रिपोर्ट गर्दा बग फिक्स नगरेको झोंकमा राष्ट्र बैंकको सोर्स कोड डार्क वेबमा

नेपाल राष्ट्र बैंकको सिस्टमको सोर्स कोड डार्क वेबमा १० हजार डलर (करिब १३ लाख ३० हजार रुपैयाँ) मा बिक्री गर्न खोजिएको पाइएको छ । जिल्ला सरकारी वकिलको कार्यालयले काठमाडौं जिल्ला अदालतमा १३ चैतमा दायर गरेको अभियोग पत्र अनुसार राष्ट्र बैंकको सोर्स कोड १० हजार डलरमा बिक्री गर्न खोजिएको देखिएको हो । उक्त घटनामा संलग्न स्याङ्जा, पुतलीबजार नगरपालिका वडा नम्बर १४ स्थायी घर भई हाल कास्की, पोखरा बिरौटा बस्दै आएका २६ वर्षीय नवराज लामिछाने १ चैतमा पक्राउ परेका थिए । सोर्स कोड डार्क वेबमा बिक्रीका लागि राखेको फेला परेपछि राष्ट्र बैंकले १० फागुनमा साइबर ब्युरोलाई पत्राचार गरेको थियो । त्यसैका आधारमा ब्युरोबाट खटिएको प्रहरी टोलीले सो घटनामा संलग्न भएको आरोपमा लामिछानेलाई नियन्त्रणमा लिएको थियो ।

लामिछानेलाई पक्राउ गरेपछि उनको कोठाबाट प्रहरीले पाँच ओटा मोबाइल, एउटा कम्प्युटर, चार ओटा हार्ड डिस्क, एउटा मेमोरी कार्ड र एउटा राउटर बरामद गरेको थियो । तर साइबर ब्युरोले भने त्यतिखेर वित्तीय क्षेत्रसँग सम्बन्धित संस्थाको सूचना प्रणालीहरूमा अनधिकृत रूपमा पहुँच पुर्‍याउने मनसायले लामो समयदेखि निरन्तर प्रयास गरिरहेकाले पक्राउ गरिएको बताएको थियो । 

यसरी पक्राउ परेका थिए लामिछाने

राष्ट्र बैंकले सो घटनालाई लिएर पत्राचार गरेपछि ब्युरोले अनुसन्धान अगाडि बढाएको थियो । त्यही क्रममा राष्ट्र बैंकको वेब एप्लिकेसनमा बारम्बार  २७.३४.४८.२११ र २७.३४.४८.१६३ आईपी एड्रेसमार्फत युजर पुगेको जानकारी प्रहरीले पत्ता लगायो । सोही आईपी एड्रेसबाट उक्त इन्टरनेटको युजरनेम ‘pradip67 fpkhr’ भएको देखियो । त्यहींबाट मोबाइल नम्बर पनि फेला पर्‍यो । टेलिकमले उक्त मोबाइल नम्बरको विवरण पठाएपछि सो नम्बर पोखरा बिरौटाका २६ वर्षीय नवराज लामिछानेको नाममा रहेको खुल्यो ।

लामिछानेको संलग्नता रहेको अनुसन्धानबाट खुलेपछि उनलाई विद्युतीय कारोबार ऐन, २०६३ अन्तर्गतको कसुरमा जिल्ला अदालत काठमाडौंमा मुद्दा दर्ता भयो । अदालतले साइबर ब्युरोलाई जिल्ला प्रहरी कार्यालय कास्कीसँग समन्वय गरी लामिछानेलाई पक्राउ गर्ने पक्राउ पुर्जी स्वीकृत गर्‍यो । त्यसपछि लामिछाने पक्राउ परे । 

के छ प्रहरीको प्राविधिक प्रतिवेदनमा ?

वेबसाइट र वेब एप्लिकेसनमा साइबर आक्रमण भएको विषयमा अनुसन्धान गरी आवश्यक कारबाहीको निम्ति अनुरोध गर्दै नेपाल राष्ट्र बैंक गभर्नरको कार्यालय, सूचना तथा सञ्चार महाशाखा केन्द्रीय कार्यालयले साइबर ब्युरोमा उजुरी दर्ता गराएको थियो । त्यसैको आधारमा साइबर ब्युरोले प्राविधिक अनुसन्धान अगाडि बढायो । सो अनुसन्धानबाट उक्त कार्यमा लामिछाने संलग्न रहेको खुल्यो । 

त्यस लगत्तै  ३० फागुन २०८० मा ब्युरोबाट खटिएको प्रहरी टोलीले पोखराबाट लामिछानेलाई नियन्त्रणमा लियो । उनीबाट बरामद भएको कम्प्युटर लगायत अन्य डिभाइसलाई प्रहरीले ‘म्याग्नेट एक्जिओम फरेन्सिक टुल’ (Magnet AXIOM Forensics tool) मा राखेर प्राविधिक रूपमा चेकजाँच गर्‍यो । त्यस क्रममा लामिछानेले प्रयोग गर्ने कम्प्युटरको ‘गुगल क्रोम’ ब्राउजरमा युजर नेम कोलममा ब्याड बुद्ध र ‘creambuffalo6@gmail.com’ ईमेल एक्सेस गरेको देखियो । सो ईमेल एड्रेसको पासवर्ड लोकल ड्राइभमा ‘Coinbase.txt’ फाइलमा सुरक्षित रहेको भेटियो । त्यस्तै उनले प्रयोग गर्ने कम्प्युटरमा नेपाल राष्ट्र बैंकका विभिन्न वेबसाइटको सोर्स कोड, एनआरबी र वल्ड एनआरबी फोल्डर रहेको भेटियो । त्यसपछि लामिछानेले नै सोर्स कोड डार्क वेबमा बिक्रीका लागि राखेको पुष्टि भयो ।

बग रिपोर्ट गर्दा पनि समाधान नभएपछि सोर्स कोड डार्क वेबमा राखेंः लामिछाने 

लामिछानेका अनुसार उनी फुर्सदको समयमा इन्टरनेटमा रहेका विभिन्न वेबसाइटमा बग तथा भल्नरेबिलिटिजको अध्ययन गर्ने गर्थे । उनी इन्टरनेटबाटै इथिकल ह्याकिङ, वेब डेभलपमेन्ट, डिजिटल फरेन्सिकका बारेमा अध्ययन गर्थें । “यसै क्रममा मैले ब्रिच फोरमको सर्फिङ गर्ने क्रममा नेपाल सरकारका धेरै डेटाबेस ब्रिच भएको देखेपछि नेपालका कमजोर डेटाबेसहरूलाई चेकजाँच गर्न थालें,” बयानका क्रममा लामिछानेले भनेका छन्, “त्यही बेला मैले गुगल डर्क प्रयोग गरी चेकजाँच गर्दा सबैभन्दा बढी कमजोर सुरक्षा भएको नेपाल राष्ट्र बैंकको वेब एप्लिकेसनमा विभिन्न बग भेटें ।”

उनले uat.nrb.org.np, old.reporting.nrb.org.np,  home.nrb.org.np को वेब एप्लिकेसनको सी-प्यानल, वर्डप्रेस, गिट चेक गर्दा बगहरू भेटेपछि तत्काल उक्त बैंकको आईटी शाखामा मेलमार्फत सम्पर्क गरे । 

राष्ट्र बैंकको सबडोमेनका विभिन्न साइटमा सुरक्षा कमजोरी रहेको र त्यसलाई तत्कालै सुधार्न जरुरी छ भनेर रिपोर्ट गरेको उनको दाबी छ । मेलबाट मात्र नभई उनले मोबाइल नम्बर खोजेर त्यसबाट पनि सो विषयमा जानकारी दिएको बयानमा भनेका छन् ।

त्यसको केही समयपछि समस्या समाधान भयो वा भएन भनेर फेरि जाँच गरे । तर त्यतिखेर पनि लामिछानेले समस्या समाधान नभएको देखे । 

ती कमजोर वेबसाइट सुरक्षित भएको नदेखेपछि उनले विस्तृत रूपमा डब्लूपी स्क्यानः वर्डप्रेस सेक्युरिटी स्क्यानर, एसक्यूएल म्यापः अटोमेटिक एसक्यूएल इन्जेक्सन र डेटाबेस टेकओभर टुल प्रयोग गरी बग जाँच गर्ने क्रममा धेरै नै बग फेला पारे । 

लामिछानेले त्यसपछि आफ्नो जीलेमबाट बग नहटेको कारण खुलाउँदै ईमेल गरेक‍ा थिए । “मैले रिपोर्ट बनाउने क्रममा Proof of Concept, SQL Testing LFI (Local File Inclusion) भित्रका डेटा तान्नका लागि प्रयोग गरिने आक्रमणको तरिका) तयार पार्ने क्रममा बर्प स्विट (Burp suite: Web vulnerability analyzer गर्ने काम) प्रयोग गर्दा कोड एक्जिक्युसन (Code execution) पनि टेस्ट गरेको समयमा मेरो सम्पूर्ण डेटा भएको आईपी देखिएकाले उक्त बैंकको वेबसाइट वेब एप्लिकेसनमा अनधिकृत पहुँच पुर्‍याएको भन्ने सोचेर नेपाल राष्ट्र बैंकले सो बारे अनुसन्धान गर्न ब्युरोमा निवेदन दिएकोमा अनुसन्धान गर्ने क्रममा मेरो संलग्नता देखिएकोले मलाई पक्राउ गरी लिई आएको हो,” उनले बयानका क्रममा भनेका छन् । 

कसरी खुल्यो राष्ट्र बैंकको सोर्स कोड बेच्न लागेको विषय ?

राष्ट्र बैंकको संवेदनशील डेटा डार्क वेबमा बेच्न राखिएको समाचार टेकपानाले १८ पुस २०८० प्रकाशित गरेको थियो । उक्त विषयमा अध्ययन गरिरहेका एक साइबर सुरक्षा अनुसन्धानकर्ताले सामाजिक सञ्जाल एक्स मार्फत सोर्स कोड बेच्न राखिएको भन्दै पोस्ट राखेका थिए । डार्क वेब ब्रिच फोरममा ‘ब्याडबुद्ध’ (badbuddha) भनेर चिनाउने ह्याकरले १७ डिसेम्बरमा सोर्स कोड बिक्रीका लागि राखेको बताएका थिए । 

“मैले धेरै बग रिपोर्ट गर्दा पनि तिनीहरूले मलाई राम्रोसँग प्रतिक्रिया दिएनन्,” ब्याडबुद्ध नामको ब्रिच फोरम अकाउन्टबाट लेखिएको थियो, “त्यसैले म यो डेटा बेच्न चाहन्छु । मलाई पैसा चाहिएको छ ।”

सो पोस्टमा नेपाल राष्ट्र बैंकको नाम उल्लेख थिएन । तर, एक वर्षअघि सो बैंकले ७९३.७५ अर्ब आम्दानी गरेको भनेपछि उक्त बैंक राष्ट्र बैंकको भएको खुलेको थियो ।

ती साइबर सुरक्षा अनुसन्धानकर्ताले प्रोटोन मेलमार्फत उक्त अकाउन्टमा ईमेल गरेर सो विषयमा विस्तृतमा जानकारी लिन खोजे । त्यस क्रममा ती ह्याकरले डार्क वेब‍मा सोर्स कोड आफूले राखेको र त्यसको प्रमाण पनि आफूसँग रहेको बताएका थिए । उक्त घटनाको साँची समेत बसेका ती साइबर सुरक्षा अनुसन्धानकर्ताका अनुसार उक्त सोर्स कोड १० हजार डलर (करिब १३ लाख ३३ हजार रुपैयाँ) मा बिक्री गर्ने भनिएको थियो । उनैले उक्त जानकारी राष्ट्र बैंकलाई उपलब्ध गराएका थिए । 

के भन्छन् बैंकका आईटी अधिकारी ?

राष्ट्र बैंकको आईटी विभागमा विगत २१ वर्षदेखि काम गर्दै आइरहेका कर्मचारीका अनुसार लामिछानेले फोन मार्फत आफ्नो परिचय दिएर ‘अनलाइन बिडिङ सिस्टम सफ्टवेयर’मा कमजोरी भएको विषयमा जानकारी दिएका थिए । त्यस लगत्तै ती कर्मचारीले सो सिस्टम प्रदायकलाई सम्पर्क गरी यसबारे जानकारी दिएका थिए । उक्त कम्पनीले सिस्टमको समस्या समाधान भइसकेको जानकारी दिएको थियो । तर, त्यसको केही दिनपछि राष्ट्र बैंकको सोर्स कोड डार्क वेबमा बेच्नका लागि राखिएको भन्ने सूचना साइबर सुरक्षा अनुसन्धानकर्ताले दिए । “प्रतिवादी नवराज लामिछानेले नेपाल राष्ट्र बैंकको अति संवेदनशील सूचनाहरू डिजिटल रूपमा रहने सर्भरहरूलाई विद्युतीय उपकरण तथा विभिन्न सफ्टवेयरको प्रयोग गरी ह्याक गर्ने, सर्भरमा अनधिकृत रूपमा पहुँच पुऱ्याउने कार्य गरेको हुँदा निजलाई विद्युतीय कारोबार ऐन अन्तर्गत हदैसम्मको कारबाही हुनु पर्दछ,” ती कर्मचारीले पेस गरेको लिखित बयानमा भनिएको छ । 

“यसमा प्रहरी प्रधान कार्यालय, साइबर ब्युरो, काठमाडौंबाट अनुसन्धान कार्य सम्पन्न भई निर्णयार्थ पेस हुन आएको प्रस्तुत मुद्दाको सक्कल मिसिल संलग्न नेपाल राष्ट्र बैंकको पत्र तथा प्रहरी प्रतिवेदन, सो साथ संलग्न रहेको डीभीडी थान-१ (एक), सनाखत मुचुल्का, खानतलासी तथा बरामदी मुचुल्का, दाखिला प्रतिवेदन, प्रतिवादी नवराज लामिछानेले गरेको बयान कागज, बुझिएका मानिसहरूले खुलाई लेखाई दिएको घटना विवरण कागजहरू समेतका आधार प्रमाणबाट प्रतिवादी नवराज लामिछानेले नेपाल राष्ट्र बैंकको वेबसाइट र वेब एप्लिकेसनबाट बैंकिङ सिष्टम, Website: uat.nrb.org.np, old.reporting.nrb.org.np र home.nrb.org.np लाई पोर्ट स्क्यानिङ गर्ने nMap.Gui, शोडान, अनलाइन सबडोमेन फाइन्डर, गबस्टर, एसक्यूएल म्याप, न्युक्लिआई, बर्प स्विट, गुगल डर्क, डब्लूपी स्क्यान, वेब्याक यूआरएल, नेटक्याट, पाइथन सर्भर, भीएस कोड, घिद्रा, गिटहब, ब्रिच फोरम, टेम्प मेलको माध्यमबाट सो वेबसाइट तथा वेब एप्लिकेसनमा अनधिकृत पहुँच पुऱ्याउने उद्देश्यले ब्रुट फोर्स स्क्यानिङ गरी विद्युतीय (ईलेक्ट्रोनिक) कारोबार ऐन, २०६३ अन्तर्गतको कसुर अपराध गरेको वारदात स्थापित हुन आयो,” अभियुक्त उपरको अभियोग पत्रमा लेखिएको छ ।

के भयो अदालतमा ?

यसअघि १४ चैतका लागि काठमाडौं जिल्ला अदालतले पेसी तोकेको थियो । सो दिन न्यायाधीश महेन्द्रराज काफ्लेको एकल इजलासले लामिछानेलाई ५० हजार रुपैयाँ धरौटीमा छाड्ने आदेश दिएको थियो । त्यसपछि अदालतले अर्को पेसी १७ बैशाखका लागि तोकेको थियो । न्यायाधीश काफ्लेको इजलासले बयान बकपत्र गराएको छ । तर यसको अन्तिम फैसला भने आउन बाँकी छ । 

Leave a Reply

Your email address will not be published. Required fields are marked *