Fakt yoxla

Kiber-təhlükəsizlik şirkəti "Bitdefender" tərəfindən az müddət öncə dərc olunan araşdırmaya görə, "FamousSparrow" olaraq tanınan və dövlət dəstəkli olduğu ehtimal edilən İnkişaf etmiş Daimi Təhdid (APT, Advanced Persistent Threat) qrupunun Azərbaycan neft-qaz şirkətini hədəf alıb. Şirkətin bəyanatında bildirilir ki, qrup bəzi müdafiə sistemlərindən yayınmaq və uzaqdan giriş alətlərini (RAT) quraşdırmaq üçün dinamik kitabxanaların (DLL) unikal "sideloading" (kənardan yükləmə) texnikasından istifadə edib.

Bəlli olur ki, adıçəkilən “FamousSparrow” APT qrupu sadəcə maliyyə mənfəəti güdən kibercinayətkar qrup deyil. Onlar APT kateqoriyasına (Əgər qrup APT — Təkmilləşdirilmiş Davamlı Təhdid) adlandırılırsa, bu, onların sıravi xakerlərdən və ya kiber-cinayətkarlardan tamamilə fərqli, strateji və yüksək səviyyəli bir təhlükə formalaşdırdığı deməkdir) aiddirlər, yəni hədəfdə uzun müddət fərq edilmədən qalmaq, kəşfiyyat aparmaq və strateji məlumatları (məsələn, daxili yazışmalar, müqavilələr, xəritələr) oğurlamaq funksiyası daşıyırlar. Hücumçular sistemə daxil olmaq üçün 2021-ci ildə səs-küyə səbəb olan “ProxyLogon” (Microsoft Exchange server boşluqları) zəifliyindən və xüsusi hazırlanmış zərərli proqram təminatlarından ("SparrowDoor") məharətlə istifadə ediblər. Qrup hədəf sistemlərdə tam nəzarəti ələ keçirmək və əmrləri icra etmək üçün özlərinə məxsus “SparrowDoor” adlı “arxa qapı” (“Backdoor”, sistemə, proqram təminatına və ya cihazına rəsmi giriş yollarını keçərək (parol, autentifikasiya və s.) gizli şəkildə daxil olmağa imkan verən üsuldur) proqramından istifadə edib. Bu proqram antivirus sistemlərindən gizlənmək və qanuni proseslərin daxilinə sızmaq qabiliyyətinə malikdir. Bu hadisə həm regional kiber-təhdid mənzərəsini anlamaq, həm də sənaye idarəetmə sistemlərinin müdafiə mexanizmlərini gücləndirmək baxımından (proqram təminatlarının vaxtında yenilənməməsi (patching)) böyük əhəmiyyət kəsb edir.

Sözügedən araşdırma yazısında “FamousSparrow” qrupunun taktiki gedişləri, istifadə etdiyi texniki alətlər və Azərbaycanın enerji sektoru üçün yaratdığı risklər peşəkar müstəvidə analiz edilib.

"Bitdefender"in texniki həllər üzrə direktoru Martin Zugec bildirir ki, Rusiyanın kiber-təhdid qrupları regiondakı şirkətləri mütəmadi hədəf alsa da, Çinlə əlaqəli qruplar Azərbaycanın sənaye sektorunda ilk dəfədir aşkarlanır.

"Gördüyümüz hər şeyə əsasən, bu, şübhəsiz ki, məqsədyönlü hücuma bənzəyir", — deyə o qeyd edir. "Çinyönümlü APT qrupları Rusiyanın ənənəvi nüfuz dairəsinə təzyiq göstərir, halbuki əvvəllər ondan uzaq dururdular". Azərbaycan son beş ildə qaz ixracatını 56% artıraraq 16 ölkəni təmin edən və Avropa İttifaqı üçün getdikcə əhəmiyyətli enerji dəhlizinə çevrilib. Rusiya regiona adətən geosiyasi maraq çərçivəsində yanaşıb və xüsusilə 2008-ci ildə Gürcüstana hərbi müdaxiləsi dövründə təsir göstərmək vasitəsi kimi tez-tez kiber-casusluq və kiber-hücumlara əl atıb. Son araşdırmalar isə Çinin də öz kiber-əməliyyatları ilə Cənubi Qafqaza, xüsusən Azərbaycana fokuslanmağa başladığını göstərir.

"Bitdefender"in araşdırmasına görə, "FamousSparrow"un Azərbaycandakı əməliyyatları dekabrın sonlarında başlayıb və fevralın sonuna qədər davam edib.

Tədqiqatçıların hesabatda bildirdiyinə görə, DLL “side-loading” mexanizmindəki dəyişikliklər faydalı yükün (payload) icrasını xüsusi bir icra yolundan asılı vəziyyətə salır. Bu isə yükün yalnız tətbiqin gözlənilən təlimat ardıcıllığına əməl etdiyi təqdirdə işə düşməsinə imkan verir ki, bu da analizi və "sandbox" (qum qutusu) mühitində aşkarlanmanı daha da çətinləşdirir.

"Zərərli kitabxana sadəcə ilkin hazırlığı və faydalı yükü (payload) hazırlayır, lakin onu icra etmir. Legitim icra oluna bilən fayl (executable) öz işini davam etdirdikcə, tapmacanın bütün kiçik hissələri yerinə oturur və qəfildən proses zərərli xarakter alır", — deyə "Bitdefender"dən Zugec bildirir. "Əgər bütün bu hissələri ayrılıqda analiz etsəniz, heç nə görə bilməzsiniz, fərdi olaraq onların heç birində zərərli davranış yoxdur".

İlk dəfə 2021-ci ildə "ESET" kiber-təhlükəsizlik şirkəti tərəfindən aşkarlanan "FamousSparrow" Şimali Amerika, Avropa, Cənubi Amerika və Yaxın Şərqdə hotelləri, dövlət qurumlarını və maliyyə təşkilatlarını hədəf alıb. Zugecin sözlərinə görə, Azərbaycan qrupun fəaliyyətində yeni bir fokus nöqtəsi kimi görünür.

Digər tədqiqatçıların "FamousSparrow" və bədnam "Salt Typhoon" qrupunun eyni qrup olduğunu və ya kəsişən fəaliyyət spektrinə malik olduqlarını irəli sürmələrinə baxmayaraq, "ESET"-in zərərverici proqramlar üzrə tədqiqatçısı Aleksandr Kote Sir (Alexandre Côté Cyr) "FamousSparrow" barədə bu yaxınlarda dərc etdiyi analizində bu ikisi arasında birbaşa əlaqə qurmaq üçün kifayət qədər məlumat olmadığını qeyd edib. O bildirir ki, "Salt Typhoon" adını ilkin olaraq "Microsoft" verib və digər tədqiqatçıların eyni qrupu analiz edib-etmədiklərini müəyyənləşdirmələrinə kömək edəcək kompromis indikatorlarını (IOC) hələ də tam paylaşmayıb.

Kote Sirin sözlərinə görə, "FamousSparrow" digər qruplarla — məsələn, bir çoxlarının "Earth Estries" ilə əlaqələndirdiyi "Salt Typhoon" və "GhostEmperor" ilə zəif bağları olan ayrıca və fərqli bir klastr (Klastr — bir-biri ilə əlaqəli hücum fəaliyyətlərinin, alətlərin (malware), texnikaların (TTP) və qurbanların qrupudur. Kibertəhlükəsizlikdə “şübhəliləri bir yerə yığmaq” üsuludur ki, sonra onları izləmək və müdafiə etmək asan olsun) kimi görünür. "Biz hesab edirik ki, bu fərqli fəaliyyət klastrlarını bir yerə toplamaqdansa, aradakı əlaqələri rəqəmsal təchizatçı (digital quartermaster) kimi müştərək bir üçüncü tərəfin mövcudluğu ilə izah etmək daha doğrudur".

“FamousSparrow” qrupu haqda nə bilirik?

Azərbaycan dilinə hərfi tərcümədə “məşhur sərçə” mənası verən bu qrup Çinə bağlı APT kiber-qrupudur. Əsasən kiber-casusluq (cyber espionage) fəaliyyəti ilə məşğul olur — hökumət, biznes, enerji, telekom və otel sektorlarını hədəf alır.

Adı “ESET Research” tərəfindən 2021-ci ildə verilib. 2021-ci ilin sentyabrında yayımlanan ilk hesabatda (“FamousSparrow: A suspicious hotel guest”) qrupun otel sektorunu (hotel management sistemləri) intensiv hədəf alması səbəbindən “məşhur sərçə” (Famous Sparrow) metaforası istifadə olunub. “SparrowDoor” backdoor”-u da eyni şəkildə adlandırılıb. Bu ad qrupun əsas aləti ilə bağlıdır.

Fəaliyyət tarixi və aktivlik dövrü

Ən azı 2019-cu ildən aktivdir (ESET və digər mənbələrə görə).
2021-ci ildə “ProxyLogon” (CVE-2021-26855) zəifliyini istismar edən ilk qruplardan biri olub.
2022-2024-cü illər arası ictimai hesabatlar azaldığı üçün “sükut vəziyyətində” olduğu hesab edilib.
2024-cü ilin iyulunda yenidən aktivlik müşahidə edilib (ABŞ və Meksika).
2025-2026-cı illərdə yenidən aktivləşib və məlum bədnam hücumu- Azərbaycan neft-qaz sektoruna hücumu təşkil edib. businessinsights.bitdefender

Əsas hücum hədəfləri və qurbanlar

Əsas fokus: Otellər (hotel idarəetmə sistemləri, məsələn Oracle Opera), hökumət qurumları, telekommunikasiya, texnologiya şirkətləri, mühəndislik firmaları, hüquq firmaları, beynəlxalq təşkilatlar.

Coğrafiya: Qlobal — ABŞ, Meksika, Honduras, Braziliya, Kanada, Fransa, İsrail, Səudiyyə Ərəbistanı, Tayvan, Tayland, Böyük Britaniya, Cənubi Afrika, Burkina Faso və s. Azərbaycan/Cənubi Qafqaz (2025-2026). bitdefender
Son əməliyyat: Enerji sektoruna (neft-qaz) genişlənmə (Azərbaycan), ticarət assosiasiyaları (ABŞ), tədqiqat institutları (Meksika), hökumət qurumları.

Əsas hesabatlar və tədqiqatlar

1. ESET (2021): "FamousSparrow: A suspicious hotel guest" məqaləsi ilə qrupu ilk dəfə təqdim edib. Məqalədə "SparrowDoor backdoor"-un detallı təhlili, "ProxyLogon" istifadəsi, hotel və rəsmi qurumlara hücumlardan söz açılır.

2. ESET (2025): "You will always remember this as the day you finally caught FamousSparrow" — Qrupun "qayıdışı". ABŞ (maliyyə sektoru ticarət qrupu), Meksika və Hondurasdakı hədəfləri. Yeni "SparrowDoor" versiyaları (modular, paralel əmrlər dəstəyi), "ShadowPad" istifadəsi və 2022-2024 arası fəaliyyətləri aşkarlanıb.

Texniki xüsusiyyətlər

İlkin giriş: “Exchange server” zəiflikləri (web shell deployment).
Davamlılıq: "DLL sideloading" (LogMeIn Hamachi, K7 Antivirus kimi legit proqramlar), xidmətlər, “registry Run key”.
“Arxa qapı”lar: "SparrowDoor" (əsas, evolyusiya keçirib — RC4, paralel icra), "Deed RAT" (yeni loader mexanizmləri), "Terndoor".
Təkmilləşmə: Alətlər təkmilləşir (məsələn, sandbox-lardan yayınma üçün iki mərhələli tətikləmə). "ShadowPad" kimi Çin paylaşım alətləri əlavə olunur.

Digər qruplarla əlaqə:

"Earth Estries" (Trend Micro), "GhostEmperor" (Kaspersky), "Salt Typhoon" (Microsoft) ilə bir çox fəaliyyətdə çox uyğunluqlar var (alətlər, TTP, qurbanlar).

ESET onları ayrı klaster kimi izləyir (SparrowDoor ətrafında), amma “digital quartermaster” (ortaq alət təchizatçısı) ehtimalını qeyd edir.

Bəzi şirkətlər (Microsoft, Trend Micro, Bitdefender) onları eyni ekosistemdə (Salt Typhoon / Earth Estries / FamousSparrow) görür.

Mənsubiyyəti haqda şübhələr

Qrupun Çinə bağlı olması əksər mütəxəsislər tərəfindən qəbul edilir. Ehtimal olunur ki, MSS (Ministry of State Security) və ya ona yaxın strukturlara bağlılığı var.

Azərbaycan şirkətinə qarşı kiber-hücum “Saxta bayraq” əməliyyatı ola bilər?

Mütəxəssislərin rəyinə görə, bu əməliyyatda “False Flag” ehtimalı çox aşağıdır. Bu, tipik Çinə bağlı APT fəaliyyəti kimi görünür və əksər peşəkar kibertəhlükəsizlik şirkətləri (ESET, Bitdefender, Trend Micro, Cisco Talos və s.) belə qiymətləndirir.

Niyə “Saxta bayraq” ehtimalı zəifdir?

Alətlər və TTP-lər (Tactics, Techniques, Procedures) spesifikdir:

“SparrowDoor backdoor”-u (və yeni versiyaları) qrupun ən xarakterik “imzası”dır. Bu alət demək olar ki, yalnız bu klasterdə istifadə olunur və illər ərzində inkişaf etdirilir. Digər qrupların (məsələn, Rusiya və ya Qərb) belə eksklüziv Çin “toolset”-ini istifadə edib “Çin adından” hücum etməsi çox nadir haldır və texniki cəhətdən mürəkkəbdir.

“Deed RAT”, “Terndoor/CrowDoor”, “DLL sideloading”-in xüsusi iki mərhələli versiyası və “ShadowPad” kimi alətlər Çin APT ekosistemi (Earth Estries, Tropic Trooper ilə üst-üstə düşmə) ilə bağlıdır. bitdefender

“Bitdefender” bu hücumu “moderate-to-high confidence” ilə “FamousSparrow”-a aid edir. Bu, tək bir IOC-ya (Indicator of Compromise) əsaslanmır, TTP-lərin kombinasiyası, kod oxşarlıqları, qurban profili və əməliyyat axını nəzərə alınır. ESET də illərdir eyni klasteri izləyir və “China-aligned” fikrini bir daha təsdiqləyir. welivesecurity

Motivasiya və qurban seçimi uyğundur: Azərbaycanın neft-qaz sektoru (xüsusilə Cənubi Qafqaz enerji infrastrukturu) Avropa üçün strateji əhəmiyyət daşıyır. Çin kimi böyük oyunçular enerji təchizatı, geosiyasət və iqtisadi məlumatlar üçün belə hədəflərə maraq göstərir. Bu, onların qlobal enerji casusluğu nümunələrinə uyğundur (telekom, hökumət, mühəndislik sektorları ilə yanaşı).

“Saxta bayaq” üçün tutarlı dəlil yoxdur

Axtarışlarda (ESET, Bitdefender, Dark Reading, The Hacker News və s. mənbələrdə) bu qrupu “saxta Çin” məhsulu kimi istifadəyə dair heç bir ciddi müzakirə və ya sübut aşkarlanmır. Bəzi qruplar arasında (FamousSparrow — Salt Typhoon — Earth Estries — GhostEmperor) “tool” və infrastruktur paylaşımı müzakirə olunur, amma hamısı Çin dövləti ilə əlaqəli klasterlər kimi qiymətləndirilir. Bəziləri “shared quartermaster” (ortaq alət təchizatçısı) ehtimal edir, amma bu da Çindaxili əməkdaşlıq deməkdir. darkreading

Amma “səhv aid etmə” riski həmişə var, yəni digər dövlətlər (məsələn, Rusiya və ya İran) bəzən Çin “tool-set”-lərindən istifadə edə bilər, amma davamlı inkişaf (yeni SparrowDoor versiyaları) əlamətləri, təkrar hücum dalğaları və uzunmüddətli casusluq profili adətən Çin APT-lərinə daha çox uyğun gəldiyi üçün bu versiyalar silinir.

Əsl “Saxta bayaq” əməliyyatları adətən daha qısa, daha səs-küylü və ya siyasi mesaj verən olur, bu isə klassik uzunmüddətli casusluqdur.

Ən yüksək ehtimal Çinə bağlı qrupun (və ya Çin ekosistemindəki alt qrupun) hücumudur. Azərbaycanın regionda dəyəri artdıqca enerji sektoru getdikcə qeyd edilən ölkələr və qruplar tərəfindən daha çox hədəfə çevrilir. Əgər yeni detallar (IOC-lar, əlavə hesabatlar) aşkar edilərsə, bu ehtimalı yenidən nəzərdən keçirmək olar. Amma indiki məlumatlara əsaslanarıqsa “Saxta bayraq” versiyası zəifdir və yetərli əks-arqumenti yoxdur.

“Bitdefender”in Azərbaycanın enerji sektorunu hədəfə alan kiber-hücumla bağlı hesabatının detalları

Araşdırmalar

“Bitdefender”in Azərbaycanın enerji sektorunu hədəfə alan kiber-hücumla bağlı hesabatının detalları

Yeni süni intellekt təlimatı: Yanlış məlumat tələlərinə qarşı diqqətli olaq

Avropa “Instagram”, “TikTok” və “Snapchat” üçün minimum yaş həddi tətbiq etmək üzrədir

“Cəmi 30 dəqiqə sizin maliyyə həyatınızı məhv edə bilər”-başlıqlı mətnin Azərbaycana aidiyyəti yoxdur!

Ermənistanda fəaliyyət göstərən fransız şirkətləri

Almaniyada yaşayan saxtakar "bloger”in yalanı ifşa olundu

Kruiz gəmisində hantavirus: Yoluxma haqqında nə məlumdur və virus nə dərəcədə təhlükəlidir?

Evin qarşısında gül əkməyə, avtomobil saxlamağa görə cərimə tətbiq olunurmu?

Tədqiqat: Süni intellektin Vizual Aşkarlama Modelləri zamanla performansını itirir

Uşaq oyuncaqlarında asbest təhlükələri haqda faktları yoxlayırıq

Memar Elçin Əliyevin “qabaqcadan vergi” iddiası nə dərəcədə əsaslıdır? – ANALİZ

Alman mətbuatının azyaşlılara sosial media məhdudiyyətlərinə ikili yanaşması

Malidə silahlı böhran, tuareqlər nə istəyirlər, regional perspektiv nə vəd edir?

Xarici kəşfiyyata bağlı sosial media səhifəsinin növbəti dezinformasiyası ifşa olundu

“Gündə 10.000 addım”: Universal standart, yoxsa əlverişli mif?

Cənubi Qafqazın iqtisadi proqnozları: Manipulyasiya və reallıq

Axtarış

“Bitdefender”in Azərbaycanın enerji sektorunu hədəfə alan kiber-hücumla bağlı hesabatının detalları

Oxşar məqalələr:

Araşdırmalar