Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzinin SOC (təhlükəsizlik əməliyyatlar mərkəzi) komandası, Mərkəzləşdirilmiş antivirus sisteminin X dövlət qurumunda çoxlu sayda şübhəli əməliyyatlar qeydə aldığını aşkarladı. İnsidenti araşdırmaq məqsədi ilə işçi qrupu yaradılmış və sözü gedən qurumda araşdırmalara başlanılmışdır. Araşdırmalar nəticəsində qurum daxilində "Cloud-Atlas" (aka Inception) kiber cəsusluq qrupuna aid izlərin olduğu müəyyən edilmişdir. Kiber cəsusluqun qrupunun qurum daxilində fəaliyyət göstərdiyi, quruma məxsus konfidensial məlumatları oğurladıqları təyin edilmişdir. Bütün bunlarla yanaşı aşağıda qeyd edilən problemlər, qrupun qurum daxilinə tam olaraq nə zaman sızdığını aşkar etməyimizə maneə yaratmışdır.
- Qurumun son 1 il ərzində Mərkəzləşdirilmiş antivirus sisteminə keçidi
- Kiber cəsusluq qrupunun iz itirmək üçün yoluxduğu serverlərdə kritik loqları təmizləməsi
- Qurumun başqa bir yerli şirkətin texniki dəstəyindən istifadə etməsi
Serverlərin ekpertizasından toplanılan məlumatlar əsasında sözü gedən kiber cəsusluq qrupunun qurum daxilinə yuxarıda 3-cü bənddə qeyd edilən yerli şirkət üzərindən sızdığını təxmin edirik. Bu haqda ətraflı məlumatlar ekspertizası raportlarından əldə edə biləcəksiniz.
Xatırladaq ki, Bulud toxumlama (cloud seeding) Tusi Paleon alətinin aktiv istifadə edildiyi ilk əməliyyatdır.
Cloud-Atlas
Cloud-Atlas kiber cəsusluq qruplaşmasının varlığı ilk olaraq 2014-cü il Kaspersky Lab-ın paylaşdığı raportda açığa çıxmışdır. Qrupun əsas hədəflərinin dövlət sektoru və diplomatik nümayəndəliklər olduğu və sızdıqları sistemlərə aid kritik məlumatları (şifrələri, konfidensial sənədləri) oğurladıqları müəyyən edilmişdir. CloudAtlas-ın xüsusi ilə Rusiya, Belarus, Azərbaycan, Türkiyə və Sloveniyanı hədəf aldığı bildirilir.
Oxuyacağınız raportlar dövlət qurumunda Cloud-Atlas qrupuna aid rəqəmsal izlərdir. Bəzi konfidensial hesab etdiyimiz məlumatlar tərəfimizdən bilərəkdən gizlədilmiş və ya yazılmamışdır. Son olaraq əməliyyat birdaha Mərkəzləşdirilmiş antivirus sisteminin dövlət qurumları üçün nə qədər vacib olduğunu göstərmişdir.
Report: Operation Cloud Seeding
İstinadlar
[1] https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/apt-cloud-atlas-unbroken-threat/
[2] https://apt.securelist.com/apt/cloud-atlas
[3] https://www.trendmicro.com/vinfo/fr/security/news/cybercrime-and-digital-threats/cloud-atlas-group-updates-infection-chain-with-polymorphic-malware-to-evade-detection
[4] https://www.kaspersky.com/about/press-releases/2019_cloud-atlas-apt-upgrades-its-arsenal-with-polymorphic-malware
[5] https://www.allthingsdfir.com/rdp-over-tor/
[6] https://research.checkpoint.com/2022/cloud-atlas-targets-entities-in-russia-and-belarus-amid-the-ongoing-war-in-ukraine/
