VirtualRoad: Hakerlər Azərbaycan hökuməti ilə bağlıdırlar

arxiv

Azərbaycan hökuməti ilə bağlı olan internet infrastrukturundan müxalifət mediasının, insan haqları fəallarının saytlarına fəal şəkildə kiberhücumlar olur.

Bunu VirtualRoad.org təşkilatı öz hesabatında yazır.

Hesabatda deyilir ki,təşkilat son 6 ayda bunun sübutlarını toplayıb.

Hesabata görə, xüsusi hazırlıq keçmiş bu hakerlər “xidmətdən imtina” (DoS), müdaxilə cəhdləri, “fərdi tovlama” kimi kiberhücumlar təşkil edir.

"Xidmətdən imtina" zamanı, hədəfə alınmış serverə onun "həzm edə biləcəyindən" daha çox müraciətlər edilir və sistem çökür, daha sayta girmək olmur. "Fərdi tovlama" zamanı isə hədəfə alınan şəxslərə viruslu fayllar əlavə edilmiş məktublar göndərilir.

Məsələn, bir neçə ay əvvəl Azərbaycanda insan haqları müdafiəçilərinə belə bir məktub göndərilib:

AutoltSpy

Belə baxanda burda şübhəli heç nə gözə dəymir. Ancaq bu məktubu açanda xüsusi virus proqramı AutoltSpy işə düşür və kompüterin içindəki parolları və başqa məlumatları oğurlayır.

Söz azadlığı, internet təhlükəsizliyi sahəsində ixtisaslaşan VirtualRoad.org yazır ki, bu hesabat həmin hücumların izlənməsi və aradan qaldırılmasında təşkilatın gəldiyi nəticələrə əsaslanır.

MÜSTƏQİL MEDİAYA HÜCUMLAR

2017-ci il yanvarın 12-də abzas.net saytına əlavələr şəklində“xidmətdən imtina” hücumları başlandı. Bu hücumlarln davam etdiyi 8 gün ərzində sayta girmək mümkün deyildi. Və nəhayət sayt VirtualRoad.org-un təhlükəsizlik infrastruktruna daxil olandan sonra problem həll olundu.

Burda maraqlı olan odur ki, abzas.net saytına hücum edənlər son 6 ayda cumhuriyyet.net və azadliq.info saytlarına hücumlər edənlərlə eynidirlər.

Hücum edənlərin qoyduğu izlər göstərir ki, onlar 85.132.24.0/24 şəbəkəsi və daha konkret deyilsə, 85.132.24.74 və 85.132.24.77 İP-ünvanları ilə əlaqələdirlər.

Həmin İP şəbəkədə isə Azərbaycanın bir neçə hökumət qurumu var: Azərbaycan Xarici İşlər Nazirliyi (tourvisa.mfa.gov.az@85.132.24.246), Nazirlər Kabinetinin poçt serveri (mail.cabmin.gov.az@ 85.132.24.82), Nəqliyyat Nazirliyinin poçt serveri (mail.mot.gov.az@85.132.24.51).

HÜCUM EDƏNLƏR HARDA YERLƏŞİR?

VirtualRoad.org yazır ki,kiberhücum təşkil edənlərin ən böyük ehtimalla yerləşdiyi yer Nəqliyyat Nazirliyinin binasıdır- Bakı, Tbilisi prospekti- 1054). Təşkilat buna əsas kimi həm də onu göstərir ki, “avtomatlaşdırılmamış hücumlar” həmişə iş vaxtına düşür.

VirtualRoad.org bu kiberhücumları blok etməyə çalışdığı vaxt hücumçular 85.132.24.74 İP ünvanını 85.132.24.77-yə dəyişiblər. Media saytlarına hücum edənlərin istifadə etdiyi bu ünvandan Nəqliyyat Nazirliyinin internetə çıxışı təmin olunur və hamı məhz buradan nazirliyin saytına daxil ola bilir.

2017-ci ilin yanvarında isə abzas.net və Azadliq.info saytlarına çox fərqli hücum oldu.11 server bu iki sayta qarşı “xidmətdən imtina” hücumuna başladı. Hücumda istifadə olunan serverlərdən birində 136.243.173.205 İP ünvanında Hackathon Azerbaijan saytı yerləşir.

Hackathon

Burada yerləşən digər sayt Yer.az-dır.Sayt Rəşad Əliyevindir. VirtualRoad.org yazır ki, Rəşad Əliyev təhlükəsizlik üzrə mütəxəssisdir, hökumətin kibertəhlükəsizilik fəaliyyəti ilə bağlı adamdır. Təşkilat hücumlar barədə ondan soruşanda Rəşad Əliyev etiraf edib ki, trafik onun serverindəndir, ancaq məxfilik səbəblərindən ətraflı məlumat verə bilməz.

ŞÜBHƏLİ MONİTORİNQ

VirtualRoad.org bu son 6 ayda vəziyyəti öyrənəndə bəzi traffiklərin, sayta girişlərin şübhəli qrafiklərini görüb və araşdırandaməlum olub ki, Azərbaycanda bəzi xəbər saytları hökumətlə bağlı kiberqurumlar tərəfindən hər 15 dəqiqədənbir monitorinq olunur, yoxlanır.

Təşkilatın ehtimalına görə, belə monitorinqin məqsədixəbər saytlarının məzmununa baxmaq yox, hakerlərin öz işinin nəticəsini yoxlamasıdır.Yəni sayt sıradan çıxarıldımı? Bu nə qədər davam etdi?

VirtualRoad.org-a bu monitorinq sistemini blok edəndə hakerlər İP ünvanını bir neçə dəfə dəyişiblər ki, hücumu yenidən başlasınlar. 2017-ci il yanvarın 6-da bir neçə uğursuz cəhddən sonra hücum edənlər 85.132.78.164 İP ünvanına keçiblər.

Bu ünvan isə AutoltSpy virusunu yayanlarla bağlıdır.

VirtualRoad yazır ki, bununla bağlı təşkilatın gəldiyi nəticələr Amnesty İnternational Təşkilatının hesabatı ilə üst-üstə düşür və ətraflı ordan oxuya bilərsiniz. Həmin virusla insan haqları fəallarının kompüterləri yarılır.

Virtual Road.org bircə onu yazır ki, bu virusla kompüterləri i yaranların, parolları və digər məlumatları oğurlayanların İP ünvanı da 85.132.78.164 -dür.

Qeyd:
Məlumat saytımızda yayıldıqdan sonra Rəşad Əliyev redaksiyamıza bu cavabi göndərib:

“Qeyd edim ki yer.az hostinq xidmətləri təklif edir və orada sosial tipli və ya müəyyən korporativ xidmətlər təqdim ediyim saytlar yerləşdirilib. yer.az-dakı saytlarda həm ödənişli, həm də pulsuz sistemlər istifadə edirlər. Əsasən də pulsuz scriptlərdən istifadə edənlərdə təbii ki vaxtaşırı təhlükəsizlik boşluqları olur və bunlardan istifadə edən bədniyyətlilər saytlara müdaxilə edərək öz məqsədləri üçün istifadə edirlər. Bəzən bununla əlaqədar müxtəlif mənbələrdən bizə məlumatlar gəlir.Əgər dəqiq hansı saytda boşluq olması barədə məlumat verilirsə biz o saytdakı problemi o dəqiqə həll edirik.

virtualroad.org saytı da 16 Yanvar tarixində bizə bizim saytlar olan 136.243.173.205 ünvanından hücum gəldiyini qeyd etmişdi. Biz serveri yoxladıq. He bir boşluq tapmadıqda dəqiq mənbəni qeyd etmələri üçün onlara sorğu göndərdikdə bütün saytlar haqqında məlumatın təqdim edilməsini istədilər. Bu isə serverdə olan istifadəçilərin hüquqlarının pozulması deməkdir və biz buna imtina etdik. Təbii ki bununla əlaqədar saytlarda mütəmmadi yoxlamalar aparırıq. Lakin biz saytların daxilindəki məlumatlara müdaxilə etmirik, buna onların sahibləri cavabdehdir.”