Российские спецслужбы осуществили одну из самых масштабных гибридных атак на Азербайджан в конце февраля 2025 года. В результате кибератаки, направленной на азербайджанские медиа-ресурсы, были выявлены серьёзные нарушения и утраты, которые затронули ключевые информационные системы страны.
Как сообщают специалисты, хакеры смогли изменить SSH-ключи доступа, что привело к полному ограничению доступа системных администраторов к сетям и системам управления. Вместе с этим произошло вмешательство в централизованные системы управления, а несколько компьютеров были зашифрованы с помощью вредоносного ПО типа «ransomware», что вызвало полную остановку функционирования этих систем. Взломали и ресурсы, содержащие резервные копии, которые также были удалены.
Кроме кибератаки, Азербайджан подвергся целенаправленным телефонным атакам. Эти TDoS-атаки осуществлялись с множества поддельных телефонных номеров с использованием технологии спуфинга. Масштаб и интенсивность этих звонков были такими, что атаки можно расценивать как форму телефонного терроризма. Государственные служащие и общественные деятели стали основными целями атак, что дополнительно усугубило ситуацию.
Атака такого масштаба потребовала немедленного расследования. Азербайджан, активно развивающий цифровизацию и электронное государство, не может позволить себе игнорировать вопросы кибербезопасности. Взлом СМИ создаёт опасность распространения дезинформации, что может повлиять на общественное мнение и вызвать панику. Эксперты предупреждают, что в будущем такие атаки могут затронуть и другие важные базы данных, такие как полиция или системы государственных услуг.
Важно отметить, что расследование показало следы, которые позволили точно установить источник атаки. Системные журналы, программное обеспечение и поведение хакеров указали на то, что атака была подготовлена с использованием ресурсов, сопоставимых с государственными IT-структурами. Подозрения, что операцию организовали российские спецслужбы, подтвердились. Кибергруппы APT29 («Cozy Bear») и APT28, которые давно связаны с Россией, были замечены в осуществлении атаки.
Особое внимание привлекло то, что IP-адреса, через которые осуществлялась атака, были зарегистрированы в Москве, в непосредственной близости от зданий российских разведывательных органов, включая ФСБ и ГРУ. Эти факты подтверждают, что атака была запущена с территории России.
Фатима Шукюрова // EDnews