Раскрываются новые подробности кибератаки, совершенной по заданию российских спецслужб на азербайджанские медиа-ресурсы в конце февраля 2025 года. Как поясняют специалисты, хакерам удалось изменить SSH-ключи доступа. В результате был полностью ограничен доступ системных администраторов. Одновременно с этим произошло, скажем так, «вмешательство» в централизованные системы управления и ряд других систем, некоторые компьютеры были зашифрованы вредоносным программным обеспечением типа «ransomware», что привело к полной остановке функционирования системы управления. Кроме того, были взломаны и ресурсы, где хранились резервные копии систем, и эти данные тоже были удалены. Также были предприняты попытки полного уничтожения технической инфраструктуры медиа-ресурсов.
Как стало известно Minval из заслуживающих Доверия источников, речь идёт не только о кибернападении – Азербайджан подвергся одной из крупнейших гибридных атак. Прежде всего, в эти дни были зафиксированы целенаправленные TDoS-атаки. Со многих телефонных номеров — в основном поддельных, с использованием технологии спуфинга, и автоматически сгенерированных — осуществлялись постоянные звонки на телефоны государственных служащих и общественно значимых лиц. Причём масштаб и интенсивность этих атак были такими, что это уже позволяет оценить их как одну из форм телефонного терроризма.
Понятно, что столь масштабная атака уже требовала расследования. В Азербайджане успешно осуществляется программа цифровизации, «электронного государства», и наша страна просто не может позволить себе относиться к кибербезопасности без должного внимания. Взлом СМИ куда опаснее, чем может показаться на первый взгляд. Это идеальный способ запустить информацию, которая гарантированно вызовет панику, дезориентирует общество и т.д. Не говоря о том, что завтра «ломать» могут уже, скажем, базу данных полиции, ASAN или ещё что-нибудь в том же роде.
Возможно, кому-то из организаторов этого, скажем так, «вредоносного вмешательства» казалось, что отследить хакерскую атаку невозможно. Но на самом деле «цифровые следы ног» остаются всегда. И для их обнаружения есть свои методы, которые и использовал Азербайджан. В частности, были исследованы системные журналы (system logs) серверов, программное обеспечение и поведение самих хакеров. Что и позволило установить: атака была подготовлена и реализована на таком уровне, который соответствует государственным IT-ресурсам, и это была не выходка случайного киберпреступника, а тщательно подготовленная операция государственных структур. IP-адреса и домены раньше были связаны с российскими правительственными структурами, в том числе и спецслужбами. Судя по техническим приемам и поведению самих хакеров, атаковали Азербайджан группы APT29 («Cozy Bear») и APT28. Как уверены международные эксперты, эти группы связаны с российскими спецслужбами. На то, что кибератака была запущена из России, указывает слишком многое. В том числе и то, что IP-адреса, через которые осуществлялась атака, географически связаны с близким к Кремлю районом Москвы. Например, один из IP (185.1Х.Х.Х) был зарегистрирован в 13 минутах ходьбы от Красной площади, недалеко от зданий, где располагаются разведывательные службы России, ФСБ, Главное разведывательное управление, Служба внешней разведки и другие разведывательные органы.
Установлено и другое. Целью атаки было ни много ни мало разрушение медийной инфраструктуры. Организаторы кибернападения рассчитывали на распространение страха, дестабилизацию морально психологического состояния общества – именно с такой целью и атакуют СМИ. И самое интригующее, осуществлялась она скрытно в течение 2–3 лет.
А вот здесь нужны подробности. Атаке подверглись ресурсы, которые к этому моменту уже успел заблокировать Роскомнадзор, справедливо переименованный в «Роскомпозор». Проще говоря, что бы не писали эти медиаресурсы в Азербайджане, российская аудитория к ним доступа как бы не имела – ну разве что через vpn. То есть разговоры, будто бы таким образом российские хакеры пытались «сохранить спокойствие» в собственной стране и оградить от нежелательной информации российскую аудиторию, априори не имеют смысла. Но даже не это главное. До недавнего времени казалось, что в Первопрестольной устроили «кибервойну» с Азербайджаном в ответ на принципиальную позицию нашей страны по расследованию авиакатастрофы лайнера AZAL, сбитого российской ПВО на подлете к городу Грозный. Но теперь выясняется, что готовилась эта атака как минимум за два-три года до гибели рейса Баку-Грозный!
И самое примечательное — именно в хронологии. Напомним: в феврале 2022 года Азербайджан и Россия подписывают в Москве Декларацию о союзническом взаимодействии. Стороны обязались уважать суверенитет, территориальную целостность и независимость друг друга, не поддерживать сепаратистских течений, не вмешиваться во внутренние дела и не везти в враждебных кампаний в прессе.
Выясняется, что с того же времени Москва готовила атаку на азербайджанские медиаресурсы, рассчитывая таким образом «взорвать» общественно политическую ситуацию.
Опять-таки не будем спорить, правы или не правы те международные эксперты, кто считает кибератаки одной из форм войны и едва ли не приравнивают их к нападению обычным оружием. Но в том, что подобные действия не имеют ничего общего с дружбой, сотрудничеством, добрососедством и союзническим взаимодействием, сомнений нет. Так что в итоге российские хакеры в погонах взорвать ситуацию в Азербайджане не смогли, а вот Декларацию о союзническом взаимодействие подвесили на очень тоненьком волоске. Со всеми вытекающими имиджевыми последствиями для России.