Из интернет инфраструктуры, связанной с правительством Азербайджана, совершаются активные кибератаки на оппозиционные сайты, сайты правозащитников
Об этом в своем отчете пишет организация VirtualRoad.org.
В отчете говорится, что организация собрала
все доказательства за последние 6 месяцев.
Хакеры, прошедшие специальную подготовку, организуют такие кибератаки, как «отказ в обслуживании» (DoS атаки), попытки вмешательства, вредоносное ПО.
Во время DoS атаки на сервер направляют в разы больше запросов, чем он может принять, и система зависает. В результате вход на сайт блокируется. Во время атаки вредоносного ПО отдельным лицам отправляют файлы, содержащие вирусы.
Например, несколько месяцев назад в Азербайджане правозащитники получили такое письмо:
На первый взгляд ничего подозрительного здесь нет. Однако, как только открывается это письмо, запускается программа AutoltSpy и все пароли и другая информация на компьютере оказывается в руках у хакеров.
Специализирующийся в сфере свободы слова, интернет безопасности VirtualRoad.org пишет, что этот доклад основан на выводах, к которому пришла организация, наблюдая и предотвращая атаки.
Атаки на независимую прессу
12 января 2017 года на сайт abzas.net началась атака «отказ в обслуживании». Атаки продолжались 8 дней, и на протяжении этого времени войти на сайт было невозможно. После того, как сайт перешел в инфраструктуру безопасности VirtualRoad.org проблема была решена.
Примечательно, что атакующие abzas.net за последние 6 месяцев атаковали также cumhuriyyet.net и azadliq.info.
По следам совершающих эти атаки удалось выяснить, что они связаны с сетью 85.132.24.0/24, если точнее с İP-адресами 85.132.24.74 и 85.132.24.77.
В этой İP-сети есть несколько государственных структур Азербайджана: Министерство иностранных дел (tourvisa.mfa.gov.az @85.132.24.246), почтовый сервер Кабинета министров (mail.cabmin.gov.az@ 85.132.24.82), почтовый сервер Министерства транспорта (mail.mot.gov.az @85.132.24.51).
Где располагаются атакующие?
VirtualRoad.org пишет, что по большой вероятности это здание Министерства транспорта (Баку, проспект Тбилиси – 1054). Организация указывает, что «неавтоматизированные атаки» всегда совершаются в рабочее время.
Когда VirtualRoad.org постарался блокировать атаки, хакеры сменили İP-адрес с 85.132.24.74 на 85.132.24.77. С этого адреса, которым пользуются хакеры, атакующие медиа-сайты, обеспечивается выход в интернет Министерства транспорта и именно оттуда можно войти на сайт министерства.
В январе 2017 года на сайты abzas.net и Azadliq.info совершались различные атаки. 11 серверов начали атаку «отказ в обслуживании» против этих сайтов. На İP-адресе 136.243.173.205 одного из серверов, с которого совершаются атаки, размещен сайт Hackathon Azerbaijan.
Другой сайт Yer.az принадлежит Рашаду Алиеву. VirtualRoad.org пишет, что Рашад Алиев специалист по безопасности, связан с деятельностью кибербезопасности правительства. Когда организация спросила у Рашада Алиева об атаках, он признался, что трафик в его сервере, однако он не может дать более подробную информацию.
Подозрительный мониторинг
VirtualRoad.org, изучая ситуацию за последние 6 месяцев, заметил подозрительный график некоторых трафиков, входов на сайты. В результате расследования выяснилось, что связанные с правительством кибер структуры через каждые 15 минут проводят мониторинг некоторых информационных сайтов.
По предположению организации, целью такого мониторинга является проверка хакерами результата своей деятельности. То есть, был ли выведен сайт из строя? Сколько это продолжалось?
Когда VirtualRoad.org блокировал это систему мониторинга, хакеры несколько раз сменили İP-адрес чтобы начать атаку заново. 6 января 2017 года после нескольких неудачных попыток атакующие перешли на İP-адрес 85.132.78.164.
Это адрес связан с теми, кто распространяет вирус AutoltSpy.
VirtualRoad пишет, что выводы, к которому пришла организация совпадают с отчетом Amnesty İnternational, и там можно все подробно прочитать. С помощью этого вируса вскрываются компьютеры правозащитников.
Virtual Road.org пишет, что İP-адрес тех, кто взламывает компьютеры этим вирусом, похищает пароли и другие информации — 85.132.78.164.
Примечание:
После того как информация была размещена
на сайте
Радио Азадлыг, Рашад Алиев прислал в редакцию письмо:
«Хочу отметить, что yer.az предлагает хостинг услуги и там размещены различные сайты социального типа и сайты, где я предлагаю определенные корпоративные услуги. На сайтах в yer.az испольуются и платные и бесплатные системы. Естественно, у тех, кто использует бесплатные скрипты, периодически бывают проблемы с безопасностью. Злоумышленники пользуются этим, и вмешиваясь в работу сайта, используют их в своих целях. Когда к нам поступает информация о проблеме конкретного сайта, мы сразу же устраняем ее.
16 января virtualroad.org отметил, что с адреса 136.243.173.205, где находятся наши сайты, совершались атаки. Мы проверили сервер. Не обнаружив проблему отправили им запрос, чтобы они отметили точный источник. Однако они попросили информацию обо всех сайтах. А это является нарушением права пользователей, и мы отказали им. Естественно, в связи с этим мы периодически проверяем сайты».