Azərbaycanın enerji sektoruna yönəlmiş kiberhücum fəaliyyətləri araşdırılıb

Çinə bağlı olduğu bildirilən "FamousSparrow" adlı APT (Advanced Persistent Threat) qrupunun Azərbaycanın neft-qaz sektorunda fəaliyyət göstərən şirkətlərdən birinə qarşı çoxmərhələli kiberhücum həyata keçirildiyi iddia olunur.

Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzi (Dövlət CERT-i) tərəfindən əldə olmuş məlumatlar əsasında sözügedən kibertəhlükə aktivlikləri üzrə indikator əsaslı təhdid kəşfiyyatı və texniki araşdırmalar aparılıb.

1xeber.media xəbər verir ki, bu barədə Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzinin məlumatında bildirilib.

Məlumatda qeyd olunub ki, hücumçular “Microsoft Exchange Server” platformasında mövcud olan “ProxyShell” və “ProxyNotShell” zəifliklərindən istifadə etməklə ilkin giriş əldə etmiş, daha sonra sistem üzərində “web shell” yerləşdirərək davamlı giriş imkanları formalaşdırmış, sonrakı mərhələlərdə isə DLL sideloading texnikası vasitəsilə Deed RAT və TernDoor adlı zərərli proqram təminatlarından istifadə ediblər.

Lakin ətraflı təhlillər zamanı "AzStateNet" seqmenti üzrə "FamousSparrow" fəaliyyəti ilə bağlı heç bir izə rast gəlinməyib. Belə ki, hücum vektoru ilə əlaqələndirilən fayl heşləri, domenlər, URL ünvanları və digər komprometasiya indikatorları üzrə təhlükəsizlik yoxlamaları aparılıb, heş dəyərləri vasitəsilə potensial komprometasiya əlamətləri qiymətləndirilib. Domen indikatorları ilə bağlı isə “AzStateNet” şəbəkəsi üzərində müvafiq sorğular icra edilib. Nəticədə aparılmış tədbirlər nəticəsində hücum fəaliyyəti ilə əlaqələndirilən texniki göstəricilər əsasında preventiv bloklama tədbirləri həyata keçirilmiş, aidiyyəti təhlükəsizlik sistemləri üzərində müvafiq məhdudlaşdırmalar tətbiq edilib.

Dövlət qurumlarına (orqanlarına) şübhəli “outbound” əlaqələrin və anomal aktivliklərin araşdırılması, komprometasiya əlamətləri aşkar edildiyi halda müvafiq orqanlara operativ məlumat verilməsi, eləcə də“sentinelonepro[.]com:443” və virusblocker[.]it[.]com:443 domenləri üzrə yoxlamaların aparılması, eyni zamanda, əldə edilmiş IOC göstəriciləri əsasında aidiyyəti qurumlara IOC-lər üzrə retrospektiv və cari monitorinqlərin aparılması, dövlət e-poçt xidməti, SIEM, EDR/XDR, firewall, proxy və DNS loqları üzərində indikator əsaslı yoxlamaların həyata keçirilməsi, “Microsoft Exchange” infrastrukturu və autentifikasiya qeydlərinin əlavə təhlil olunması tövsiyə olunur.

Mərkəz tərəfindən kritik informasiya infrastrukturlarının kibertəhlükələrdən qorunması, potensial hücum aktivliklərinin vaxtında aşkarlanması və qabaqlayıcı təhlükəsizlik tədbirlərinin həyata keçirilməsi istiqamətində monitorinq və təhdid kəşfiyyatı fəaliyyəti davam etdirilir.