Dövlət CERT-i tərəfindən Çinlə əlaqəli APT qrupunun Azərbaycanın enerji sektoruna yönəlmiş kiberhücum fəaliyyətləri araşdırılıb

Çin dövlətinə bağlı olduğu bildirilən "FamousSparrow" adlı APT (Advanced Persistent Threat) qrupunun Azərbaycanın neft-qaz sektorunda fəaliyyət göstərən şirkətlərdən birinə qarşı çoxmərhələli kiberhücum həyata keçirildiyi iddia olunur. 

Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzi (Dövlət CERT-i) tərəfindən əldə olmuş məlumatlar əsasında sözügedən kibertəhlükə aktivlikləri üzrə indikator əsaslı təhdid kəşfiyyatı və texniki araşdırmalar aparılmışdır. 

Paylaşılan xəbərlərdə qeyd edilmişdir ki, hücumçular Microsoft Exchange Server platformasında mövcud olan ProxyShell və ProxyNotShell zəifliklərindən istifadə etməklə ilkin giriş əldə etmiş, daha sonra sistem üzərində web shell yerləşdirərək davamlı giriş imkanları formalaşdırmış, sonrakı mərhələlərdə isə DLL sideloading texnikası vasitəsilə Deed RAT və TernDoor adlı zərərli proqram təminatlarından istifadə etmişlər.

Lakin ətraflı təhlillər zamanı "AzStateNet" seqmenti üzrə "FamousSparrow" fəaliyyəti ilə bağlı heç bir izə rast gəlinməmişdir. Belə ki, hücum vektoru ilə əlaqələndirilən fayl heşləri, domenlər, URL ünvanları və digər komprometasiya indikatorları üzrə təhlükəsizlik yoxlamaları aparılmış, heş dəyərləri vasitəsilə potensial komprometasiya əlamətləri qiymətləndirilmişdir. Domen indikatorları ilə bağlı isə “AzStateNet” şəbəkəsi üzərində müvafiq sorğular icra edilmişdir. Nəticədə aparılmış tədbirlər nəticəsində hücum fəaliyyəti ilə əlaqələndirilən texniki göstəricilər əsasında preventiv bloklama tədbirləri həyata keçirilmiş, aidiyyəti təhlükəsizlik sistemləri üzərində müvafiq məhdudlaşdırmalar tətbiq edilmişdir.

Dövlət qurumlarına (orqanlarına) şübhəli outbound əlaqələrin və anomal aktivliklərin araşdırılması, komprometasiya əlamətləri aşkar edildiyi halda müvafiq orqanlara operativ məlumat verilməsi, eləcə də sentinelonepro[.]com:443 və virusblocker[.]it[.]com:443 domenləri üzrə yoxlamaların aparılması, eyni zamanda, əldə edilmiş IOC göstəriciləri əsasında aidiyyəti qurumlara IOC-lər üzrə retrospektiv və cari monitorinqlərin aparılması, dövlət e-poçt xidməti, SIEM, EDR/XDR, firewall, proxy və DNS loqları üzərində indikator əsaslı yoxlamaların həyata keçirilməsi, Microsoft Exchange infrastrukturu və autentifikasiya qeydlərinin əlavə təhlil olunması tövsiyə olunur.

Mərkəz tərəfindən kritik informasiya infrastrukturlarının kibertəhlükələrdən qorunması, potensial hücum aktivliklərinin vaxtında aşkarlanması və qabaqlayıcı təhlükəsizlik tədbirlərinin həyata keçirilməsi istiqamətində monitorinq və təhdid kəşfiyyatı fəaliyyəti davam etdirilir.

Daha ətraflı - Təhdid Kəşfiyyatı hesabatını yükləyərək tanış ola bilərsiniz.