Cyber Attack: दिल्ली AIIMS पर साइबर अटैक करने में कैसे सफल हो गए हैकर्स, चुरा लिया बेशकीमती डेटा; जानें कहां हो गई चूक

Delhi AIIMS Cyber Attack: AIIMS दिल्ली पर आज साइबर अटैक हुए दो हफ़्तों से ज्यादा समय बीत चुका है. बीते 2 हफ़्तों से भारत की कई जांच एंजेंसिया जांच में लगी हुई हैं. दर्जन भर साइबर विशेषज्ञ भी AIIMS पर हुए साइबर अटैक की जांच कर रहे हैं. ऐसे में 2 हफ़्तों में जांच एजेंसियों के सामने AIIMS पर हुए साइबर अटैक के क्या कुछ तथ्य सामने आए हैं, इसकी परत दर परत आपको बताते हैं. 

उससे पहले आप AIIMS दिल्ली का मई 2021 के Internal Circular के बारे में जान लीजिए, जिसे AIIMS के कंप्यूटर विभाग ने जारी किया था. इस सर्कुलर में AIIMS के प्रशासन ने काम करने वाले लोगों को बताया था कि AIIMS पर लगातार Email Spoofing के सहारे Phishing Attack किए जा रहे हैं और इन अटैक का उद्देश्य सेंसटिव डेटा को चोरी करना है और सिक्योरिटी को ब्रीच करना है.

हैकर्स ने 20 जून को भेजा था फिशिंग लिंक

ज़ी मीडिया के पास मौजूद इस Exclusive Circular में बताया गया है कि कैसे एक हैकर ने जून 2020 में AIIMS के तत्कालीन डायरेक्टर डॉ रणदीप गुलेरिया के फर्जी SPOOF ईमेल के सहारे AIIMS के कंप्यूटर विभाग को जून 2020 में PHISING लिंक भेजा था. यानी AIIMS के सर्वर और डेटा पर हैकरों की नजर बीते कई वर्षो से थी, जिसे 23 नवंबर को भेदने में साइबर आतंकी सफल रहे थे.

अब आते हैं 23 नवंबर को AIIMS दिल्ली पर हुए साइबर अटैक पर. AIIMS दिल्ली पर हुए इस साइबर अटैक में भारत सरकार की 5 एजेंसिया दिल्ली पुलिस की IFSO, NIA, CBI, NIC और Cert-in जांच कर रही हैं. इन एजेंसियों से जुड़े कई सूत्रों ने ज़ी मीडिया को प्राथमिक जांच में पाई गई महत्वपूर्ण जानकारियां साझा की है.

23 नवंबर को बना लिया था बंधक

सबसे पहली जानकारी AIIMS के eHospital सर्वर पर आखिरी सफल transaction 23 नवंबर को सुबह 7 बज कर 7 मिनट और 49 सेकंड पर हुआ था. इसी के कुछ देर बाद सर्वर को हैकर्स ने बंधक बना लिया था. हैकर्स ने AIIMS के सर्वर पर RANSOMWARE दो ईमेल आईडी के माध्यम से भेजे थे. पहली ईमेल आईडी थी: पहली dogA2398@protonmail.com और दूसरी थी mouse63209@protonmail.com

जांच के दौरान साइबर विशेषज्ञों ने पाया कि इन दोनों ईमेल ID का IP address 146.196.54.222 था, जिसके सर्वर का पता ग्लोबल नेटवर्क, फ्रांसिट लिमिटेड रोड डी/3 एफ ब्लाक-2, 62 युआन रोड हांगकांग -00852 मिला है. हालांकि जांच में शामिल एक साइबर विशेषज्ञ के मुताबिक हैकरों ने VPN का प्रयोग किया था, जिससे उनका असल पता सुरक्षा एजेंसियों तक न पहुंच पाए.

4 करोड़ रुपये की फिरौती की मांग

जांच में शामिल एक विशेषज्ञ के मुताबिक हैकरों ने mouse63209@protonmail.com के जरिए 4 करोड़ रुपये की कीमत के 30 बिटकॉइन की मांग की थी और धमकी दी थी अगर मांगे गए बिटकॉइन 5 दिसंबर तक नही दिए गए तो वो डेटा को लीक कर देंगे और AIIMS दोबारा कभी भी डेटा को रिकवर नहीं कर पाएगा.

AIIMS पर हुए साइबर हमले की प्राथमिक रिपोर्ट में एक तथ्य यह भी सामने आया है कि AIIMS दिल्ली अमेरिकी कंपनी Synacor के Zimbra Email System का उपयोग करता था. Zee News के पास मौजूद अमेरिकी सरकार के National Vulnerability Database (NVD) की सितम्बर महीने में Zimbra Email System पर जारी की गई Exclusive रिपोर्ट के मुताबिक उन्हें Zimbra Email System में CVE-2022-41352 नाम की एक DAY Vulnerability मिली है यानी एक ऐसी VUNREBILITY जिसे कभी ना खोजा गया हो. NVD के मुताबिक अगर हैकर इस ईमेल सिस्टम का प्रयोग करने वाले को कोई malware file भेजता है तो हैकर रिमोटली कोई भी खतरनाक फ़ाइल ईमेल सर्वर पर अपलोड कर एग्जिक्यूट कर सकता है.

सिक्योरिटी सिस्टम अपडेट न होने का खामियाजा

NVD के अलावा एंटीवायरस कंपनी कैस्परस्की ने भी रिपोर्ट जारी कर बताया था कि ZIMBRA में मौजूद इस VUNERBILITY का प्रयोग APT GROUPS ( Advance Persistant Threat Group) मध्य एशिया में सर्वर हैक करने के लिए कर रहे हैं. जिसके बाद Zimbra ने 14 अक्टूबर को इस VUNERBILITY को दूर करने के लिए एक सिक्योरिटी पैच update भी जारी किया था.

AIIMS के साइबर अटैक की जांच करने वाले एक विशेषज्ञ के मुताबिक 23 नवंबर को हुए साइबर अटैक के समय कई सिस्टम जो ZIMBRA का प्रयोग करते थे, उन्होंने इस SECURITY PATCH को अपडेट नही किया था. साइबर सुरक्षा विशेषज्ञ अमित दुबे ने Zee News के पास मौजूद इस Exclusive जानकारी पर बातचीत करते हुए AIIMS प्रशासन को कटघरे में खड़ा किया और कहा कि आखिर क्यों SECURITY पैच के जारी होने के बाद भी सिस्टम अपग्रेड नहीं किए गए थे. साइबर विशेषज्ञ अमित दुबे के मुताबिक प्रथम दृष्टया यही लग रहा है कि सिक्योरिटी पैच अपडेट ना होने की वजह से ही Ransomware सर्वर के भीतर घुस गया और साइबर आतंकी AIIMS के पूरे सिस्टम को बंधक बनाने में कामयाब हो गए.

हैकर्स ने एम्स के 4 सर्वर किए थे इफेक्ट

AIIMS साइबर हमले की प्राथमिक जांच में यह भी सामने आया है कि ईमेल के जरिये हैकरों ने जो Malware भेजा था जो पहले Windows Operating System पर Open हुआ. फिर LOCAL AREA NETWORK (LAN) के सहारे Linux सिस्टम में पहुंच गया, जहां AIIMS का सारा डेटा स्टोर था. इस डेटा को बंधक बना कर हैकरों ने सारे डेटाबेस को .bak9 extention में बदल कर Encrypt कर दिया था.

अपनी जांच रिपोर्ट में विशेषज्ञों ने सवाल उठाते हुए बताया कि AIIMS के कई नेटवर्क के स्विच Mismanaged थे, जिसकी वजह से सारे सिस्टम इकट्ठा अपडेट नही हुए थे. जांच में शामिल एक विशेषज्ञ के मुताबिक 23 नवंबर के साइबर हमले में AIIMS के कुल 4 सर्वर हैकरों ने इफेक्ट किये थे जिसमें 2 application servers, 1 database server और 1 back-up server था.

क्या वीवीआईपी के हेल्थ डेटा पर थी नजर?

AIIMS पर हुए साइबर अटैक पर साइबर सिक्योरिटी फर्म Sectrio ने भी एक रिपोर्ट जारी की है जिसमे SECTRIO ने बताया है AIIMS दिल्ली में काम करने वाले कई लोगों के पर्सनल ईमेल और पासवर्ड डार्कवेब पर पहले से ही लीक हुए पड़े थे. ऐसे में हैकरों ने रेकी करने के लिए हो सकता है काम करने वाले कई लोगों के Official Email Id को भी compromise किया हो. Sectrio ने अपनी रिपोर्ट में यह भी आशंका जताई है की हैकरों की नज़र पैसे पर नही AIIMS के डेटाबेस में मौजूद VVIP लोगों के हेल्थ डेटा पर थी. उन्होंने RANSOM में बिटकॉइन की मांग को सिर्फ जांच को भटकाने के उद्देश्य से इस्तेमाल किया हो सकता है.

भारत मे साइबर सुरक्षा की दशा पर पिछले वर्ष अक्टूबर में साइबर सुरक्षा पर निगरानी करने वाली कंपनी Cloudsek ने Abysmal State of Global Critical Infra Security नाम से रिपोर्ट जारी कर बताया था कि भारत के जरूरी संसाधन यानी CRITICAL INFRASTRUCTURE पूरे विश्व में सबसे असुरक्षित हैं. Cloudsek की रिपोर्ट के मुताबिक भारत के 13 जरूरी इंफ्रास्ट्रक्चर Default Username और पासवर्ड का उपयोग करते हैं यानी जो Username और Password उन्हें device देते समय device बनाने वाली कंपनी ने दिये थे. उन्हें बदले बिना इस्तेमाल किया जा रहा है.

(पाठकों की पहली पसंद Zeenews.com/Hindi - अब किसी और की ज़रूरत नहीं)