नई दिल्ली। साइबर सुरक्षा की दुनिया में एक नया और बेहद उन्नत खतरा सामने आया है, जिसमें लिनक्स सिस्टम को निशाना बनाने वाला “GoGra” नामक मालवेयर Microsoft की वैध क्लाउड सेवाओं का दुरुपयोग कर रहा है। सुरक्षा शोधकर्ताओं के अनुसार यह मालवेयर Microsoft Graph API के जरिए Outlook मेलबॉक्स से कमांड प्राप्त कर रहा है, जिससे इसकी गतिविधियों का पता लगाना बेहद कठिन हो जाता है।
रिपोर्ट के अनुसार यह नया लिनक्स वेरिएंट एक जटिल जासूसी ढांचे का हिस्सा है, जिसे “Harvester” नामक एक कथित राज्य-समर्थित साइबर समूह से जोड़ा जा रहा है। यह समूह 2021 से सक्रिय माना जाता है और टेलीकॉम, सरकारी संस्थानों और आईटी नेटवर्क्स को निशाना बनाने के लिए कस्टम टूल्स का उपयोग करता रहा है।
GoGra मालवेयर का प्रारंभिक संक्रमण एक फाइल के माध्यम से होता है, जिसमें दुर्भावनापूर्ण लिनक्स बाइनरी को पीडीएफ फाइल के रूप में छिपाकर उपयोगकर्ताओं को धोखा दिया जाता है। जैसे ही यह फाइल निष्पादित होती है, सिस्टम में एक ड्रॉपर सक्रिय होता है, जो i386 आधारित पेलोड स्थापित करता है और सिस्टम में स्थायित्व बनाए रखने के लिए systemd सेवा और ऑटोस्टार्ट एंट्री का उपयोग करता है।
सबसे चिंताजनक पहलू इसका संचार मॉडल है। यह मालवेयर हार्डकोडेड Azure Active Directory क्रेडेंशियल्स का उपयोग करके Microsoft क्लाउड से जुड़ता है और OAuth2 टोकन प्राप्त करता है। इसके बाद यह Microsoft Graph API के जरिए Outlook मेलबॉक्स तक पहुंच बनाता है।
शोधकर्ताओं के अनुसार, यह मालवेयर हर दो सेकंड में “Zomato Pizza” नामक मेलबॉक्स फोल्डर को स्कैन करता है। यह “Input” विषय वाली ईमेल्स की तलाश करता है, जिनमें एन्क्रिप्टेड कमांड्स छिपे होते हैं। इन कमांड्स को बेस64 और एईएस-सीबीसी एन्क्रिप्शन के जरिए डिकोड कर सिस्टम पर निष्पादित किया जाता है।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
कमांड निष्पादन के बाद प्राप्त परिणामों को फिर से एईएस एन्क्रिप्शन में बदलकर “Output” विषय वाली ईमेल के माध्यम से हमलावर तक वापस भेज दिया जाता है। इसके अलावा, फोरेंसिक जांच से बचने के लिए यह मालवेयर प्रोसेस किए गए ईमेल को HTTP डिलीट रिक्वेस्ट के जरिए हटा भी देता है।
सुरक्षा विश्लेषण में यह भी पाया गया कि लिनक्स वेरिएंट और विंडोज वेरिएंट के कोड में लगभग समानता है, जिसमें समान टाइपिंग त्रुटियां और समान एन्क्रिप्शन कुंजी का उपयोग शामिल है। इससे संकेत मिलता है कि दोनों वेरिएंट एक ही डेवलपर या समूह द्वारा बनाए गए हैं।
साइबर विशेषज्ञों का मानना है कि यह तकनीक “स्टील्थ कम्युनिकेशन” का एक अत्यंत उन्नत उदाहरण है, जहां हमलावर वैध क्लाउड सेवाओं का उपयोग करके सुरक्षा प्रणालियों को भ्रमित करते हैं। Microsoft जैसी विश्वसनीय सेवाओं का दुरुपयोग इसे पारंपरिक सुरक्षा टूल्स के लिए और अधिक कठिन बना देता है।
विशेषज्ञों के अनुसार, “Harvester” समूह अब लिनक्स सिस्टम्स को प्राथमिकता देकर अपने हमले के दायरे का विस्तार कर रहा है, जिससे सरकारी और औद्योगिक नेटवर्क्स के लिए खतरा और बढ़ गया है।
साइबर सुरक्षा एजेंसियों ने चेतावनी दी है कि संगठनों को ईमेल-आधारित कमांड चैनलों, क्लाउड एपीआई दुरुपयोग और फर्जी फाइल एक्सटेंशन वाले हमलों के खिलाफ अतिरिक्त सुरक्षा उपाय अपनाने की आवश्यकता है।
यह घटना इस बात का स्पष्ट संकेत है कि आधुनिक साइबर हमले अब पारंपरिक मैलवेयर से आगे बढ़कर वैध डिजिटल इंफ्रास्ट्रक्चर को हथियार बना रहे हैं, जिससे उनकी पहचान और रोकथाम पहले से कहीं अधिक चुनौतीपूर्ण हो गई है।
