हाल ही में चीनी समूह Salt Typhoon द्वारा टेलीकॉम कंपनियों और देशों पर किए गए कथित हमले – जिनमें ब्राजील भी शामिल है – ने पूरी दुनिया को सतर्क कर दिया है। खबरें इन घुसपैठों की परिष्कृत स्तर के बारे में बात कर रही हैं और, जो सबसे चिंताजनक है – अपराधी, सैद्धांतिक रूप से, अभी भी इन कंपनियों के नेटवर्क के अंदर हो सकते हैं।
इस समूह के बारे में पहली जानकारी 2021 में आई, जब माइक्रोसॉफ्ट की थ्रेट इंटेलिजेंस टीम ने जानकारी दी कि कैसे चीन ने सफलतापूर्वक कई इंटरनेट सेवा प्रदाताओं में घुसपैठ की, ताकि कंपनियों पर नजर रख सके और डेटा को पकड़ सके। समूह द्वारा किए गए पहले हमलों में से एक Cisco राउटरों में एक उल्लंघन के माध्यम से था, जो इन उपकरणों के माध्यम से हो रही इंटरनेट गतिविधियों की निगरानी के लिए एक गेटवे के रूप में कार्य कर रहे थे। एक बार जब पहुंच प्राप्त हो जाती, तो हैकर्स अपनी पहुंच को अतिरिक्त नेटवर्कों तक बढ़ाने में सक्षम हो जाते। अक्टूबर 2021 में, कास्परस्की ने पुष्टि की कि साइबर अपराधियों ने वियतनाम, इंडोनेशिया, थाईलैंड, मलेशिया, मिस्र, इथियोपिया और अफगानिस्तान जैसे अन्य देशों में भी हमले बढ़ा दिए हैं।
यदि पहली कमजोरियाँ 2021 से ही जानी जाती थीं, तो हम अभी भी क्यों हमला किए गए? उत्तर ठीक उसी में है कि हम रोज़मर्रा में इन कमजोरियों से कैसे निपटते हैं।
उल्लंघन की मेथड
अब, पिछले दिनों, अमेरिकी सरकार की जानकारी ने "कंपनियों और देशों" पर कई हमलों की पुष्टि की है - जो Ivanti निर्माता के VPN एप्लिकेशन, Fortinet Forticlient EMS में ज्ञात कमजोरियों से हुए थे, जिसका उपयोग सर्वरों, Sophos फायरवॉल्स और Microsoft Exchange सर्वरों की निगरानी के लिए किया जाता है।
माइक्रोसॉफ्ट की कमजोरी 2021 में सार्वजनिक की गई थी, जब तुरंत ही कंपनी ने सुधार प्रकाशित किए। सॉफॉस फायरवॉल में दोष 2022 में प्रकाशित हुआ था – और सितंबर 2023 में ठीक किया गया। 2023 में फोर्टिकलाइंट में पाए गए समस्याएं सार्वजनिक हो गईं, और मार्च 2024 में ठीक कर दी गईं – साथ ही इवान्टी की भी, जिनके CVEs (सामान्य कमजोरियों और जोखिमों) भी 2023 में दर्ज किए गए थे। कंपनी ने हालांकि, केवल पिछले अक्टूबर में ही उस कमजोरी को ठीक किया।
इन सभी कमजोरियों ने अपराधियों को आसानी से लक्षित नेटवर्क में घुसपैठ करने की अनुमति दी, जो प्रमाण पत्र और वैध सॉफ्टवेयर का उपयोग कर रहे थे, जिससे इन घुसपैठों का पता लगाना लगभग असंभव हो गया। उसके बाद, अपराधी इन नेटवर्कों के भीतर क्षैतिज रूप से चले गए, मैलवेयर स्थापित किए, जिन्होंने दीर्घकालिक जासूसी कार्य में मदद की।
हाल के हमलों में चिंताजनक बात यह है कि Salt Typhoon समूह के हैकर्स द्वारा उपयोग किए गए तरीके उन दीर्घकालिक रणनीतियों के साथ मेल खाते हैं जो पहले की अभियानों में चीनी सरकारी एजेंटों से संबंधित देखी गई हैं। इन विधियों में सामान्य संचालन के रूप में दुर्भावनापूर्ण गतिविधियों को छुपाने के लिए वैध प्रमाण पत्र का उपयोग शामिल है, जिससे पारंपरिक सुरक्षा प्रणालियों द्वारा पहचानना कठिन हो जाता है। विपणन में व्यापक रूप से उपयोग किए जाने वाले सॉफ्टवेयर जैसे VPN और फायरवॉल पर ध्यान केंद्रित करना कॉर्पोरेट और सरकारी वातावरण में कमजोरियों का गहरा ज्ञान दर्शाता है।
भेद्यताओं की समस्या
खुले हुए कमजोरियों में एक चिंताजनक पैटर्न भी प्रकट होता है: पैच और अपडेट्स के लागू करने में देरी। निर्माताओं द्वारा उपलब्ध कराई गई सुधारों के बावजूद, कई कंपनियों की परिचालन स्थिति इन समाधानों को तुरंत लागू करने में कठिनाई पैदा करती है। सामंजस्य परीक्षण, मिशन क्रिटिकल सिस्टमों में व्यवधानों से बचने की आवश्यकता और कुछ मामलों में, विफलताओं की गंभीरता के प्रति जागरूकता की कमी, एक्सपोज़र विंडो के बढ़ने में योगदान देती है।
यह मुद्दा केवल तकनीकी नहीं है, बल्कि संगठनात्मक और रणनीतिक भी है, जिसमें प्रक्रियाएं, प्राथमिकताएं और अक्सर कॉर्पोरेट संस्कृति शामिल हैं।
एक महत्वपूर्ण पहलू यह है कि कई कंपनियां पैच लागू करने को परिचालन निरंतरता की तुलना में एक "माध्यमिक" कार्य के रूप में मानती हैं। यह डाउntime का डिलेम्मा कहलाता है, जहां नेताओं को सिस्टम अपडेट करने के लिए अस्थायी सेवा बंद करने और भविष्य में संभावित शोषण के जोखिम के बीच निर्णय लेना पड़ता है। हालांकि, हाल के हमले दिखाते हैं कि इन अपडेट्स को टालना बहुत अधिक महंगा पड़ सकता है, वित्तीय और प्रतिष्ठात्मक दोनों ही मामलों में।
इसके अलावा, अनुकूलता परीक्षण सामान्य बाधा है। कई कॉर्पोरेट वातावरण, विशेष रूप से टेलीकॉम जैसे क्षेत्रों में, पुरानी और आधुनिक तकनीकों के जटिल संयोजन के साथ काम करते हैं। यह प्रत्येक अपडेट को सुनिश्चित करने के लिए एक महत्वपूर्ण प्रयास की आवश्यकता होती है कि पैच निर्भर प्रणालियों में समस्या न हो। इस तरह की देखभाल समझ में आती है, लेकिन इसे मजबूत परीक्षण वातावरण और स्वचालित मान्यता प्रक्रियाओं जैसी प्रथाओं को अपनाकर कम किया जा सकता है।
पैच लागू करने में देरी का एक और कारण दोषों की गंभीरता के प्रति जागरूकता की कमी है। अक्सर, आईटी टीमें एक विशिष्ट CVE के महत्व को कम आंकती हैं, विशेष रूप से जब तक कि इसे अभी तक व्यापक रूप से exploited नहीं किया गया हो। समस्या यह है कि हमलावरों के लिए अवसर की खिड़की उस समय खुल सकती है जब संगठन समस्या की गंभीरता को समझने से पहले ही। यह एक ऐसा क्षेत्र है जहां खतरे की बुद्धिमत्ता और प्रौद्योगिकी प्रदाताओं और कंपनियों के बीच स्पष्ट संचार पूरी तरह से फर्क कर सकता है।
अंत में, कंपनियों को कमजोरियों के प्रबंधन के लिए एक अधिक सक्रिय और प्राथमिकता वाली दृष्टिकोण अपनाना चाहिए, जिसमें पैचिंग प्रक्रियाओं का स्वचालन, नेटवर्क का विभाजन, संभावित आक्रमणों के प्रभाव को सीमित करना, नियमित रूप से संभावित हमलों का अनुकरण करने की आदत शामिल है, जो संभावित "कमजोरियों के बिंदुओं" को खोजने में मदद करता है।
पैच और अपडेट में देरी की समस्या केवल एक तकनीकी चुनौती नहीं है, बल्कि संगठनों के लिए अपनी सुरक्षा दृष्टिकोण को बदलने का एक अवसर भी है, जिससे यह अधिक तेज़, अनुकूल और लचीला बन सके। सबसे ऊपर, यह संचालन का तरीका नया नहीं है, और सैकड़ों अन्य हमले भी इसी के साथ किए जाते हैं।कार्यप्रणालीवे प्रवेश द्वार के रूप में उपयोग की जाने वाली कमजोरियों से शुरू होता है। इस पाठ का लाभ उठाना पीड़ित होने या अगली हमले के लिए तैयार रहने के बीच का अंतर हो सकता है।
