एक अमेरिकी साइबर अधिकारी के अनुसार, लोगों को कहीं भी काम करने के लिए रिमोट एक्सेस की शुरुआत करने वाली कंपनी सिट्रिक्स सिस्टम्स इंक के सॉफ्टवेयर में एक गंभीर खामी का सरकार समर्थित हैकर्स और आपराधिक समूहों ने फायदा उठाया है।
Citrix ऑनलाइन पोस्ट और साइबर सुरक्षा शोधकर्ताओं के अनुसार, Citrix Bleed नाम की इस खामी का पता चलने से पहले हैकर्स ने कई हफ्तों तक गुप्त रूप से इसका दुरुपयोग किया था और पिछले महीने इसे ठीक कर दिया गया था। तब से, शोधकर्ताओं का कहना है कि हैकर्स ने बग का शोषण तेज कर दिया है, और उन हजारों ग्राहकों में से कुछ को लक्षित किया है जिन्होंने पैच लागू नहीं किया है।
सीआईएसए के नाम से जानी जाने वाली अमेरिकी साइबर सुरक्षा और इंफ्रास्ट्रक्चर सुरक्षा एजेंसी में साइबर सुरक्षा के कार्यकारी सहायक निदेशक एरिक गोल्डस्टीन ने कहा, “हम जानते हैं कि देश और आपराधिक समूहों दोनों सहित कई प्रकार के दुर्भावनापूर्ण अभिनेता सिट्रिक्स ब्लीड भेद्यता का लाभ उठाने पर ध्यान केंद्रित कर रहे हैं।” , ब्लूमबर्ग न्यूज़ को बताया।
गोल्डस्टीन ने कहा, सीआईएसए पीड़ितों को सहायता प्रदान कर रहा है, जिन्होंने उनकी पहचान करने से इनकार कर दिया। उन्होंने कहा कि विरोधी संवेदनशील जानकारी चुराने और व्यापक नेटवर्क पहुंच हासिल करने का प्रयास करने के लिए भेद्यता का फायदा उठा सकते हैं।
Citrix ने टिप्पणी मांगने वाले संदेशों का जवाब नहीं दिया।
वैश्विक बैंकिंग सुरक्षा संघ, एफएस-आईएसएसी के अनुसार, सिट्रिक्स ब्लीड बग का फायदा उठाने वाले आपराधिक समूहों में दुनिया के सबसे कुख्यात हैकिंग गिरोहों में से एक लॉकबिट भी शामिल है, जिसने मंगलवार को वित्तीय संस्थानों के लिए जोखिम के बारे में एक सुरक्षा बुलेटिन जारी किया।
मामले से परिचित एक व्यक्ति के अनुसार, अमेरिकी ट्रेजरी ने यह भी कहा है कि वह इस बात की जांच कर रहा है कि क्या हाल ही में इंडस्ट्रियल एंड कमर्शियल बैंक ऑफ चाइना लिमिटेड के खिलाफ दुर्बल फिरौती हैक के लिए सिट्रिक्स कमजोरियां जिम्मेदार हैं। इस उल्लंघन के कारण दुनिया का सबसे बड़ा बैंक अमेरिकी ट्रेजरी लेनदेन के बड़े हिस्से को चुकाने में असमर्थ हो गया। आईसीबीसी ने टिप्पणी के अनुरोध का जवाब नहीं दिया।
लॉकबिट ने आईसीबीसी हैक के लिए श्रेय का दावा किया, और गिरोह के एक प्रतिनिधि ने कहा कि बैंक ने फिरौती का भुगतान किया, हालांकि ब्लूमबर्ग स्वतंत्र रूप से दावे की पुष्टि करने में सक्षम नहीं था। वॉल स्ट्रीट जर्नल ने पहले अमेरिकी ट्रेजरी नोट की रिपोर्ट दी थी।
सिट्रिक्स ने घोषणा की कि उसने 10 अक्टूबर को सिट्रिक्स ब्लीड बग की खोज की है और एक पैच जारी किया है। कंपनी ने कहा कि उस समय ऐसा कोई संकेत नहीं था कि किसी ने भेद्यता का फायदा उठाया हो।
Citrix पोस्ट और साइबर सुरक्षा शोधकर्ताओं के अनुसार, तब से, हालांकि, कई Citrix ग्राहकों ने पाया है कि पैच जारी होने से पहले उनका उल्लंघन किया गया था। मामले से परिचित एक व्यक्ति के अनुसार, एक प्रारंभिक शिकार यूरोपीय सरकार थी, जिसने देश का नाम बताने से इनकार कर दिया।
सीआईएसए के अनुसार, सिट्रिक्स ब्लीड बग एक हैकर को पीड़ित के सिस्टम पर नियंत्रण लेने की अनुमति दे सकता है। पालो ऑल्टो नेटवर्क्स इंक की साइबर सुरक्षा कंपनी अनुसंधान शाखा, यूनिट 42 के अनुसार, इस दोष को इसका उपनाम मिला क्योंकि यह डिवाइस की मेमोरी से संवेदनशील जानकारी लीक कर सकता है। लीक हुए डेटा में “सत्र टोकन” शामिल हो सकते हैं जो किसी विज़िटर की पहचान और प्रमाणीकरण कर सकते हैं पासवर्ड डाले बिना एक विशिष्ट वेबसाइट या सेवा।
सिट्रिक्स द्वारा इस भेद्यता को चिह्नित किए जाने के बाद साइबर सिक्योरिटी फर्म मैंडिएंट ने इस भेद्यता पर गौर करना शुरू कर दिया और अंततः अगस्त के अंत में बग को सार्वजनिक किए जाने या उसे ठीक किए जाने से पहले कई पीड़ितों को ढूंढ निकाला।
मैंडिएंट की परामर्श शाखा के मुख्य प्रौद्योगिकी अधिकारी चार्ल्स कारमाकल ने ब्लूमबर्ग को बताया कि वे शुरुआती हमले वित्तीय रूप से प्रेरित नहीं थे। उन्होंने कहा, मैंडिएंट अभी भी यह आकलन कर रहा है कि क्या वे शुरुआती घुसपैठ किसी राष्ट्र राज्य, संभवतः चीन द्वारा जासूसी उद्देश्यों के लिए आयोजित की गई थीं।
टिप्पणी के लिए पूछे जाने पर, वाशिंगटन में चीनी दूतावास ने सिट्रिक्स भेद्यता का समाधान नहीं किया, बल्कि विदेश मंत्रालय की 10 नवंबर की टिप्पणियों का हवाला दिया। मंत्रालय ने कहा, “आईसीबीसी इस पर बारीकी से नजर रख रहा है और जोखिम, प्रभाव और क्षति को कम करने के लिए प्रभावी आपातकालीन प्रतिक्रिया उपाय किए हैं और उचित पर्यवेक्षण और संचार में लगा हुआ है।”
सिट्रिक्स ने 23 अक्टूबर को अपने मार्गदर्शन को अपडेट किया जिसमें न केवल पैचिंग बल्कि “सभी सक्रिय और लगातार सत्रों को बंद करने” की सिफारिश की गई।
हज़ारों कंपनियाँ अपने Citrix सॉफ़्टवेयर को अपडेट करने और अन्य कार्रवाइयां करने में विफल रहीं जिनकी कंपनी, CISA और अन्य ने तत्काल अनुशंसा की थी। पालो ऑल्टो की यूनिट 42 टीमें, जिन्होंने रैंसमवेयर समूहों को बग का फायदा उठाते हुए भी देखा है, ने 1 नवंबर के ब्लॉग में कहा कि कम से कम 6,000 आईपी पते असुरक्षित दिखाई देते हैं और इनमें से सबसे बड़ी संख्या में डिवाइस अमेरिका में स्थित हैं, साथ ही अन्य भी जर्मनी, चीन और यूके।
ग्रेनोइज़, एक कंपनी जो आईपी पते द्वारा स्कैनिंग का विश्लेषण करती है, ने बताया कि उसने 17 अक्टूबर को इसे ट्रैक करना शुरू करने के बाद से सिट्रिक्स ब्लीड शोषण का उपयोग करने का प्रयास करते हुए 335 अद्वितीय आईपी पते देखे हैं।
लॉकबिट एक गिरोह का नाम और उसके द्वारा निर्मित एक प्रकार का रैंसमवेयर दोनों है। एफबीआई का कहना है कि यह 2020 से अमेरिका के खिलाफ 1,700 से अधिक हमलों के लिए जिम्मेदार है।
एक सुरक्षा शोधकर्ता, केविन ब्यूमोंट ने कहा कि लॉकबिट द्वारा सिट्रिक्स दोष का शोषण कई पीड़ितों तक फैला हुआ है। उन्होंने मीडियम पर एक पोस्ट में कहा, लॉ फर्म एलन एंड ओवरी को Citrix दोष के माध्यम से उल्लंघन किया गया था, और विमानन दिग्गज बोइंग कंपनी और पोर्ट ऑपरेटर DP वर्ल्ड पीएलसी ने Citrix उपकरणों को अनपैच कर दिया था, जिससे हैकर्स संभावित रूप से बग का फायदा उठा सकते थे।
ब्यूमोंट ने इस खामी को “दोहन करना अविश्वसनीय रूप से आसान” बताया और कहा, “अभी हम जिस साइबर सुरक्षा वास्तविकता में जी रहे हैं वह यह है कि किशोर डिजिटल बाज़ूकाओं के साथ संगठित अपराध गिरोहों में भाग रहे हैं।”
एलन एंड ओवरी, डीपी वर्ल्ड और बोइंग के प्रतिनिधियों ने यह नहीं बताया कि क्या सिट्रिक्स बग का फायदा उठाया गया था। एक प्रवक्ता ने कहा कि एलन एंड ओवरी की घटना ने कम संख्या में स्टोरेज सर्वरों को प्रभावित किया है लेकिन कोर सिस्टम प्रभावित नहीं हुए हैं। एक प्रवक्ता ने कहा कि बोइंग के हिस्सों और वितरण प्रणाली को प्रभावित करने वाले उल्लंघन की जांच जारी है।
डीपी वर्ल्ड के एक प्रतिनिधि ने कहा कि जांच की चल रही प्रकृति के कारण कंपनी सीमित विवरण उपलब्ध करा सकती है। ब्यूमोंट ने टिप्पणी के अनुरोध का जवाब नहीं दिया।