Dövlət CERT-i tərəfindən Çinlə əlaqəli APT qrupunun Azərbaycanın enerji sektoruna yönəlmiş kiberhücum fəaliyyətləri araşdırılıb

Çin dövlətinə bağlı olduğu bildirilən FamousSparrow adlı APT (Advanced Persistent Threat) qrupunun Azərbaycanın neft-qaz sektorunda fəaliyyət göstərən şirkətlərdən birinə qarşı çoxmərhələli kiberhücum həyata keçirildiyi iddia olunur. 

Azərbaycan Respublikasının Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzi (Dövlət CERT-i) tərəfindən daxil olmuş məlumatlar əsasında sözügedən kibertəhlükə aktivlikləri üzrə indikator əsaslı təhdid kəşfiyyatı və texniki araşdırmalar aparılmışdır. 

Müəyyən edilmişdir ki, hücumçular Microsoft Exchange Server platformasında mövcud olan ProxyShell və ProxyNotShell zəifliklərindən istifadə etməklə ilkin giriş əldə etmiş, daha sonra sistem üzərində web shell yerləşdirərək davamlı giriş imkanları formalaşdırmışlar. Sonrakı mərhələlərdə isə DLL sideloading texnikası vasitəsilə Deed RAT və TernDoor adlı zərərli proqram təminatlarının icrası müşahidə olunur.

Araşdırma çərçivəsində FamousSparrow fəaliyyəti ilə əlaqələndirilən fayl heşləri, domenlər, URL ünvanları və digər komprometasiya indikatorları üzrə təhlükəsizlik yoxlamaları aparılmış, heş dəyərləri vasitəsilə potensial komprometasiya əlamətləri qiymətləndirilmişdir. Domen indikatorları ilə bağlı isə “AzStateNet” şəbəkəsi üzərində müvafiq sorğular icra edilmişdir.

Aparılmış tədbirlər nəticəsində hücum fəaliyyəti ilə əlaqələndirilən zərərli domenlər üzrə bloklama tədbirləri həyata keçirilmiş, aidiyyəti təhlükəsizlik sistemləri üzərində müvafiq məhdudlaşdırmalar tətbiq edilmişdir.

Eyni zamanda, əldə edilmiş IOC göstəriciləri əsasında aidiyyəti qurumlara IOC-lər üzrə retrospektiv və cari monitorinqlərin aparılması, dövlət e-poçt xidməti, SIEM, EDR/XDR, firewall, proxy və DNS loqları üzərində indikator əsaslı yoxlamaların həyata keçirilməsi, Microsoft Exchange infrastrukturu və autentifikasiya qeydlərinin əlavə təhlil olunması tövsiyə edilmişdir. Qurumlara həmçinin şübhəli outbound əlaqələrin və anomal aktivliklərin araşdırılması, komprometasiya əlamətləri aşkar edildiyi halda müvafiq orqanlara operativ məlumat verilməsi, eləcə də sentinelonepro[.]com:443 və virusblocker[.]it[.]com:443 domenləri üzrə yoxlamaların aparılması tövsiyə olunur.

Mərkəz tərəfindən kritik informasiya infrastrukturlarının kibertəhlükələrdən qorunması, potensial hücum aktivliklərinin vaxtında aşkarlanması və qabaqlayıcı təhlükəsizlik tədbirlərinin həyata keçirilməsi istiqamətində monitorinq və təhdid kəşfiyyatı fəaliyyəti davam etdirilir.