Armia i Służby
Eskalacja konfliktu o Górski Karabach w cyberprzestrzeni. Azerskie elity pozbawione tajemnic?
Paszporty dyplomatyczne oraz inne poufne dane najważniejszych osób w Azerbejdżanie zostały wykradzione w wyniku ataku hakerskiego. To kolejny incydent w trwającym konflikcie o Górski Karabach - wskazują eksperci Cisco. Eskalacja działań w cyberprzestrzeni w regionie jest nieunikniona?
Specjaliści zespołu „Talos” należącego do Cisco odkryli złośliwe oprogramowanie PoetRAT na początku bieżącego roku. Na przestrzeni miesięcy eksperci monitorowali podmioty posługujące się wirusem oraz analizowali schemat jego działania. „Zaobserwowaliśmy wiele nowych kampanii wskazujących na zmianę możliwości wrogich aktorów i pokazujących ich dojrzałość, a także większe skupienie na bezpieczeństwie operacyjnym prowadzonych kampanii” – czytamy w analizie Talos.
Zdaniem specjalistów hakerzy wykorzystujący PoetRAT stosują przede wszystkim spear phishing, aby w ten sposób skłonić ofiary do pobrania złośliwego ładunku. Najczęściej w wiadomości e-mail znajduje się link, który przekierowuje użytkowników na kontrolowane przez hakerów witryny. Wchodząc na stronę poprzez odnośnik, ofiary uruchamiają proces pobierania na urządzenie wirusa. „Dokumenty Word zawierają złośliwe makra, które z kolei pobierają dodatkowe ładunki” – tłumaczą specjaliści Talos.
Kampania z udziałem PoetRAT jest szczególnie widoczna w czasie wybuchu bezpośrednich starć między Armenią i Azerbejdżanem o sporny region Górskiego Karabachu. „W miarę narastania napięć geopolitycznych (…) jest to bez wątpienia przejaw cyberszpiegostwa” – czytamy w analizie.
Zdaniem ekspertów operacja ma wpływ na bezpieczeństwo narodowe Azerbejdżanu i jest prowadzona przez wrogi podmiot, który „jest szczególnie zainteresowany” rządem tego kraju. Kampania pokazuje jak często działania w cyberprzestrzeni, w tym szpiegostwo, „zbiega się w czasie” z eskalacją przemocy w ramach współczesnego konfliktu.
Hakerzy w ramach operacji rozsyłali zainfekowane wiadomości, w których znajdował się dokument ze specjalnym listem oraz godłem Azerbejdżanu. Rzekomo miał pochodzić od Service for Mobilization and Conscription of Azerbaijan. W rzeczywistości plik zawierał złośliwe makro charakterystyczne dla PoetRAT. Wirus pozwala hakerom na kradzież danych z zainfekowanego urządzenia oraz zapewnia do niego stały dostęp.
Jak wskazują specjaliści Talos, hakerzy wykorzystali jako „wabik” dekret azerskiego prezydenta Ilhama Aliyeva, który mówi o częściowej mobilizacji wojskowej w związku z trwającym konfliktem z Armenią o Górski Karabach. Zainfekowany dokument rozsyłany w ramach kampanii powstał sześć dni po ogłoszeniu mobilizacji.
„Podobnie jak w przypadku poprzednich kampanii, cele hakerów powiązane są z Azerbejdżanem” – wskazano w analizie. Eksperci podkreślają, że w przeszłości wrogie podmioty koncentrowały się przede wszystkim na sektorze energetycznym, zwłaszcza na firmach zajmujących się turbinami wiatrowymi.
Najnowsza operacja wymierzona jest w sektor publiczny. Działania hakerów pozwoliły im na uzyskanie dostępu do poufnych informacji, takich jak paszporty dyplomatyczne należące do obywateli Azerbejdżanu. „Biorąc pod uwagę ostatnie wydarzenia geopolityczne w Azerbejdżanie, należy spodziewać się cyberataków” – jednoznacznie ocenili specjaliści Talos w swojej analizie.
W tym miejscu warto podkreślić, że podczas starć w Górskim Karabachu zginęło w ciągu ostatnich 10 dni ponad 200 osób. Jest to największa eskalacja napięcia w tym regionie od czasu, gdy Armenia i Azerbejdżan stoczyły wojnę o sporny obszar w latach 90.
Wspomniana wyżej operacja cyberszpiegowska jest kolejną, która została przeprowadzona w regionie po eskalacji napięcia. Jak informowaliśmy pod koniec września, Azerscy hakerzy zrealizowali operację obejmującą serię cyberataków, wymierzonych w 90 serwisów informacyjnych w Armenii oraz instytucje państwowe tego kraju, w tym ministerstwo spraw zagranicznych.
W ramach zaawansowanej kampanii hakerom z Azerbejdżanu udało włamać się do armeńskich stron internetowych. Posiadając do nich dostęp zamieścili hasło: „Karabach to Azerbejdżan”, nawiązując do przemówienia prezydenta Azerbejdżanu Ilhama Aliyeva. Na zhakowanych witrynach znajdowało się również zdjęcie bohatera narodowego tego państwa Mubariza Ibragimowa, wraz z cytatem: „Karabach to ziemia azerska i jeśli armeński żołnierz nie chce umrzeć, musi uciec z ziem Azerbejdżanu”.
Podczas operacji hakerom udało się również naruszyć systemy Ministerstwa Spraw Zagranicznych Armenii oraz Narodowej Służby Bezpieczeństwa. Pozwoliło im to na kradzież danych, które następnie opublikowali w sieci.
Czy operacja szpiegowska wymierzona w instytucje państwowe Azerbejdżanu jest odpowiedzią Armenii na działania azerskich hakerów? Taki scenariusz jest prawdopodobny, lecz na razie specjaliści nie chcą „wskazać” palcem winnego. Być może jest to uwarunkowane brakiem jednoznacznych dowodów lub wolą „niedolewania oliwy do ognia”, aby nie zaostrzać i tak już bardzo napiętej sytuacji w regionie. Wydaje się jednak, że to nie koniec (cyber)konfliktu o Górski Karabach.