Martın 10-da Azərbaycan hakimiyətini ifşa edən daha iki hesabat yayılıb. Hesabatlarda göstərilir ki, Azərbaycan hakimiyyəti öz tənqidçilərinə qarşı kiberhücumlar təşkil edir. Müəlliflərdən biri VirtualRoad.org təşkilatı, digəri isə Amnesti International’dır.

VirtualRoad.org öz hesabatında yazır ki, Azərbaycan hökuməti ilə bağlı olan internet infrastrukturundan müxalifət mediasının, insan haqları fəallarının saytlarına intensiv kiberhücumlar olur. Təşkilat son 6 ayda bunun sübutlarını toplayıb.

Hesabata görə, xüsusi hazırlıq keçmiş bu hakerlər “xidmətdən imtina” (DoS), müdaxilə cəhdləri, “fərdi tovlama” kimi kiberhücumlar təşkil edir.

“Xidmətdən imtina” zamanı, hədəfə alınmış serverə onun “həzm edə biləcəyindən” daha çox müraciətlər edilir və sistem çökür, daha sayta girmək olmur. “Fərdi tovlama” zamanı isə hədəfə alınan şəxslərə viruslu fayllar əlavə edilmiş məktublar göndərilir.

Məsələn, bir neçə ay əvvəl Azərbaycanda insan haqları müdafiəçilərinə belə bir məktub göndərilib:

AutoltSpy

Belə baxanda burda şübhəli heç nə gözə dəymir. Ancaq bu məktubu açanda xüsusi virus proqramı AutoltSpy işə düşür və kompüterin içindəki parolları və başqa məlumatları oğurlayır.

Söz azadlığı, internet təhlükəsizliyi sahəsində ixtisaslaşan VirtualRoad.org yazır ki, bu hesabat həmin hücumların izlənməsi və aradan qaldırılmasında təşkilatın gəldiyi nəticələrə əsaslanır.

MÜSTƏQİL MEDİAYA HÜCUMLAR

2017-ci il yanvarın 12-də abzas.net saytına əlavələr şəklində “xidmətdən imtina” hücumları başlandı. Bu hücumlarln davam etdiyi 8 gün ərzində sayta girmək mümkün deyildi. Və nəhayət sayt VirtualRoad.org-un təhlükəsizlik infrastruktruna daxil olandan sonra problem həll olundu.

Burda maraqlı olan odur ki, abzas.net saytına hücum edənlər son 6 ayda cumhuriyyet.net və azadliq.info saytlarına hücumlər edənlərlə eynidirlər.

Hücum edənlərin qoyduğu izlər göstərir ki, onlar 85.132.24.0/24 şəbəkəsi və daha konkret deyilsə, 85.132.24.74 və 85.132.24.77 İP-ünvanları ilə əlaqələdirlər.

Həmin İP şəbəkədə isə Azərbaycanın bir neçə hökumət qurumu var: Azərbaycan Xarici İşlər Nazirliyi ([email protected]), Nazirlər Kabinetinin poçt serveri (mail.cabmin.gov.az@ 85.132.24.82), Nəqliyyat Nazirliyinin poçt serveri ([email protected]).

HÜCUM EDƏNLƏR HARDA YERLƏŞİR?

VirtualRoad.org yazır ki, kiberhücum təşkil edənlərin ən böyük ehtimalla yerləşdiyi yer Nəqliyyat Nazirliyinin binasıdır (Bakı, Tbilisi prospekti- 1054). Təşkilat buna əsas kimi həm də onu göstərir ki, “avtomatlaşdırılmamış hücumlar” həmişə iş vaxtına düşür.

VirtualRoad.org bu kiberhücumları blok etməyə çalışdığı vaxt hücumçular 85.132.24.74 İP ünvanını 85.132.24.77-yə dəyişiblər. Media saytlarına hücum edənlərin istifadə etdiyi bu ünvandan Nəqliyyat Nazirliyinin internetə çıxışı təmin olunur və hamı məhz buradan nazirliyin saytına daxil ola bilir.

2017-ci ilin yanvarında isə abzas.net və Azadliq.info saytlarına çox fərqli hücum oldu. 11 server bu iki sayta qarşı “xidmətdən imtina” hücumuna başladı. Hücumda istifadə olunan serverlərdən birində 136.243.173.205 İP ünvanında Hackathon Azerbaijan saytı yerləşir.

Hackathon

Burada yerləşən digər sayt Yer.az-dır. Sayt Rəşad Əliyevindir. VirtualRoad.org yazır ki, Rəşad Əliyev təhlükəsizlik üzrə mütəxəssisdir, hökumətin kibertəhlükəsizilik fəaliyyəti ilə bağlı adamdır. Təşkilat hücumlar barədə ondan soruşanda Rəşad Əliyev etiraf edib ki, trafik onun serverindəndir, ancaq məxfilik səbəblərindən ətraflı məlumat verə bilməz.

ŞÜBHƏLİ MONİTORİNQ

VirtualRoad.org bu son 6 ayda vəziyyəti öyrənəndə bəzi traffiklərin, sayta girişlərin şübhəli qrafiklərini görüb və araşdıranda məlum olub ki, Azərbaycanda bəzi xəbər saytları hökumətlə bağlı kiberqurumlar tərəfindən hər 15 dəqiqədən bir monitorinq olunur, yoxlanır.

Təşkilatın ehtimalına görə, belə monitorinqin məqsədi xəbər saytlarının məzmununa baxmaq yox, hakerlərin öz işinin nəticəsini yoxlamasıdır. Yəni sayt sıradan çıxarıldımı? Bu nə qədər davam etdi?

VirtualRoad.org bu monitorinq sistemini blok edəndə hakerlər İP ünvanını bir neçə dəfə dəyişiblər ki, hücumu yenidən başlasınlar. 2017-ci il yanvarın 6-da bir neçə uğursuz cəhddən sonra hücum edənlər 85.132.78.164 İP ünvanına keçiblər. Bu ünvan isə AutoltSpy virusunu yayanlarla bağlıdır.

VirtualRoad yazır ki, bununla bağlı təşkilatın gəldiyi nəticələr Amnesty İnternational Təşkilatının hesabatı ilə üst-üstə düşür. AI-nin hesabatında göstərilən virusla kompüterləri yaranların, parolları və digər məlumatları oğurlayanların İP ünvanı da 85.132.78.164 -dür.

***

Amnesty International beynəlxalq insan haqları təşkilatının hesabatında da bildirilir ki, Azərbaycanda siyasi fəallar “hökumət tərəfindən təşkil olunan” kiberhücumlara məruz qalır.

Təşkilat bildirir ki, Azərbaycanın insan haqları fəalları, jurnalistləri və siyasi dissidentləri “fərdi tovlama” (fishing) üsulu ilə hədəfə alınır. Şəxsi informasiyalarının və şəxsi kommunikasiyalarının əldə olunması məqsədilə fəalların elektron poçtlarına və Facebook dialoqlarına haker müdaxiləsi həyata keçirilir.

Təşkilatın son 13 ayda apardığı təhqiqat göstərib ki, parolların və kontaktların oğurlanmasına hesablanmış kiberhücumlar hökumətin müxtəlif tənqidçilərini hədəfə alıb. Belə hücumlara məruz qalanlar bildirirlər ki, bunun arxasında hakimiyyətin dayandığına inanırlar.

Amnesty International təşkilatının baş texnoloqlarından Claudio Guarnierinin dediyinə görə, aparılmış araşdırma göstərib ki, məqsədli və koordinasiya edilmiş kiberhücum kampaniyasının bir çoxu uzun müddətdən bəri hökumət repressiyalarının qurbanı olmuş tənqidi səs sahiblərinə qarşı aparılır.

Claudio Guarnieri bildirir ki, bu hücumlarda işlədilən ziyanlı proqramlardan hədəf barədə mümkün qədər çox şəxsi informasiyanın toplanması üçün istifadə edilir.

Amnesty nümayəndəsi qeyd edir ki, hədəflərin profillərinə nəzər yetirildikdə, qurbanların hücumun nəyə görə hökumət tərəfindən təşkil edildiyinə inandıqları başa düşülür.

“Saxta dostlar – Azərbaycanda saxta hesablar və ziyanlı proqramlardan dissidentləri hədəfləmək üçün necə istifadə edilir” (False Friends – how fake accounts and crude malware targeted dissidents in Azerbaijan) adlı hesabatda haker hücumlarının detallarına geniş yer verilib.

Hesabatda qeyd olunur ki, haker müdaxiləsi məqsədilə qurbanların elektron ünvanlarına saxta email-lər göndərilir.

Fərdi tovlama

İnternet hakerliyində “fərdi tovlama” və ya ‘spear phishing’ kimi tanınan metoddan istifadə zamanı sözü gedən saxta emaillərə qoşulmuş fayllarda “ziyanlı proqram” daşıyan viruslar olur.

Əgər adresat belə qoşmaları açarsa, onun poçtuna yüklənmiş virus hücuma məruz qalanının monitorundakı təsvirləri hakerə göndərir və beləliklə də haker qurbanın nə yazdığını aydın şəkildə güdə bilir.

Hesabatda deyilir ki, saxta elektron məktublar tanınmış insan haqları fəallarının və siyasi fəalların adlarından göndərilir.

Bu hücuma məruz qalanlardan biri də insan haqları fəalı, keçmiş vicdan məhbusu Rəsul Cəfərov olub. Onu, hücuma məruz qalmasından 2016-cı ilin oktyabrında bir həmkarından aldığı telefon zəngi duyuq salıb. Həmkarı Cəfərova deyib ki, onun ünvanına çox bənzəyən ünvandan email və qoşma alıb.

O Amnesty International təşkilatına deyib ki, hakimiyyətin onu tənqid edən hər bir kəsə diqqətlə göz qoyduğu qənaətindədir.

Rəsul Cəfərovun və başqa fəalların şikayətlərini təhlil edən təşkilat bu nəticəyə gəlib ki, fəallara qarşı haker hücumları ən geci 2015-ci ilin noyabrından başlanıb.

“Tükürpədici təşviş”

Təşkilatın sənədləşdirdiyi başqa bir epizoda görə ‘Anonymous Azerbaijan’ adlanan sayt hədələnib, Kanal13 internet xəbər portalına isə hücumun ardınca bir həftə ərzində haker girişi əldə olunub.

Başqa bir insident zamanı isə bir neçə fəala Bakıdakı ABŞ səfirliyindəki qəbula saxta dəvətlə ziyanlı kompüter proqramı göndərilib.

Hesabatda deyilir ki, saxta email-lərə qoşulmuş saxta sənədlər konkret fəalların adından tərtib edilir. Məsələn guya Leyla Yunus tərəfindən tərtib edilmiş bir qoşma sənədi “2016-cı ilə olan vəziyyətə görə Azərbaycandakı siyasi məhbuslar” adlanırdı.

Leyla Yunus və onun əri Arif Yunus Amnesty International təşkilatına deyiblər ki, onlar kiberhücumların hakimiyyət tərəfindən təşkil edildiyinə inanırlar.

Amnesty International təşkilatının Avropa və Asiya Proqramlarının direktor müavini Denis Krivoşeyev deyib ki, bu hücumlar Azərbaycanda hökumət tənqidçiləri üçün onsuz da dözülməz olan mühiti daha da kəskinləşdirib.

Denis Krivoşeyevin sözlərinə görə “potensial olaraq bütün internet fəaliyyətinin güdülməsi ehtimalı Azərbaycan fəalları arasında tükürpədici təşvişə səbəb olub”.

O deyib ki, belə bir hal fəalların təkcə işini əngəlləmir, həm də onların gündəlik həyatlarına pozucu təsir göstərir.

Haker hökumət İP-ləri ilə “eyni blokda yaşayır”

Hesabatda bu da qeyd olunur ki, Amnesty International sözü gedən kiberhücumların hökumət rəsmiləri və idarələri ilə bağlılığını aşkara çıxara bilməyib, lakin bununla belə ziyanlı proqramı göndərən “pantera” internet adının sahibinin əsas etibarilə hökumət infrastrukturunda işlədilən İP ünvanları blokunda olduğu görünür.

Hesabatda deyilir ki, bu İP ünvanı ilə eyni blokda Xarici İşlər, Ədliyyə nazirlikləri və dövlətə bağlı telekanalın İP ünvanları yerləşir.

Təşkilat bildirir ki, Amnesty International aşkar etdiyi faktlara dair hesabatı Azərbaycan hökumətinə təqdim edib. Azərbaycan hökuməti buna cavab olaraq bildirib ki, sözü gedən sənədləşdirilmiş hallar barədə şikayətlər daxil olmayıb və buna görə də bu barədə heç bir təhqiqat aparılmayıb.

Hesabatın məlumat hissəsində qeyd olunur ki, Azərbaycanda müstəqil jurnalistlər, insan haqları və siyasi fəallar, hökumətdən dəstək alan trollama kampaniyaları da daxil, tez-tez internet qısnamasına və təqiblərinə məruz qalırlar.

Bu da qeyd olunur ki, Azərbaycanda telefon və internet kommunikasiyalarının izlənməsinə icazə verən qanunlar Avropa İnsan Haqları Məhkəməsi tərəfindən tənqid edilib. Bu qanunlar “fərdlərə və xüsusən də dövlətə qarşı ağır cinayətlərin qarşısının alınması məqsədilə” subyektin hakimin sanksiyası olmadan güdülməsinə imkan yaradır.

Citizen Lab və başqa ictimai təhqiqat qruplarının araşdırmaları göstərib ki, Azərbaycan hökuməti İtaliyanın Hacking Team şirkətindən kompüter proqramları almaq niyyətində olub.

Hesabtda deyilir ki, Hacking Team şirkətindən sızdırılmış email-lər İsrailin NİCE Systems texnoloji şirkətinin Azərbaycanın Milli Təhlükəsizlik Nazirliyinə belə proqram satışlarının və Daxili İşlər Nazirliyi ilə görüşmək cəhdlərinin olduğunu göstərir.

Bu email-lərdə qeyd olunur ki, Azərbaycanın xüsusi xidmətləri Hacking Team platfortmasından uğurla istifadə etməyə çalışır.

Qeyd: Məlumat azadliq.org-da yayıldıqdan sonra Rəşad Əliyev redaksiyaya bu cavabı göndərib:

“Qeyd edim ki yer.az hostinq xidmətləri təklif edir və orada sosial tipli və ya müəyyən korporativ xidmətlər təqdim ediyim saytlar yerləşdirilib. Yer.az-dakı saytlarda həm ödənişli, həm də pulsuz sistemlər istifadə edirlər. Əsasən də pulsuz scriptlərdən istifadə edənlərdə təbii ki vaxtaşırı təhlükəsizlik boşluqları olur və bunlardan istifadə edən bədniyyətlilər saytlara müdaxilə edərək öz məqsədləri üçün istifadə edirlər. Bəzən bununla əlaqədar müxtəlif mənbələrdən bizə məlumatlar gəlir. Əgər dəqiq hansı saytda boşluq olması barədə məlumat verilirsə, biz o saytdakı problemi o dəqiqə həll edirik.

Virtualroad.org saytı da 16 Yanvar tarixində bizə bizim saytlar olan 136.243.173.205 ünvanından hücum gəldiyini qeyd etmişdi. Biz serveri yoxladıq. Heç bir boşluq tapmadıqda dəqiq mənbəni qeyd etmələri üçün onlara sorğu göndərdikdə bütün saytlar haqqında məlumatın təqdim edilməsini istədilər. Bu isə serverdə olan istifadəçilərin hüquqlarının pozulması deməkdir və biz buna imtina etdik. Təbii ki bununla əlaqədar saytlarda mütəmmadi yoxlamalar aparırıq. Lakin biz saytların daxilindəki məlumatlara müdaxilə etmirik, buna onların sahibləri cavabdehdir.”