इस साल की शुरुआत में रूसी साइबर सुरक्षा फर्म कैस्परस्की के शोधकर्ताओं ने पाया कि चीन और पाकिस्तान की सरकारी एवं दूरसंचार संस्थाओं के माइक्रोसॉफ्ट विंडोज पीसी पर साइबर हमले की कोशिश की गई। इसकी शुरुआत जून 2020 में हुई और अप्रैल, 2021 तक यह चलता रहा। डिजिटल जासूसों द्वारा उपयोग किए जाने वाले हैकिंग सॉफ़्टवेयर ने शोधकर्ताओं का ध्यान अपनी तरफ खींचा था। इस सॉफ्टवेयर को कैस्परस्की ने बिटर एपीटी नाम दिया था, जो एक अज्ञात सरकारी एजेंसी के लिए छद्म नाम था। कोड कुछ ऐसा था, जिन्हें मास्को के एंटीवायरस प्रोवाइडर ने पहले भी देखा था और इसके लिए एक कंपनी को जिम्मेदार ठहराया था और उसे मोजेज का क्रिप्टोनाम दिया था।
कैस्परस्की ने कहा कि मोजेज हैकिंग टेक उपलब्ध कराने वाली रहस्यमय प्रोवाइडर है, जिसे “जीरो-डे एक्सप्लॉइट ब्रोकर” के रूप में जाना जाता है। ऐसी कंपनियां 130 बिलियन डॉलर के समग्र साइबर सुरक्षा उद्योग के भीतर ही काम करती हैं। ये एक्स्प्लॉइट सॉफ्टवेयर का निर्माण करती हैं जो जीरो डे के रूप में जानी जाने वाली खामियों के जरिये कंप्यूटर को हैक कर सकता है (इसे जीरो डे इसलिए कहा जाता है, क्योंकि सार्वजनिक रूप से पता चलने से पहले डेवलपर्स के पास इसे ठीक करने के लिए जीरो डे होता है, यानी समय नहीं होता है।) वे सुपर-पावर्ड लॉकपिक्स की तरह काम करते हैं, जो ऑपरेटिंग सिस्टम या ऐप में खामियां खोजते हैं, ताकि हैकर या जासूस को सेंध लगाने का मौका मिल सके। इनकी मदद से वे रोजाना 2 मिलियन डॉलर तक कमा सकते हैं। इन एक्स्प्लॉइट को खरीदने वालों के पास या तो जीरो डे की जानकारी रखने वालों से खुद को बचाने की ताकत रहती है या फिर वे दूसरों को भारी नुकसान पहुंचा सकते हैं। उदाहरण के लिए, हैकर्स ने 2.5 बिलियन डॉलर मार्केट कैप वाली साफ्टवेयर प्रोवाइडर सोलरविंड्स और उसके कई ग्राहकों को निशाना बनाने के लिए कुख्यात 2020 जीरो का प्रयोग किया था। इसके ग्राहकों में अमेरिकी सरकार के विभागों से लेकर सिस्को और माइक्रोसॉफ्ट जैसे तकनीकी दिग्गज थे। इस कारण से सोलरविंड्स को कम से कम 18 मिलियन डॉलर का नुकसान हुआ था। अगर उसके ग्राहकों को हुए नुकसान की गणना की जाए, तो कई अरब तक आंकड़ा पहुंच जाएगा।
कभी-कभी अमेरिकी कंपनियां शिकार नहीं होतीं, लेकिन महंगी डिजिटल जासूसी को बढ़ावा देने वाली कंपनियां इसका शिकार हो जाती हैं। कैस्परस्की के शोध से जुड़े दो सूत्रों के मुताबिक, फोर्ब्स ने पाया है कि मोजेज की असली पहचान है कि यह एक ऑस्टिन, टेक्सास, कंपनी है जिसे एक्सोडस इंटेलिजेंस कहा जाता है। और मोजेज का ग्राहक, जिसे बिटर एपीटी नाम दिया गया है, वह असल में भारत है।
साइबर सुरक्षा और इंटेलिजेंस की दुनिया के बाहर एक्सोडस को कम ही जाना जाता है। पिछले दस साल में, एक्सोडस ने टाइम मैगज़ीन की कवर स्टोरी और एक टूल लीक के साथ अपने लिए नाम कमाया है। इसका उपयोग कर कानून प्रवर्तन एजेंसियों ने टोर ब्राउजर की मदद से बच्चों को फंसाने वालों को पकड़ा था। यह रक्षा विभाग की अनुसंधान एजेंसी डारपा, सिस्को और फोर्टिनेट जैसी प्रमुख तकनीकी फर्मों के साथ साझेदारी का भी दावा करता है, और 2.6 बिलियन डॉलर (2020 की बिक्री) का साइबर सुरक्षा संगठन होने का दावा करता है। लुटा सिक्योरिटी की संस्थापक और माइक्रोसॉफ्ट में बग बाउंटी की शुरुआत करने वाली केटी मौसोरिस ने कहा, “ये इसलिए खास हैं, क्योंकि यह बाजार अपेक्षाकृत छोटा है और जीरो डे खोजने की क्षमता रखने वाले पूरी दुनिया में बस कुछ हजार लोग ही हैं।”
फाइव आईज देशों (खुफिया सूचनाएं साझा करने वाले देशों का एक गठबंधन जिसमें यूएस, यूके, कनाडा, ऑस्ट्रेलिया और न्यूजीलैंड शामिल हैं) या उनके सहयोगियों द्वारा पूछे जाने पर एक्सोडस जीरो-डे की जानकारी और उससे जुड़े सॉफ़्टवेयर की जानकारी देती है। लेकिन इसका मुख्य उत्पाद सॉफ्टवेयर कमजोरियों के फेसबुक न्यूज फीड के समान है, जाे बिना एक्सप्लॉइट के ही प्रति वर्ष 250,000 डॉलर तक की कमाई कराता है। इसे मुख्य रूप से डिफेंडर के तौर पर बेचा जाता है, लेकिन इसे खरीदने वाले जीरो डे की जानकारी का इस्तेमाल किसी भी काम के लिए कर सकते हैं। इस जीरो डे में विंडोज व गूगल के एंड्रायड से लेकर एपल के आईओएस तक के ऑपरेटिंग सिस्टम से जुड़े जीरो डे शामिल होते हैं।
एक्सोडस के 37 वर्षीय सीईओ और सह-संस्थापक लोगन ब्राउन का कहना है कि भारत ने जो फीड खरीदा था, उसे हथियार बना लिया है। एक जांच के बाद उसने फोर्ब्स को बताया कि उसका मानना है कि भारत ने इस फीड से विंडोज की ऐसी खामियों को चुना जिससे उसे ऑपरेटिंग सिस्टम में घुसने का मौका मिला। भारत सरकार के अधिकारियों ने अपने हक में इनका इस्तेमाल किया। ब्राउन ने कहा, बाद में अप्रैल में भारत को खरीदारों की श्रेणी से बाहर कर दिया गया और एक्सोडस ने माइक्रोसॉफ्ट के साथ मिलकर खामियों को दूर किया। भारत ने जो प्रयोग किया, वह कंपनी के उद्देश्य से परे था। इस सवाल पर कि क्या एक्सोडस यह तय नहीं करता कि ग्राहक उसके निष्कर्षों का क्या करेंगे, ब्राउन ने कहा, “यदि आप चाहें तो आप इसे आक्रामक रूप से उपयोग कर सकते हैं, लेकिन यदि आप ऐसा कर रहे हैं, जो हमें स्वीकार नहीं, . . पाकिस्तान और चीन पर निशाना। मैं इसका हिस्सेदार नहीं हूं।” (लंदन में भारतीय दूतावास ने इस पर कोई जवाब नहीं दिया है।)
कंपनी ने एक दूसरी खामी को भी देखा, जिसके लिए कैस्परस्की ने मोजेज को जिम्मेदार ठहराया था। इस खामी से विंडोज के कंप्यूटर पर हैकर्स को नियंत्रण मिल सकता है। यह किसी विशेष जासूसी अभियान से जुड़ी खामी नहीं थी, लेकिन ब्राउन ने पुष्टि की कि यह उनकी कंपनी ने ही खोजा था, उसने कहा कि संभव है कि भारत ने या उसके किसी अन्य ग्राहक ने इसे भी हथियार बनाया हो।
ब्राउन अब इस बात का भी पता लगा रहा है कि उसका कोड कहीं और लीक तो नहीं हुआ या उसका दुरुपयोग तो नहीं हुआ। कैस्परस्की के अनुसार, दो ज़ीरो-डे का तो दुरुपयोग किया ही जा चुका है, इनके अलावा कम से कम छह ऐसी खामियां हैं, जो पिछले दो साल में बाहर आई हैं। इसके अलावा, कैस्परस्की के अनुसार, डार्कहोटल के नाम से जाना जाने वाला एक और हैकिंग क्रू ने भी मोजेज के जीरो डे का इस्तेमाल किया है। इस ग्रुप को दक्षिण कोरिया द्वारा प्रायोजित कुछ साइबर सुरक्षा शोधकर्ताओं चलाते हैं। दक्षिण कोरिया एक्सोडस का ग्राहक नहीं है। ब्राउन ने कहा, “हमें पूरा यकीन है कि भारत ने हमारे कुछ शोध लीक किए हैं।” “हमने उन्हें अपने ग्राहकों की सूची से हटा दिया है और उसके बाद से ऐसी घटनाएं सामने नहीं आ रही हैं, इससे लगता है कि हमारी आशंकाएं सही थीं।”
