नेपाल टेलिकमको सर्भर Hacked, चिनियाँ ह्याकर माथी आशंका
चिनियाँ ह्याकरले नेपाल टेलिकमको सर्भर ह्याक गरेको आशंका गरिएको छ । सरकारी स्वामित्वको दूरसञ्चार कम्पनीले प्रयोग गरेको ओराकल ग्लाश फिश सर्भर ह्याक गरी चिनियाँ साइबर अपराधीहरूले कल डेटा रेकर्ड (सीडीआर) समेत चोरी गरेको दाबी गरेका छन् ।
तर टेलिकमले भने सीडीआरमा ह्याकरले एक्सेस नपाएको दाबी गरेको छ । ह्याकरहरूले एड्भान्स पर्सिस्टेन्ट थ्रेट (एपीटी) ४१ र एड्भान्स पर्सिस्टेन्ट थ्रेट (एपीटी) ७१ ट्याक्टिस र ब्याकडोर वेपन प्रयोग गरेको बताइएको छ ।
टेलिकमका प्रबन्ध निर्देशक डिल्लिराम अधिकारीले कम्पनीको मुख्य सर्भर सुरक्षित रहेको दाबी गरे । टेकपानासँग कुराकानी गर्दै उनले भने, ‘सीडीएमएको पुरानो सर्भरमाथि आक्रमण भएको हुनसक्ने अनुमान छ । हाम्रो प्राविधिक टिमले यस विषयमा विस्तृत रुपमा अध्ययन गर्दैछ । हाम्रो मुख्य सर्भर भने उच्च स्तरको फायरवालबाट प्रोटेक्टेड छ ।’
साइबर सुरक्षा कम्पनी भैरब टेक्नोलोजीले चिनियाँ सरकारले संरक्षण गरेका ह्याकरहरूले प्रयोग गर्ने ट्याक्टिस र ब्याकडोर वेपन प्रयोग भएको बताएको छ ।
यस आधारमा यो ह्याकिङमा चिनियाँ सरकारी ह्याकरको प्रत्यक्ष संलग्नतालाई पुष्टी गर्न नसकिए पनि उनीहरूले सम्झौता (कन्ट्र्याक्ट) गरेका ह्याकर हुनसक्ने भैरव टेक्नोलोजीको विश्लेषण छ ।
ह्याकरहरूले टेलिकमको सर्भरबाट एपीटी ४१ र एपीटी ७१ मा सीडीआर डेटा लगेको देखिएको साइबर सुरक्षा कम्पनीले जनाएको छ ।
‘पहिला कन्फिडेन्सियल डकुमेन्ट लगेको देखिन्थ्यो,’ भैरव टेक्नोलोजीका संस्थापक तथा सीईओ विजय लिम्बूले टेकपानासँग भने, ‘अहिले प्रयोगकर्ताको डिटेल्स लगेको देखिन्छ । तर त्यसमा के के थियो भन्ने कुरा चाहिँ यकिन छैन ।’
टेलिकमको सर्भरमा आक्रमण गर्न अपराधीहरूले वेब भल्नराबेलिटी स्क्यानर टुल Acunetix प्रयोग गरेका छन् । त्यसपछि Cobalt Strike अफेन्सिभ टुल प्रयोग गरी कम्पनीको सर्भरमा ब्याकडोर छोड्ने र डेटा चोरी गर्ने काम भएको छ ।
सुरक्षा कमजोरी फेला परिसकेपछि त्यसबाट पुनः भित्र प्रवेश गर्ने द्वार खडा गर्ने तरिकालाई ब्याकडोर भन्ने गरिन्छ । तर कम्पनीमाथिको यो साइबर हमला गत जुनदेखि नै जारी रहेको बताइएको छ । ‘योजना त्यस अघि देखि नै बनाएको देखिन्छ,’ लिम्बूले भने ।
टेलिकमको सर्भरबाट चोरी भएको डेटा बिक्रीका लागि डार्कवेबमा राखेको देखिन्छ ।
जसमा एक जना अपरिचित व्यक्तिले गत जुन २९ मा नै टेलिकमको सीडीआर कल डेटा रेकर्ड २५० अमेरिकी डलरमा बिक्रीमा राखेको उल्लेख छ ।
जसमा फिलिपिन्स, पाकिस्तान र नेपालको टेलिकम कम्पनीको डेटा बिक्रीमा राखिएको दाबी छ । तर त्यो कत्तिको यकिन डेटा हो भन्ने कुरा चाहिँ पुष्टि भइसकेको छैन ।
समयमै भल्नरेबिलिटी स्क्यान गरी प्याच गर्न नसक्दा यो साइबर आक्रमण भएको साइबर सुरक्षा अनुसन्धानकर्ताहरूको विश्लेषण छ ।
‘यो जेरो डे (भर्खर देखिएको सुरक्षा कमजोरी) होइन,’ साइबर सुरक्षा विज्ञ लिम्बूले भने, ‘यो सजिलै प्याच गर्न सकिने किसिमको सुरक्षा कमजोरी हो । यसबाट टेलिकमसँग भल्नराबेलिटी एसेसमेन्ट गरेर प्याच गर्ने स्पष्ट प्रोसेसर नभएको देखियो ।’
तर टेलिकमका प्राविधिकहरूले भने सीडीआरको डेटा लिक भएको कतैबाट पनि पुष्टी हुन नसकेको बताएका छन् ।
कम्पनीका इन्जिनियर अमृत नेपालले डार्क वेबमा राखिएको विवरणमा सीडीआरको कुनै एउटा नमूना समेत नरहेको उल्लेख गरे ।
‘सामान्यतयाः सीडीआरको डेटा लिक भएको भए कुनै एउटा स्याम्पल राखिएको हुन्थ्यो होला,’ उनले भने, ‘तर त्यसमा नेपाल सहित तीन देशको डेटा भनेर समग्रमा उल्लेख गरिएको मात्र छ.
सर्भरमा ह्याकरले आक्रमण गरेपछि टेलिकमले आफ्नो एउटा सर्भर बन्द गरेको छ । शंकास्पद सर्भर सर्ट डाउन गरेको प्रवक्ता राजेश जोशीले बताए ।
चीनको ट्याग–२२ ग्रुपले सर्भर हृयाक गरेका दावी गरेको छ । यो सूमह चीनको राज्य सञ्चालित समूह रहेको दावी गरिएको छ ।
गत असार ९ गते बिहान करिब अढाई घण्टा टेलिकमको जीएसएम सेवा अवरुद्ध भएको थियो । त्यसमा पनि यसको कनेक्सन हुनसक्ने अनुमान टेलिमका अधिकारीहरुले गरेका छन् ।
टेकपाना मा प्रकाशित
