”Saxta profillər və zərərli proqramlar Azərbaycanda dissidentləri necə hədəfə alır?”

2016-cı ilin oktyabrında ona gözlənilməz zəng gəlir.

Source:
Bakı
Bakı


Klaudio Quarnieri və Coşua Franko – “Amnesty International”



Kollin Anderson – müstəqil araşdırmaçı

Rəsul Cəfərov tanınmış Azərbaycanlı hüquqşünas və hüquq müdafiəçisidir. 2016-cı ilin oktyabrında ona gözlənilməz zəng gəlir.

O, “Amnesty International”a deyib: “Həmkarlarımdan biri zəng edib bildirdi ki, onun elektron poçtuna məndən məktub gəlib. O, məktubda mənim siyasi məhbuslar haqqında nə isə yazdığımı, bir fayl göndərdiyimi bildirdi və dedi ki, mənim elektron poçt ünvanımı bilir və əminliklə məktubu mənim göndərmədiyimi söylədi”.

Xəbər doğru çıxdı, elektron poçt ünvanı Rəsəl Cəfərovun poçt ünvanına oxşayırdı, amma məktubu o göndərməmişdi, dostunun işarə etdiyi sənəd virus faylı idi.

Başqa bir dostu Rəsula bir çox şəxsin eyniməzmunlu məktub aldığını və kiminsə onun adından istifadə etdiyini deyəndə Rəsul dərhal həmkarlarına və dostlarına sosial şəbəkə vasitəsilə xəbərdarlıq etdi.

“Mənim adıma elektron ünvan qeydiyyatdan keçirilib və bu ünvan mənə məxsus deyil. Bu ünvandan sizə nəsə göndərilsə, bilin ki bu mən deyiləm. Məktubları sizə başqa adam göndərir”.

Onun xəbərdarlığı qəbul olundu.

Dostları Rəsulun adından göndərilən məktubları açsaydı, yüklənən fayl faktiki olaraq kompüterə yerləşəcək və zərəli proqram istifadəçinin komüterindəki “screenshot”larını hücum edən şəxsə göndərəcək, potensial olaraq isə parolları, kontaktları və özəl yazışmaları əldə edəcəkdi.

Məktub göndərilən şəxsi şübhələndirməmək üçün zərərli proqram həm də siyasi məhbuslar haqqında faylı azərbaycan dilində açacaq, beləcə də, bunun qurbanın kopüterinə zərərli ola biləcəyini fikirləşməsi üçün heç bir səbəb olmayacaqdı.

“Amnesty International” digər tanınmış şəxslərlə də əlaqə saxlayanda məlum olub ki, bu məktublar 13 ay boyunca Azərbaycanlı aktivistləri hədəfə alan və onların adından istifadə edən davamlı kampaniyanın bir hissəsi olub.

Hücum olduğunu biləndə Rəsul bunun arxasında Azərbaycan xüsusi xidmət orqanlarının ola biləcəyindən ehtiyat edib. Onun keçmiş həyatına nəzər salsaq bu aydın olacaq.

Rəsul 2015-ci ilin aprelində siyasi motivli ittihmlarla 6 il 6 ay müddətinə həbs edilmişdi. Onun həbsinin səbəbi Azərbaycanda hüquq pozuntularını üzə çıxarması və 2012-ci ildə ölkədə keçirilən “Eurovision” mahnı müsabiqəsi zamanı həyata keçirdiyi kampaniyadan qaynaqlanırdı.

“Amnesty İnternational” onun vicdan məhbusu elan etmiş və dərhal azadlığa buraxılmasını tələb etmişdi. Avropa İnsan Haqları Məhkəməsi isə bildirmişdi ki, o həbs olunarkən hüquq pozuntularına yol verilib. O, 1 il 6 ay həbsdə saxlanılandan sonra prezidentin əfv fərmanı ilə azadlığa buraxıldı.

Rəsulun adından istifadə olunması qeyri-adi hadisə deyildi. “Amnesty”yə danışan azərbaycanlı aktivistlər və hüquq müdafiəçiləri onların kimliyindən istifadə olunmasına dair nümunələr göstəriblər.

Keçmiş vicdan məhbusu Leyla Yunusun adından da analoji üsulla istifadə olunub. O, deyib ki, illərlə, xüsusilə də həbs olunduğu 2014-cü ilin iyulunda onlayn hesablarının bir neçəsi də bu təhlükə ilə üz-üzə qalmışdı.

Bəzən onun adına saxta “facebook” hesabları açılıb və saxta elektron poçt ünvanları cüzi fərqlər istisna olmaqla onun adına oxşar olub.

Leyla Yunusun “facebook” hesabı da bir neçə dəfə oğurlanıb və onun hesabını bağlamaqdan başqa çıxış yolu qalmayıb.

Siyasi motivlərlə təqib olunan şəxslərin işi üzərində çalışan fəal Elşən Həsənov “Amnesty International”a deyib ki, onun “facebook” hesabı bir neçə dəfə guya dostlarına göndərilən lazımsız mesajlara görə əlindən alınıb.


Azərbaycanlı hüquq müdafiəçilərinin hüquqlarının vəziyyəti

2016-cı ilin martında Azərbaycan hökuməti səkkiz vicdan məhbusunu azadlığa buraxdı, onlar hakimiyyət əleyhinə çıxışlarına görə dəmir barmaqlıqlar salınmışdı. Amma vicdan məhbuslarının əksəriyyəti hələ də həbsxanadadır və hüquq müdafiəçilərinə qarşı davam edən cavab tədbirləri onların virtual məkanda fəaliyyətini mümkünsüz edir.

“Amnesty International” təşkilatının Azərbaycan hakimiyyətinin sərbəst və ifadə azadlığı kimi fundamental azadlıqların yerinə yetirilməsi ilə bağlı üzərinə götürdüyü öhdəliklri yerinə yetirməməyinə dair narahatlıqları var. Ölkədə tənqidi səslər tez-tez açılan saxta cinayət ittihamları, hədə-qorxu gəlmə və digər cavab tədbirləri ilə susdurulur. Hüquq mühafizə orqanları müntəzəm şəkildə saxlanılan sivil toplum fəallarına qarşı işgəncə və digər qanunsuz davranış üsullarından istifadə edir, üstəlik cəzasıqlıq mühiti davam edir.

Azərbaycanda onlayn təzyiq və izlənilmə

Hüquq müdafiəçiləri, müstəqil jurnalistlər və müxalifət fəalları sosial media və saytlar vasitəsilə tez-tez təhqiredici şərhlər, silahlandırılmış trolların təhdidlərinə məruz qalırlar.

Avropa İnsan Haqları Məhkəməsi bildirib ki, Azərbaycan qanunları hökumətə kommunikasiya şəbəkələrinə birbaşa çıxış, mobil telefon və elektron poçt ünvanlarını izləmək imkanı yaradır.

Azərbaycanlı dissidentlər dəfələrlə hakerlərin hücumlarına məruz qaldıqlarını deyiblər. “Citizen Lab” Azərbaycanın İtaliyanın “Hacking Team” şirkətindən şəxsi hesablara müdaxiləni təmin edən cihazlar aldığını aşkarlayıb.


İzlənmə anlayışı və bunun azərbaycanlı fəallara təsiri

Hüquq müdafiəçiləri “Amnesty International”a deyiblər ki, qanunda olan boşluqlar və azərbaycan hökumətinin izləmə praktikası qorxu mühiti yaradır, bu da hüquq medafiəçilərinin işini sarsıdır.

Azərbaycanlı gənc fəal Turqut Qəmbər “Amnesty International”a deyib: “Ümumilikdə deyə bilərəm ki, izlənmə ilə bağlı cəmiyyətdə bir hiss var və üzərində nəzarət olan aktivistlər var, mən rahatlıqla deyə bilərəm ki, danışarkən telefonlarımız davamlı şəkildə izlənilir. Başqa platformalara – “facebook” və kompüterə gəlincə, izləmə söhbətləri bir az söz-söhbət səviyyəsinə düşüb. Amma elə bu söz-söhbətlər elə fəalları təzyiq altında saxlamaq üçün kifayət edir. Təsəvvür edin ki, sizin şəxsi həyatınız, iş və yaxud ictimai fəaliyyətlə bağlı danışıqlarınız, yazışmalarınız izlənilir: bu insanlar arasında narahatlıq yayadır. İnsanlar açıq şəkildə onlayn yazışmalar apara bilmirlər. Qorxu mühitinə gösə insanlar üz-üzə görüşməyə üstünlük verirlər. Bu müəyyən səviyyədə paranoya da yaradır. Amma məsələ burasındadır ki, hər kəs doğru xətti seçməyi bacarır. Məsələ təkcə telefonlarla bağlı deyil.

“Facebook” və “Twitter”də yazdıqlarımız da monitorinq olunur. Əsas istənilən platformada izlənmənin baş vercəyi qırmızı xətləri bilmək lazımdır.

Rəsul Cəfərov “Amnesty International”a deyib: “Hökumət onları tənqid edən, fərqli fəaliyyət göstərən, istəmədikləri layihə və kampaniyalar həyata keçirən hər kəsi yaxından izləməyə çalışır. Mən buna inanıram”.

Hətta Azərbaycanı tərk edib Hollandiyaya gedən hüquq müdafiəçisi Leyla və həyat yoldaşı Arif Yunus da zərər çəkib. Bu kampaniyanın tərkib hissəsi olaraq Leyla Yunusun adından hesab açılıb və kompüterinə virus proqramı yüklənilib. O, əlaqə saxladığı hər kəsi təhlükə altına qoyduğundan çox narahatlıq keçirib: ”Biz heç kimlə əlaqə saxlamırıq, Bakıda yaşayan yaxın dostlarımıza zəng etmirik, qohumlarımızla danışmırıq. Biz ancaq özümüz kimi riskləri gözə alan 3-4 hüquq müdafiəçisi ilə əlaqə saxlayırıq. Çünki Bakıda bizim üçün əziz olan və işləməkdə davam etdiyimiz adamları müəyyənləşdirsə, bizim səsimizi batırmaq üçün onları həbs edəcəklər. Qohumlarımızın və dostlarımızın hamısını tutsalar da biz işimizi davam etdirəcəyik. Bu haqda ona görə danışıram ki, əgər, virus bizim dostlarımıza göndərdiyimiz mesajlarda nə yazdığımızı oxusa və onları aşkarlamaqda kömək etsə, bu təkcə bizim üçün yox, həm də həmkarlarımıza və dostlarımıza təhlükə yaradacaq”.

Rəsul Cəfərov “Amnesty International”a deyib ki, onların adlarından yaradılan elektron poçt ünvanları bir neçə hüquq müdafiəçisinin də rastına çıxıb. Bu kampaniya təkcə onların ünsiyyət alətlərinə hücum deyil, həm də yaxınlaşan təhlükənin xəbərdarlığıdır.

“Bu bizi çox məyus edirdi. Mən həbsdən azadlığa buraxılanda mənim də dostlarımın da ümidləri var idi. Çox az ümidimiz olsa da fikirləşirdik ki, bəlkə hökimətin, hüquq mühafizə orqanlarının hüquq müdafiəçilərinə və sivil toplum təşkilatlarına münasibəti dəyişəcək. Bizim adlarımızdan emaillər yaradanda ağlımıza gələn ilk fikir xüsusi xidmət orqanları oldu. Ola bilsin ki, bununla məqdəsləri emaillərimizin parollarını oğurlamaq yaxud da komputerlərimizə giriş əldə etmək olub. Mən buna görə çox məyus oldum və bizim ümidlərimiz öldü”.


Texniki imkanlar

Azərbaycan hakimiyyəti 13 ay ərzində “fərdi tovlama” kiberhücumu və viruslu proqramlar vasitəsilə tənqidi səsləri hədəfə alıb. Son zamanlar, xüsusilə də activistlərin sosial media hesablarına qarşı virus hucumları artıb. Hədəflər və qurbanlar, eləcə də göndəriləcək faylların siyasi məzmununun öncədən müəyyənləşdirilməsi onu göstərir ki, kampaniya çox sayda fəalları, jurnalistləri və dissidentləri hədəfə alıb. Bu kampaniyalar haqqında “VirtualRoad.org”un “Azərbycanda xəbər saytlarına hücumlar hökumət infrastrukturlarından gəlir” adlı hesabatında yer ayrılıb. Müstəqil media saytlarına müdaxilə cəhdləri və fərdi ovlama hucumları məhz bu ünvanlardan gəlir.

Təşkil olunan viruslu hücumlar o qədər də mükəmməl deyil, bəzi mənada həddən çiy hazırlanıb. Buna baxmayaraq, sosial mühəndislik cəhdləri və buna hazır olmayan ictimaiyyətlə birləşəndə bu taktika bir çox hədəflərə qarşı effektivliyini qoruyub saxlayır.


Fəalların adından istifadə

2016-cı ilin oktyabrında Rəsul Cəfərovun adına poçt ünvanı açılanda xeyli əməliyyatlar həyata keçirilib. Bunu “Amnesty International” təşkilatının apardığı analizlərin nəticələrinə əsasən demək mümükündür. Məlum olur ki, 2015-ci il noyabrın əvvəllərindən başlayaraq, azərbaycanlı “aktyorlar” dissidentləri, və hüquq müdafiəçilərini hədəfə alan genişmiqyaslı viruslu proqramlar işlədiblər.

Birinci halda, 2016-cı ilin yanvarında hədəf “Anonimous Azerbaijan” (Anonim Azərbaycan) saytının administratoru hədəfə alınır və qrupun aktiv fəaliyyət göstərir, saytı ələ keçirir və dağıdır. Öncə haker ona viruslu proqram göndərir və deyir ki bu, Havij test proqramıdır. Onun administratoru olduğu qruplar, öz “Facebook” səhifəsi, və “Anonim Azərbaycan” satyı o vaxtdan yoxa çıxıb. İnternet arxivi snəpşotlarından məlum olur ki, saytın forumu dağıdılıb, sonra sayt hostinq şirkəti tərəfindən bağlanılıb.

İkinci halda Saday Şəkərli adında “Facebook” profili internet xəbər kanalı “Kanal 13” -ün administratoruna yaxınlaşır. Həmin vaxtlarda Saday Şəkərli vergidən yayınma itihamı ilə həbs edilir. Şəkərlinin profilində xəbər olub və “Word” sənədi adı altında hədəf götürülən şəxsə viruslu sənəd göndərilib.

Bu müdaxilələr zamanı hücum edən şəxs bir həftə “Kanal 13” -ün səhifəsinə çıxış əldə edib, kanalın daxili əməliyyatlarını və şəxsi yazışmaları sənədləşdirib. Fəaliyyət gösrətdiyi müddətdə “Kanal 13”-ün jurnalistləri təqiblərə və həbslərə məruz qalıb. Saytın ələ keçirilməsinin jurnalistlərin istintaqa cəb edilməsi əlaqəli olub, o da maraqlıdır ki, virus hücumuna məruz qalan şəxslərin istintaqa cəlb olunması nümunəsi var.

“Anonim Azərbaycan” və “Kanal -13” fərdi tovlama cəhdləri elementar virus proqramlarının müdaxiləsinə nümunədir. Virus proqramı “Adobe Flash” üçün yenilənmələr göndərir, amma taktika eyni cürdür.

Digər bir hücumda isə virus proqramı ABŞ-ın Bakıdakı səfirliyinin adından qəbul dəvətnaməsi yayılıb. Bir neçə fəal deyib ki, onlara bu cür saxta dəvətnamələr göndərilib.


Son zamanlar baş verən nümunələrin birində viruslu sənəddə Azərbaycanda olan siyasi məhbusların 2016-cı ilin noyabrına olan siyahısı yerləşdirilib. Sənədin metadatasında hüquq müdafiəçisi leyla Yunus tərəfindən hazırlanıb və istinad olaraq da leyla_yunus adı göstərilib.

Daha bir virus hücumu Avropa ilə yaxın siyasi və mədəni əlaqələri təbliğ edən Azərbaycan Avropa Hərəkatının prezidenti Ramin Hacılıya qarşı olub.

2015-ci ildə parlament seçkiləri kampaniyasının gedişi zamanı o, ölkəni tərk edib. O, müsahibəsində qəfil gedişinin səbəbini açıqlayıb. Bildirib ki, onun kompüterine virus salınıb. Aşkarlanan köhnə virus versiyası 2015-ci ilin noyabrında “VirusTotal”-a yüklənib. Ramin Hacılı müsahibəsində deyib ki, öz adına olan və “Google”-un qərəzli elan etdiyi köhnə “raminhacili.com” domenini yenidən əldə etmək uğrunda mübarizəyə başlayıb.

Hacılı “Amnesty International”a deyib ki, onun 2015-ci ilin parlament seçkiləri zamanı Azərbaycanı tərk etməyinin səbəbi Türkiyədə yaşayan tanışından komüterinə texniki dəstək istəməyi olub və o, virusu neytrallaşdırandan kimi də Azərbaycana qayıdıb.

Ramin Hacılı deyir ki, o zamandan bəri o saytına hücumların arxasında duran şəxslər haqqında yazı dərc edəndə hücumlar təkrarlanıb.

O dedi ki, formal olaraq 1 il 6 ay öncə polisə şikayət edib amma onun şikayəti haqqında yeni bir məlumat yoxdur.


Zərərli proqramlar

“AutoItSpy” virus proqramı “AutoIt”-ə yazılan iki prqramın sadə kombinasiyasıdır. Qurban seçilən şəxs bu proqramı işə salanda proqram bu virusla əlaqəli və tələ rolunu oynayan sənədi açmağa çalışır. Virus fon rejimində daimi bir yerə yüklənir və kompüter açılan kimi fəaliyyətə başlayır. Virus İP ünvanı və sistem quraşdırmaları da daxil olmaqla qurbanın işlətdiyi kompüterin sistemini göstərir.

Virus davamlı olaraq istifadəçinin basdığı klavişlərin qeydiyyatını aparır, skrinşotlar edir, əksər hallarda email və sosial media kimi platformalarda kimlik məlumatlarını əldə edir. “AutoItSpy” haqqında tam hesabatı burdan əldə etmək mümkündür.

Kampaniyanın arxasında dayananlar kimlərdir?

Görünən odur ki, “AutoItSpy” Azərbaycan dillilər və istifadəçilər tərəfindən inkişaf etdirilib və Azərbaycanın daxilində yerləşən infrastrukturlarda istifadə olunur. “VirtulRoad” və “Amnesty”nin topladığı sübutlara görə, əvvəlcə proqram İP ünvanını müəyyənləşdirir və saytlara hücumlar hökumət orqanlarının yerləşdiyi infrastrukturlarla eyni yerdə yerlşir.


Pantera kimdir?

“AutoItSpy”ın qeydə alınan birinci müdaxiləsindən bir ay əvvəl “P_a_n_t_e_r_a” və “pantera” adında şərti ad şəbəkə monitorinqi proqram təminatçısını açmaq üçün “Command & Control” serveri kimi eyni İP ünvanından çat orağına girir. Bir çox hallarda “pantera”nın internetdə qoşulu olmayan hallarda kompüterin poçt serverinin monitorinqini aparmaq niyyətilə texniki dəstək sorğusu olduğunu bildirirlər.

Bu maraq sonradan “AutoItSpy”ın poçt serveri vasitəsilə məlumatları filtirasiya etməsi ilə birləşir. Eyni ildə baş verən daha öncəki məlumatlarda panteranın eyni İP (85.132.24.74) üzrə alternativ ünvandan çat otağına çatdığı məlum olur. 2014-cü ilin fevralında “avropa. info” saytına hakker hucumunda bu İP ünvanı nın adı keçir.

Zaman fəqi “pantera” və “AutoItSpy” arasında zəif başlantının olduğunu göstərir, qərəzli davranışlar onlar arasında əlaqənin olmasına dair fikirləri dərinləşdirir.

“AutoItSpy”-ın şəbəkə ünvanı (85.132.78.0/24) üçün istifadə olunan poçt serverində Azərbaycanın təbii sərvətlər, maliyyə bank sektoru şirklərinin infrastrukturu yerləşir: bu kommersiya baxımından icarəyə götürülən bir infrastruktur ola bilər.

“Pantera” tərəfindən istifadə olunan digər bir İP şəbəkədə (85.132.24.0/22) hökumət infrastrukturu da yerləşir: Xarici İşlər Nazirliyi, Ədliyyə Nazirliyi və dövlət televiziyasının yerləşdiyi bina.


Azərbaycan hökumətinin cavabı

Hesabatın bir nüsxəsi Azərbaycanın Londakı səfirliyinin rəsmi poçt ünvanına göndərilib. Fərqli ünvandan belə bir cavab gəlib:

“Biz kiber təhlükəsizlik məsələsinə ciddi yanaşırıq və hökumət və qeyri-hökumət təşkilatlarının informasiya vasitələrinə qarşı olan hücumları pisləyirik. Azərbaycan vətəndaşı bu cür hücuma məruz qalanda onların aidiyyəti orqanlara müraciət etməyinin tərəfdarıyıq ki, bu cür hallarla bağlı detallı araşdırma aparılsın. Belə başa düşürük ki, “Amnesty International”ın hesabatında yer alan hadisələr hökumıtin diqqətinə çatdırılmayıb və bizə bu hücumlar haqqında məlumat veriməyib.

Biz “Amnesty International” da daxil olmaqla beynəlxalq hüquq müdafiə təşkilatlarına da müraciət edirik və onları uzun müddətdir Azərbaycan hökumətinə qarşı davam edən qərəzə və həmişə olduğu kimi Azərbaycan hökumətini bu kimi hallarla bağlamağa son son qoymaga çağırırırq”.

Nəticə: Birbaşa texniki sübutlar olmadığından hücumların məhz dövlət orqanları tərəfindən törədildiyini demək mümkün olmur, eləcə də hücumlar zamanı hədəfə alınan şəxslər və adlarından istifadə olunan şəxslərin əksəriyyəti siyasi motivlərlə həbs olunan yaxud da Azərbaycan hökumətinin daha öncə hədəfə aldığı insanlardır. Bu kampaniya Azərbaycan hakimiyyətinin hüquq müdafiəçiləri və aktivistlərə qarşı repressiv taktikaları ardıcıl şəkildə həyata keçirilib.


Məqaləyə keçid


Tərcümə: Leyla Mustafayeva

Ana səhifəAnalitika”Saxta profillər və zərərli proqramlar Azərbaycanda dissidentləri necə hədəfə alır?”