे जानते हैं कि यह गणितीय रूप से सुदृढ़ है। इसके बजाय, वे ऐप का उपयोग करने वाले इंसान को निशाना बनाते हैं। यही कारण है कि मेटा उपयोगकर्ताओं को सख्त खाता सेटिंग्स की ओर धकेल रहा है। ये सेटिंग्स हमले की सतह (attack surface) को कम करती हैं। वे ऐप को एक अधिक निजी वातावरण में बदल देती हैं जहाँ केवल ज्ञात संपर्क ही आपके साथ बातचीत कर सकते हैं।

मानवीय फ़ायरवॉल को मजबूत करना

सुरक्षा एक प्रक्रिया है, उत्पाद नहीं। मेटा अब उच्च-जोखिम वाले व्यक्तियों को एक वैकल्पिक सुरक्षा सुविधा का उपयोग करने के लिए प्रोत्साहित कर रहा है जो लॉकडाउन मोड की तरह कार्य करती है। यह उन पत्रकारों, कार्यकर्ताओं और सरकारी अधिकारियों के लिए है जो NSO ग्रुप के संभावित लक्ष्य हो सकते हैं। जब आप इन सख्त सेटिंग्स को सक्षम करते हैं, तो ऐप सुरक्षा बढ़ाने के लिए कार्यक्षमता को सीमित कर देता है। उदाहरण के लिए, यह लिंक पूर्वावलोकन बंद कर देता है। जबकि लिंक पूर्वावलोकन सुविधाजनक हैं, उन्हें एक छवि और विवरण प्राप्त करने के लिए ऐप को एक वेबसाइट तक पहुंचने की आवश्यकता होती है। एक हमलावर इस प्रक्रिया का उपयोग लक्ष्य के आईपी पते या डिवाइस के प्रकार के बारे में जानकारी इकट्ठा करने के लिए कर सकता है।

उल्लंघन की स्थिति में, ये सेटिंग्स लचीलेपन की एक परत प्रदान करती हैं। सख्त मोड प्रोफाइल फोटो, 'अबाउट' विवरण और ऑनलाइन स्थिति को केवल संपर्कों तक ही सीमित कर देता है। यह अज्ञात खातों को आपको समूहों में जोड़ने से रोकता है। यह उपयोगकर्ता स्तर पर 'ज़ीरो-ट्रस्ट' मॉडल की ओर एक कदम है। यह मानता है कि किसी अज्ञात स्रोत से कोई भी संचार एक संभावित खतरा है। नतीजतन, उपयोगकर्ता अधिक सुरक्षित है क्योंकि ऐप अब डिफ़ॉल्ट रूप से बाहरी इनपुट पर भरोसा नहीं करता है।

निजी स्पाइवेयर का भू-राजनीतिक वजन

यह संघर्ष केवल दो कंपनियों के बीच नहीं है। यह अंतरराष्ट्रीय सुरक्षा का मामला है। 2021 में, अमेरिकी वाणिज्य विभाग ने NSO ग्रुप को ब्लॉकलिस्ट में डाल दिया था। ऐसा इसलिए था क्योंकि कंपनी के उपकरणों ने विदेशी सरकारों को अंतरराष्ट्रीय दमन करने की अनुमति दी थी। अमेरिकी सरकार ने फैसला किया कि NSO की गतिविधियाँ राष्ट्रीय सुरक्षा हितों के विपरीत थीं। मेटा द्वारा इस नवीनतम पहचान से साबित होता है कि ब्लॉकलिस्ट और पिछले जुर्मानों ने NSO के संचालन को नहीं रोका है।

फोरेंसिक दृष्टिकोण से, इन तीन डोमेन की खोज अन्य सुरक्षा शोधकर्ताओं के लिए एक सुराग प्रदान करती है। जब मेटा समझौते के इन संकेतकों (indicators of compromise) को प्रकाशित करता है, तो यह दुनिया भर के SOC विश्लेषकों को अपने लॉग की जांच करने की अनुमति देता है। मैंने देखा है कि कैसे मेटा जैसी कंपनी से डेटा का एक छोटा सा टुकड़ा बहुत बड़े राज्य-प्रायोजित अभियान का भंडाफोड़ कर सकता है। ये डोमेन अब NSO के लिए जहरीली संपत्ति हैं। चाहे वे कितनी भी बार अपना नाम बदल लें, उनके इन्फ्रास्ट्रक्चर का पैटर्न उन लोगों के लिए पहचानने योग्य रहता है जो जानते हैं कि कहाँ देखना है।

एक सक्रिय बचाव को लागू करना

यदि आप ऐसे क्षेत्र में काम करते हैं जहाँ आपका डेटा एक लक्ष्य है, तो आप डिफ़ॉल्ट सेटिंग्स पर भरोसा नहीं कर सकते। अपने सॉफ़्टवेयर को पैच करना पहला कदम है, लेकिन यह एक जहाज के पतवार में छेद बंद करने जैसा है। आपको सॉफ़्टवेयर के साथ बातचीत करने के तरीके को भी बदलना होगा। सक्रिय रूप से कहें तो, आपको कम से कम हर तिमाही में अपनी गोपनीयता सेटिंग्स का ऑडिट करना चाहिए। यह विशेष रूप से सच है क्योंकि एआई-संचालित फ़िशिंग दुर्भावनापूर्ण संदेशों को पहचानना और भी कठिन बना देती है।

मेटा इसे वापस अदालत में ले जाकर सही काम कर रहा है। $168 मिलियन का जुर्माना स्पष्ट रूप से उस कंपनी के लिए पर्याप्त निवारक नहीं था जो राष्ट्र-राज्यों को उच्च-मूल्य वाले कारनामे बेचती है। अवमानना का आदेश अधिक गंभीर परिणाम लाता है। इससे NSO के आंतरिक कामकाज की और अधिक खोज हो सकती है या इससे भी बड़े वित्तीय दंड लग सकते हैं। हम बाकी लोगों के लिए, यह एक अनुस्मारक है कि हमारे डिजिटल जीवन की परिधि लगातार दबाव में है।

उच्च-जोखिम वाले उपयोगकर्ताओं के लिए व्यावहारिक कदम

यदि आपको लगता है कि आप परिष्कृत साइबर हमलों के जोखिम में हैं, तो अपने खाते को मजबूत करने के लिए तुरंत ये कदम उठाएं।

1. टू-स्टेप वेरिफिकेशन सक्षम करें। यह एक पिन जोड़ता है जो आपके फोन नंबर को व्हाट्सएप के साथ फिर से पंजीकृत करने के लिए आवश्यक होता है।
2. लिंक पूर्वावलोकन बंद करें। यह ऐप को उन वेबसाइटों से स्वचालित रूप से जुड़ने से रोकता है जिन पर आप नहीं गए हैं।
3. समूह आमंत्रणों को प्रतिबंधित करें। अजनबियों को आपको दुर्भावनापूर्ण समूहों में जोड़ने से रोकने के लिए इसे "मेरे संपर्क" पर सेट करें।
4. अपना ऑपरेटिंग सिस्टम अपडेट करें। पेगासस अक्सर आईओएस या एंड्रॉइड में जीरो-डे कमजोरियों पर निर्भर करता है।
5. प्रोफाइल दृश्यता सीमित करें। सुनिश्चित करें कि आपकी प्रोफाइल फोटो और "लास्ट सीन" स्थिति केवल उन लोगों को दिखाई दे जिन्हें आप जानते हैं।

ये कदम आपको अदृश्य नहीं बनाते हैं। वे आपको एक कठिन लक्ष्य बनाते हैं। भाड़े की स्पाइवेयर फर्में कम से कम प्रतिरोध वाला रास्ता तलाशती हैं। यदि आप आसान दरवाजे बंद कर देते हैं, तो वे किसी और की ओर बढ़ सकते हैं।

स्रोत

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।