दुनियाभर में साइबर हमलों के तरीके जितने तेजी से बदल रहे हैं, उतनी ही तेजी से तकनीकी दिग्गज भी सुरक्षा को लेकर चौकन्ना हो रहे हैं। लेकिन इस बार मामला थोड़ा अलग है। एक ऐसा हैकिंग अभियान सामने आया है, जिसमें हमलावरों ने Google Calendar जैसी भरोसेमंद सर्विस का इस्तेमाल करके खतरनाक मैलवेयर को फैलाया और सरकारी संस्थानों की जासूसी की। इस पूरे अभियान के पीछे है APT41, जिसे साइबर जगत में पहले से ही एक बेहद चालाक और खतरनाक हैकिंग ग्रुप माना जाता है।
TOUGHPROGRESS: एक मैलवेयर जो दिखता नहीं, लेकिन सब चुरा लेता है
Google की थ्रेट इंटेलिजेंस ग्रुप (GTIG) ने हाल ही में एक रिपोर्ट में इस खतरनाक मैलवेयर का खुलासा किया है, जिसका नाम है TOUGHPROGRESS। यह एक ऐसा मैलवेयर है जो दिखने में मासूम लगता है, लेकिन इसकी पहुंच सिस्टम की गहराइयों तक होती है। GTIG के अनुसार, यह मैलवेयर अक्टूबर 2024 में पहली बार सामने आया और इसे खास तौर पर सरकारी संस्थानों को निशाना बनाने के लिए डिजाइन किया गया था।
इस हमले की शुरुआत होती है एक spear-phishing ईमेल से, जिसमें एक लिंक दिया गया होता है। यह लिंक किसी आधिकारिक सरकारी वेबसाइट की तरह दिखती है और यूजर को भ्रमित करने में सफल रहती है। जब यूजर इस लिंक पर क्लिक करता है, तो उसे एक ZIP फाइल डाउनलोड होती है, जिसमें एक Windows शॉर्टकट (.lnk) फाइल होती है। यह शॉर्टकट फाइल देखने में तो PDF जैसी लगती है, लेकिन इसकी हकीकत कुछ और ही होती है।
तीन चरणों में चलता है TOUGHPROGRESS का अटैक
जब यूजर उस PDF जैसे दिखने वाले .LNK फाइल को क्लिक करता है, तब एक खतरनाक 3-स्टेप इंफेक्शन प्रोसेस शुरू हो जाता है:
PLUSDROP: यह एक DLL फाइल है जो आगे के स्टेप के लिए मैलवेयर को मेमोरी में डिक्रिप्ट करती है।
PLUSINJECT: इस स्टेज पर svchost.exe जैसे सिस्टम प्रोसेसेज़ में कोड इंजेक्ट किया जाता है। इसे ‘Process Hollowing’ कहते हैं, जिससे यूजर को कोई संदिग्ध गतिविधि नजर नहीं आती।
TOUGHPROGRESS: यह असली मैलवेयर है जो Google Calendar के इवेंट्स से हैकर के कमांड्स को पढ़ता है और यूजर का संवेदनशील डेटा हैकर्स तक पहुंचाता है।
Google Calendar बना जासूसी का ज़रिया
इस मैलवेयर का सबसे चौंकाने वाला हिस्सा यह है कि यह किसी रिमोट सर्वर से नहीं, बल्कि Google Calendar जैसे भरोसेमंद टूल का इस्तेमाल करके कमांड्स और डेटा का आदान-प्रदान करता है। TOUGHPROGRESS खास-खास तारीखों पर ऐसे इवेंट्स बनाता है जिनकी ड्यूरेशन ‘0 मिनट’ होती है। इन इवेंट्स में हैकर के कमांड या डेटा एन्क्रिप्टेड रूप में मौजूद होते हैं। संक्रमित सिस्टम इन इवेंट्स को बार-बार चेक करता है और उनके आधार पर कार्य करता है।
यह एक तरह से साइबर जासूसी का नया तरीका है, जिसमें किसी रीयल-टाइम सर्वर से डेटा एक्सचेंज नहीं होता, जिससे इसे पकड़ना और भी मुश्किल हो जाता है।
APT41: वही पुराना चेहरा, नई चाल
APT41, जिसे Winnti, Brass Typhoon और Wicked Panda जैसे नामों से भी जाना जाता है, चीन से जुड़े एक अत्यंत दक्ष साइबर जासूसी समूह के रूप में जाना जाता है। यह ग्रुप पहले भी जापान, यूके और ताइवान जैसे देशों के सरकारी विभागों, टेक कंपनियों और मैन्युफैक्चरिंग यूनिट्स पर अटैक कर चुका है।
2023 में भी इसी ग्रुप ने Google Drive और Google Sheets का इस्तेमाल करते हुए एक और बैकडोर टूल – GC2 – तैयार किया था। उसमें हैकर्स ने Sheets के अंदर कमांड्स को छिपाकर संक्रमित सिस्टम से डेटा बाहर निकाला था।
गूगल की प्रतिक्रिया
Google ने इस खतरे को समय रहते पहचान लिया और संबंधित Google Calendar इवेंट्स और Workspace प्रोजेक्ट्स को तुरंत बंद कर दिया। इसके अलावा सभी प्रभावित संस्थानों को इस बारे में जानकारी भी दे दी गई है। हालांकि GTIG ने यह स्पष्ट किया है कि अभी तक इस हमले की पूरी सीमा का पता नहीं चल पाया है और जांच जारी है।
साइबर अटैक से कैसे बचें?
इस घटना ने यह स्पष्ट कर दिया है कि साइबर हमलावर अब उन प्लेटफॉर्म्स का इस्तेमाल कर रहे हैं जिन पर आम यूजर सबसे ज्यादा भरोसा करता है। इसलिए जरूरी है कि हम सतर्क रहें और निम्नलिखित उपाय अपनाएं:
- किसी भी अनजान ईमेल या अटैचमेंट को खोलने से बचें, खासकर अगर वह ZIP फॉर्मेट में हो।
- Windows में LNK फाइल प्रीव्यू को डिसेबल कर दें ताकि गलती से भी इन पर क्लिक न हो।
- अपडेटेड एंटीवायरस और सिक्योरिटी सॉफ्टवेयर का इस्तेमाल करें जो ऐसे फिशिंग अटैक को पहचान सके।
- अपने क्लाउड अकाउंट्स जैसे Google Drive, Calendar आदि की permissions और access logs समय-समय पर जांचें।
