ইসরায়েলি স্পাইওয়্যার প্রস্তুতকারক প্যারাগন সলিউশনসের সম্ভাব্য গ্রাহক হিসেবে অস্ট্রেলিয়া, কানাডা, সাইপ্রাস, ডেনমার্ক, ইসরায়েল ও সিঙ্গাপুর সরকারের নাম উঠে এসেছে। এক প্রতিবেদনে এ তথ্য জানিয়েছেন কানাডার একদল গবেষক।
টরন্টো বিশ্ববিদ্যালয়ে প্রতিষ্ঠিত একাডেমিক ও সিকিউরিটি গবেষকদের সমন্বয়ে গঠিত সিটিজেন ল্যাব। তারা এক দশকেরও বেশি সময় ধরে স্পাইওয়্যার শিল্পের তদন্ত করছে। এবার তারা ইসরায়েলে প্রতিষ্ঠিত নজরদারি স্টার্টআপ প্যারাগন সলিউশনস সম্পর্কে একটি প্রতিবেদন প্রকাশ করেছে। এতে তারা ছয়টি সরকারের নাম তালিকাভুক্ত করেছে, যারা প্যারাগনের নজরদারি টুল ব্যবহার করে।
এর আগে জানুয়ারিতে প্রায় ৯০ জন ব্যবহারকারীকে সতর্ক করে হোয়াটসঅ্যাপ। মেটা জানায়, প্যারাগন স্পাইওয়্যারের মাধ্যমে তাঁদের ওপর নজরদারির সম্ভাবনা রয়েছে।
এই কেলেঙ্কারি ইতালিতে ব্যাপক আলোড়ন সৃষ্টি করেছিল। কারণ সেখানে কিছু ব্যবহারকারীর ডিভাইস এই স্পাইওয়্যারের মাধ্যমে আক্রান্ত হয়। এ ঘটনার পর সিটিজেন ল্যাব এই স্পাইওয়্যার সম্পর্কে আরও তদন্ত করে এবং বেশ কিছু দেশের সম্ভাব্য গ্রাহকদের নাম চিহ্নিত করে।
দীর্ঘ সময় ধরে প্যারাগন প্রতিযোগী কোম্পানি এনসিও গ্রুপ থেকে নিজেদের আলাদা রাখতে চাইছে। কারণ এনসিও গ্রুপের নজরদারি টুল বিভিন্ন দেশে অপব্যবহৃত হয়েছে। এদিকে প্যারাগন দাবি করে যে, তারা দায়িত্বশীলভাবে স্পাইওয়্যার টুল বিক্রি করে। ২০২১ সালে প্যারাগনের এক কর্মী বলেন, তারা কখনোই কর্তৃত্ববাদী বা অগণতান্ত্রিক সরকারকে তাদের স্পাইওয়্যার বিক্রি করবে না।
নিজেদের দায়িত্বশীল স্পাইওয়্যার বিক্রেতা হওয়ার দাবি আরও শক্তিশালী করার জন্য প্রযুক্তি বিষয়ক ওয়েবসাইট টেকক্রাঞ্চকে প্যারাগনের নির্বাহী চেয়ারম্যান জন ফ্লেমিং বলেন, ‘বিশ্বের নির্বাচিত কিছু গণতান্ত্রিক দেশে কোম্পানিটি প্রযুক্তি লাইসেন্স দেয়। মূলত যুক্তরাষ্ট্র ও তার মিত্রদের।’
২০২৪ সালের শেষের দিকে ইসরায়েলি সংবাদমাধ্যমগুলো প্রতিবেদন করেছে যে, প্যারাগনকে অন্তত ৫০০ মিলিয়ন ডলারে অধিগ্রহণ করেছে যুক্তরাষ্ট্রের ভেঞ্চার ক্যাপিটাল ফার্ম ‘এই’ ইন্ডাস্ট্রিয়াল পার্টনার্স।
এদিকে গবেষক দল সিটিজেন ল্যাব জানিয়েছে, তারা প্যারাগনের স্পাইওয়্যার টুল (কোডনেম গ্রাফাইট) এর সার্ভার অবকাঠামো ম্যাপ করতে সক্ষম হয়েছে। সহযোগী একটি সূত্র থেকে তারা এ কাজ করতে পেরেছে।
এই সূত্রের মাধ্যমে কয়েকটি ফিঙ্গারপ্রিন্ট তৈরি করার পর প্যারাগন সার্ভার ও ডিজিটাল সার্টিফিকেট চিহ্নিত করতে পেরেছেন সিটিজেন ল্যাবের গবেষকেরা। এরপর, তারা স্থানীয় টেলিকম কোম্পানির হোস্ট করা কিছু আইপি ঠিকানা খুঁজে পেয়েছে। সিটিজেন ল্যাব বিশ্বাস করে যে, এই সার্ভারগুলো প্যারাগনের গ্রাহকদের। কারণ সার্টিফিকেটগুলোর প্রাথমিক অক্ষরগুলো উল্লেখিত দেশগুলোর নামের সঙ্গে মিলে যাচ্ছে।
সিটিজেন ল্যাব অনুযায়ী, তাদের গবেষকেরা যে ফিঙ্গারপ্রিন্ট তৈরি করেছিলেন, তা একটি ডিজিটাল সার্টিফিকেটের সঙ্গে সম্পর্কিত, যা আবার গ্রাফাইট টুলের সঙ্গে নিবন্ধিত ছিল। এটি স্পাইওয়্যার প্রস্তুতকারক প্যারাগনের একটি অপারেশন ব্যবস্থায় বড় একটি ত্রুটি বলে মনে করছে সিটিজেন ল্যাব।
সিটিজেন ল্যাব জানিয়েছে, তাদের গবেষকেরা আরও কিছু কোড নেম চিহ্নিত করেছেন, যা প্যারাগনের অন্য সম্ভাব্য সরকারি গ্রাহকদের নির্দেশ করছে। সন্দেহভাজন গ্রাহক দেশগুলোর মধ্যে, সিটিজেন ল্যাব কানাডার অন্টারিও প্রাদেশিক পুলিশকে (ওপিপি) বিশেষভাবে চিহ্নিত করেছে। কারণ সন্দেহভাজন কানাডীয় গ্রাহকের একটি আইপি ঠিকানা সরাসরি ওপিপির সঙ্গে যুক্ত ছিল।
প্যারাগনের স্পাইওয়্যারের বিষয়টি নিয়ে জানতে অস্ট্রেলিয়া, কানাডা, সাইপ্রাস, ডেনমার্ক, ইসরায়েল এবং সিঙ্গাপুর সরকারের মুখপাত্রদের সঙ্গে যোগাযোগ তরে টেকক্রাঞ্চ। তবে এ বিষয়ে কোনো মন্তব্য করেনি তারা।
ওপিপির মুখপাত্র জেফ্রি ডেল গুইডিস বলেন, ‘নির্দিষ্ট তদন্তের কৌশল এবং প্রযুক্তি সম্পর্কে তথ্য প্রকাশ করলে এটি চলমান তদন্তে বাধা সৃষ্টি করতে পারে এবং জনসাধারণ ও কর্মীদের নিরাপত্তাকে বিপন্ন করতে পারে।’
প্যারাগনের নির্বাহী চেয়ারম্যান জন ফ্লেমিং বলেন জানিয়েছেন, সিটিজেন ল্যাব ‘খুব সীমিত পরিমাণ তথ্য প্রদান করেছে, যার কিছু অংশ ভুল মনে হচ্ছে। এই সীমিত তথ্যের ওপর ভিত্তি করে আমরা মন্তব্য করতে পারছি না।’ তিনি সিটিজেন ল্যাবের রিপোর্টের বিষয়ে কী ভুল ছিল সে বিষয়ে কিছু বলতে অস্বীকৃতি জানান, পাশাপাশি প্যারাগনের গ্রাহক দেশগুলোর বিষয়ে মন্তব্য করেননি।
সিটিজেন ল্যাব জানিয়েছে, যেসব ব্যবহারকারী হোয়াটসঅ্যাপ থেকে সতর্কবার্তা পেয়েছিলেন এবং তাদের ফোন পরীক্ষা করা হয়। তাদের সব কটি অ্যান্ড্রয়েড ফোন ছিল। এর ফলে তারা একটি ‘ফরেনসিক আর্টিফ্যাক্ট’ চিহ্নিত করেছে, যা প্যারাগনের স্পাইওয়্যার থেকে পাওয়া গেছে। এই আর্টিফ্যাক্টের নাম ছিল ‘BIGPRETZEL’।
উল্লেখ্য, ‘ফরেনসিক আর্টিফ্যাক্ট হলোএকটি প্রমাণ বা সিগন্যাল, যা কোনো ডিভাইসে (যেমন ফোন বা কম্পিউটার) ঘটে যাওয়া কোনো ঘটনার বা হ্যাকিংয়ের নির্দেশ দেয়।
টেকক্রাঞ্চকেকে সিটিজেন ল্যাবের সিনিয়র রিসার্চার বিল মার্জাক জানান, ‘অন্যান্য প্রতিদ্বন্দ্বীদের তুলনায় শনাক্ত করা কঠিন প্যারাগনের স্পাইওয়্যার, তবে শেষ পর্যন্ত কোন স্পাইওয়্যারই সম্পূর্ণ নিখুঁত নয়।’
এদিকে মেটা এর মুখপাত্র জাদে আলসাওয়া বলেন, সিটিজেন ল্যাব যাকে ‘BIGPRETZEL’ হিসেবে চিহ্নিত করেছে, তা প্যারাগনের স্পাইওয়্যারের সঙ্গে সম্পর্কিত। মেটা তার বিবৃতিতে জানিয়েছে, তারা দেখেছে কীভাবে বাণিজ্যিক স্পাইওয়্যার সাংবাদিক ও নাগরিক সমাজকে লক্ষ্যবস্তু করতে ব্যবহার হতে পারে এবং এ ধরনের কোম্পানিকে দায়বদ্ধ করা উচিত।
সিটিজেন ল্যাব উল্লেখ করে, অ্যান্ড্রয়েড ফোনে সব সময় ডিভাইসের লগ ইনের তথ্য সংরক্ষিত থাকে না। তাই সম্ভবত আরও অনেক মানুষ প্যারাগনের গ্রাফাইট স্পাইওয়্যার দ্বারা আক্রান্ত হয়েছে, যদিও তাদের ফোনে স্পাইওয়্যারের কোনো প্রমাণ পাওয়া যায়নি। তারা আরও জানিয়েছে যে, প্যারাগনের স্পাইওয়্যার পুরো অপারেটিং সিস্টেম বা ডিভাইসের ডেটা ক্ষতিগ্রস্ত না করে, বিশেষ অ্যাপকে লক্ষ্যবস্তু করে। এর ফলে তদন্তকারীদের জন্য প্রমাণ খুঁজে পাওয়া কঠিন করে তোলে।
সিটিজেন ল্যাবের গবেষক বিল মার্কজাক বলেছেন, ‘প্যারাগনের স্পাইওয়্যার প্রতিযোগীদের তুলনায় চিহ্নিত করা কঠিন, তবে শেষ পর্যন্ত কোনো স্পাইওয়্যার আক্রমণই পুরোপুরি নিখুঁত নয়।’
এ ছাড়া, সিটিজেন ল্যাব এনজিও কর্মী ডেভিড ইয়াম্বিওর আইফোনও পরীক্ষা করেছে। ইয়াম্বিওকে অ্যাপল থেকে স্পাইওয়্যার আক্রান্ত হওয়ার সতর্কতা দেওয়া হয়েছিল, কিন্তু গবেষকেরা প্যারাগনের স্পাইওয়্যারের কোনো প্রমাণ খুঁজে পাননি। সূত্র: আজকের পত্রিকা
