Հայաստանը պետական մակարդակով անցկացվող հաքերային հարձակումների թիրախում

15 Դկտ 2020

Եթե հետևենք հայաստանյան մամուլին, ապա կիբեր֊հարձակումների հարցում կարող է ձևավորվել հստակ պատկերացում․ հիմնական գործողությունները Հայաստանի բնակիչների, կազմակերպությունների դեմ իրականացվում են ադրբեջանական և թուրքական հաքերների կողմից։ Քանակական տեսանկյունից դա, կարծես թե, իսկապես այդպես է։ Միայն վերջին տարվա ընթացքում հաքերները Ադրբեջանից և Թուրքիայից կարողացան կոտրել մի քանի հազար հայկական պրոֆիլ Ֆեյսբուքում և Ինստագրամում։ Իսկ եթե վերցնենք վերջին տաս֊տասնհինգ տարիները, ապա հարձակումների գերակշռող մասը իսկապես իրականացվել է ադրբեջանական և թուրքական հաքերային խմբերի կողմից։ Մինչև 2009 թվականի հոկտեմբեր ամիսը, երբ ԱԱԾ֊ն սկսեց վերահսկել Հայաստանի կիբերտիրույթի պետական հատվածը, ադրբեջանական հաքերային խմբավորումները տարին մի քանի անգամ զանգվածային հարձակումներ էին իրականցնում Հայաստանի Հանրապետության և Արցախի պետական կայքերի վրա։ Երբ սկսվեց վերահսկողությունը, հաջողված հարձակումների թիվը կտրուկ նվազեց։

Սակայն, եթե խոսենք ոչ միայն զանգվածային հարձակումների մասին, այլ թիրախավորված, կետային կիբեր֊գործողությունների մասին ընդդեմ պետական և ոչ֊պետական կարևոր կառույցների, ինչպես նաև անհատների դեմ, ապա կարելի է գտնել մի շարք հայտնի դեպքեր։ Որոնց հետևում նշմարվում են պետության կողմից հովանավորվող (state sponsored)  հաքերային խմբեր կամ հենց պետական համակարգեր։

Հիմնական սպառնալիք են հանդիսանում Հայաստանի համար Ադրբեջանի հաքերային թիմերը։ 2020 թվականի ամառվանից, դեռ մինչև Տավուշի մարտերը սկսվեց կտրուկ ակիվացում։ Հունիսի և հուլիսի ընթացքում տասնյակ հազարավոր մարդկանց անձնական տվյալների արտահոսքեր տեղի ունեցան որպես հետևանք ադրբեջանական հաքերային թիմերի կողմից թիրախավորված հարձակումների։

Արդեն Արցախյան պատերազմի ընթացքում հաքերներին հաջողվեց կոտրել մի շարք պետական կայքեր, ինչպես նաև ներթափանցել պետական փաստաթղթերի շրջանառության համակարգ, տիրանալ մի շարք բարձրաստիճան պաշտոնյաների էլեկտրոնային փոստերին և այլն։ Բացի դրանից մի շարք լրատվամիջոցներ կոտրվեցին, իսկ գրեթե ողջ լրատվական և պետական հատվածը գտնվում էր անընդհատ և ուժգին DDoS հարձակումների տակ։ Տվյալ գործողությունները դեռ պետք է վերլուծվեն ավելի մանրամասն։ Իսկ եթե դիտարկենք հարձակումների պատմությունը, ապա այն ունի խորը արմատներ։

Ադրբեջանական հաքերային խմբերը Հայաստանի դեմ գործում են արդեն տասնամյակներ։ Առաջին լուրջ գործողությունը հայկական կիբեր-տարածքի դեմ իրականացվել է դեռ 2000 թվականի հունվարին։ Այդ ընթացքում հայկական կայքերի վրա հարձակումը իրականացրեցին երկու ադրբեջանական հաքերային թիմեր․ Green Revenge и Hijack Team 187։ Տվյալ թիմերի կապը պետական կառույցների հետ ապացուցված չէ։ Սակայն այն, որ Ադրբեջանի անվտանգության կառույցները կարողացան կիբեր-ընդհարումների ժամանակ կիրառել հաքերային խմբերի վրա լծակներ և դադարեցնել հարձակումները Հայաստանի վրա, խոսում է այն մասին, որ կապ գոյություն ուներ արդեն 2000 թվականին։ Տվյալ դեպքը խոսում է այն մասին, որ պետական մարմինները, առնվազն, տեղյակ էին հարձակում իրականացնող անձանց մասին կամ հնարավորություն են ունեցել անմիջական կապ հաստատել իրենց հետ։

Մինչև 2012 թվականը չկային բավարար հիմքեր կասկածելու պետական մարմինների և բազմաթիվ հաքերային խմբերի միջև համագործակցություն։ Սակայն, 2011 թվականի նոյեմբերին ադրբեջանական հաքերային համայնքը կոնսոլիդացվեց, հիմնական գործող խմբավորումները և անհատները միավորվեցին մեկ ասոցիացված Anti-Armenia թիմում։

Արդեն 2012 թվականին, Ռամիլ Սաֆարովի Հուբգարիայից արտահանձնելուն հետևած դիվանագիտական և քարոզչական հակամարտությանը Երևանի և Բաքվի միջև, հետևեց լայնամասշտաբ հաքերային գրոհ Հայաստանի դեմ։ Գրոհի ընթացքում ոչ միայն իրականացվեցին ավանդական հարձակումներ կայքերի վրա, այլ կիրառվեցին նաև DDoS տիպի հարձակումներ։ Այդ գրոհի, ինչպես դրան հաջորդած մի շարք Հայաստանի վրա իրականացված DDoS հարձակումները քանակական ուժգնույթունը թույլ է տալիս անել ենթադրություն, որ հարձակումները կատարվում էին պետական հովհանավորությամբ, սակայն օգտագործվում էր կիբեր-վարձկանների հզորությունը։ Ադրբեջանի այդ պահին չուներ բավարար տեխնիկական հնարավորություններ նման հզորության հարձակումներ իրականացնել Հայաստանի կապի հանգույցների վրա։ Ադրբեջանական հաքերային խմբավորումները նույնպես նման միջոցներ չունեին։ Մյուս կողմից, նմանատիպ հզորության հարձակումները կիբեր-կրիմինալի կողմից իրականացվում են բավական մեծ գումարների դիմաց։ Այսինքն, կարելի է ենթադրել, որ պետությունը հանդիսանում էր որպես պատվիրատու և հովանավոր, իսկ կատարողները՝ վարձկաններ էին։

Ենթադրաբար, հենց 2012 մեծ հայ-ադրբեջանական կիբեր-ընդհարումից հետո Բաքվում սկսեցին մտածել սեփական, զուտ պետական մակարդակով գործող կիբեր-միավորումներ ստեղծելու մասին։

2015 թվականի հուլիսին Wikileaks կազմակերպությունը հրապարակեց իտալական The Hacking Team հաքերային կազմակերպության ներքին նամակագրությունը, որը կորզվել էր այլ հաքերի կողմից։ Տվյալ կազմակերպությունը ստեղծում և վաճառում է կիբեր-լրտեսական ծրագրային ապահովում, որը թույլ է տալիս գաղտնալսել և վերահսկում իրականացնել համակարգիչների և հեռախոսների վրա։ Կազմակերպությունը վաճառում է իր արտադրանքը մի շարք երկրների իրավապահ մարմիններին։ Որպես հետևանք, տվյալ ծրագրերը օգտագործվում են ոչ միայն հանցագործությունները բացահայտելու, այլ նաև՝ ընդդիմադիրներին վերահսկելու համար։

The Hacking Team-ի հիմնական լրտեսական ծրագրի՝ Remote Control System-ի կիրառումը Ադրբեջանի իշխանությունների կողմից արձանագրվել է Citizen Lab կազմակերպության կողմից 2013 թվականի հուլիս-նոյեմբեր ամիսների ընթացքում։ Հաշվի առնելով այն հանգամանքը, որ երկրում հոկտեմբերին կայացել են նախագահական ընտրություններ, կարելի է ենթադրել, որ համակարգի կիրառումը ունեցել է ներքաղաքական խնդիրներ լուծելու միտում։

Wikileaks-ի հրապարակած նամակագրությունը ցույց է տալիս, որ հետաքրքրությունը Ադրբեջանում առաջացել է 2011 թվականին, իսկ արդեն 2012 թվականին գործարքը կայացել է։

The Hacking Team կողմից արտադրվող լրտեսական ծրագրի` Remote Control System-ի կիրառումը երկրների կառավարությունների կողմից։ Ըստ Citizen Lab կազմակերպության
The Hacking Team կողմից արտադրվող լրտեսական ծրագրի` Remote Control System-ի կիրառումը երկրների կառավարությունների կողմից։ Ըստ Citizen Lab կազմակերպության

Հետագա բացահայտումները կապված են արդեն 2015 թվականի հետ։ Amnesty International և մի շարք այլ կազմակերպությունների ուսումնասիրությունները թույլ են տվել գտնել ապացույցներ, որ 2015 թվականի նոյեմբերից ընդդիմադիր ադրբեջանցիների դեմ հատուկ ծառայությունները կիրառել են արդեն սեփական արտադրության վիրուսային ծրագրեր։ Ըստ մասնագետների, ընդդիմադիրներին ուղարկվող վիրուսային ծրագիրը թույլ է տալիս գողանալ գաղտնաբառերը, նկարել օգտվողի մոնիտորը, սակայն ծրագրային ապահովումը բավական պարզունակ է։

Կեղծ նամակ, որը ուղարկվել է մի շարք ադրբեջանցի ակտիվիստների և որը պարունակում է վարակված ֆայլ։ Ըստ Amnesty International-ի
Կեղծ նամակ, որը ուղարկվել է մի շարք ադրբեջանցի ակտիվիստների և որը պարունակում է վարակված ֆայլ։ Ըստ Amnesty International-ի

2017 թվականին արձանագրվել են DDoS հարձակումներ ընդդեմ ադրբեջանական ընդդիմադիր լրատվական կայքերի՝ Abzas.net, cumhuriyyet.net, azadliq.info [1]։ Այդ հարձակումների ժամանակ օգտագործվել են ադրբեջանական սերվերներ, որոնք կապակցված են կառավարության հետ, ինչը նշանակում է, որ Ադրբեջանի հատուկ ծառայությունները ձևավորում են սեփական համակարգ DDoS տիպի հարձակումներ իրականացնելու համար։

Իսկ այժմ դիտարկենք այլ երկրների հաքերային թիմերի կողմից հարձակումների մասին տեղեկատվությունը։ Այսպես, եթե նայենք Էդվարդ Սնոուդենի բացահայտումներին, ապա կտեսնենք, որ Հայաստանի հանդեպ հետաքրքրությունը ԱՄՆ հատուկ ծառայությունների կողմից  միջինից բարձր է։ NSA բացահայտված համակարգերից մեկը, որը կոչվում է Boundless Informant, թույլ է տալիս հետևել քարտեզի վրա, թե որ երկրներից ինչ ակտիվությամբ է ԱՄՆ այս հատուկ ծառայության կողմից բոլոր հնարավոր էլեկտրոնային շպիոնաժի միջոցներով կորզվում տեղեկատվությունը։ Սնոուդենի տրամադրած պատկերից երևում է, որ 2013թ. մարտ ամսվա ընթացքում միայն ԱՄՆ տարածքից ստացվել է մոտ 3 միլիարդ տարբեր տիպի տեղեկատվություն։ Երկրները ներկայացված են ըստ այդ ամսվա ընթացքում դրանց հանդեպ NSA համակարգի ակտիվության, կանաչ գույնը վկայում է ցածր ակտիվության մասին, կարմիրը՝ հակառակը։ Տվյալ պատկերի վրա, օրինակ, Հայաստանը դեղին գույնի է՝ մոտավորապես Չինաստանի պես և Ռուսաստանից ավելի ակտիվ, ինչը խոսում է NSA-ի կողմից միջինից բարձր ակտիվության մասին։

 

NSA-ի կողմից գրոհների ակտիվության ջերմաքարտեզ
NSA-ի կողմից գրոհների ակտիվության քարտեզ

2013 թվականին Կասպերսկի լաբորատորիայում հայտնաբերեցին սուպեր֊լրտեսական վիրուս, որն անվանվեց Red October։ Այն ներմուծվում էր պետական և ոչ֊պետական կարևոր ենթակառուցվածքներ և կատարում լայնածավալ կիբերլրտեսական գործողություններ և նույնիսկ վերականգնելով արդեն ջնջված ֆայլերը, որոնք կարող էին վիրուսի ստեղծողների համար լինել հետաքրքիր։ Պարզվեց, որ ծրագիրը գաղտնի գործել է հինգ տարի, և ոչ մի տեղ մինչ 2013 թվականը չէր հայտնաբերվել։ Հայաստանը ամենավարակված երկրների տասնյակում էր, այստեղ Կասպերսկի լաբորատորիան հայտնաբերել էր տասը վարակման դեպք։ Համեմամտության համար՝ ամենավարակվածը Ռուսաստանն էր, և այստեղ արձանագրվել էր հարձակումների 37 դեպք։

Այդպես էլ պարզ չդարձավ, թե ով էր կանգնած Red October֊ի հետևում։ Անվտանգության մասնագետները առնվազն գտել էին ծրագրի մեջ ռուսերեն հետքեր, սակայն դրանք կարող էին միտումնավոր թողնված լինել կոդի մեջ՝ ուշադրություն շեղելու համար։ Ավելին, Ռուսաստանը հիմնական թիրախն էր այս հարձակման։ Եվ ավելի հավանական է Չինաստանի հետքը։ Օգտագործված տեխնոլոգիաներում կան հատվածներ, որոնք հղում են անում մի շարք ծրագրերի վրա, որոնք օգտագործվել են Թիբեթի ակտիվիստների դեմ, և ենթադրաբար օգտագործվել են Չինաստանի հատուկ ծառայությունների կողմից։

Red October օպերացիայի քարտեզ
Red October օպերացիայի քարտեզ

FireEye կազմակերպությունը, որը զբաղվում է տեղեկատվական անվտանգությամբ, 2014 թվականի APT28: A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS? զեկույցում հայտնաբերել էր մի հաքերային խմբի լայնածավալ  միջազգային ակտիվություն, որի թիրախներից մեկը նաև հայաստանյան զինվորականներն էին։ Խոսքը գնում է APT28 կամ Fancy Bear անվանումը կրող հաքերային խմբի մասին, որը հիմա արդեն հայտնի է իր գործողություններով, որոնք, հավանաբար, ազդեցություն են ունեցել ԱՄՆ ընտրությունների ժամանակ։ Տվյալ խումբը շատ մասնագետների կողմից համարվում է ռուսաստանյան պետական կիբեր֊խումբ, որը գործում է Կրեմլի շահերից ելնելով․ «They compile malware samples with Russian language settings during working hours consistent with the time zone of Russia’s major cities, including Moscow and St. Petersburg. They compile malware samples with Russian language settings during working hours consistent with the time zone of Russia’s major cities, including Moscow and St. Petersburg»։ Ըստ FireEye-ի ուսումնասիրության, Fancy Bear հաքերները ստեղծել էին կեղծ mail.rnil.am ֆիշինգային կայք, որը նմանակում էր Հայաստանի պաշտպանության նախարարության դոմեյնը՝ mil.am, և թույլ էր տալիս ֆիշինգային նամակների միջոցով թիրախավորել հայաստանյան զինվորականներին և իրենց դեմ իրականացնել կիբեր֊լրտեսական գործողություններ․ «to target members of the Armenian military by hosting a fake login page»։ Թե ինչ վնաս են հասցրել հաքերները Հայաստանին, հայտնի չէ։

rnil.am  դոմեյնը պարբերաբար հայտնվել է տարբեր զեկուցյներում, զանազան ֆիշինգային հարձակումներում, օրինակ, օգտագործվել է Bellingcat կազմակերպության դեմ, որը իրականացնում էր հետաքննություն MH17 խոցված ինքնաթիռի վերաբերյալ, ինչի հանդեպ մեծ հետաքրքրություն ունեին ռուսաստանյան իշխանությունները։

2017 թվականի մայիսին Citizen Lab կազմակերպությունը նոր բացահայտումներ արեց Fancy Bear հաքերային խմբի նոր գործողությունների մասին։ Այս անգամ նույնպես Հայաստանը հայտնվեց զոհերի ցանկում։ TAINTED LEAKS․ Disinformation and Phishing With a Russian Nexus զեկույցից հայտնի է դառնում, որ այս անգամ թիրախ են դառել Հայաստանի կառավարության և բանակի ներկայացուցիչները։ Ըստ կազմակերպության տվյալների, Հայաստանը ֆիշինգային հարձակման հիմնական զոհ երկներից մեկն էր, մոտ 3% ֆիշինգային հարձակումները ընկնում են հենց հանրապետության վրա։ Մեր ունեցած տվյալներով, հայաստանյան զոհերի ցանկում կան բարձրաստիճան զինվորականներ, ինչպես նաև դիվանագետներ։

TAINTED LEAKS․ Disinformation and Phishing With a Russian Nexus զեկույց
TAINTED LEAKS․ Disinformation and Phishing With a Russian Nexus զեկույց

Տարվերջին հայտնվեց «Russia hackers pursued Putin foes, not just US Democrats» զեկույցը, այս անգամ այն հրապարակվեց Associated Press֊ի կողմից։ Եվ կրկին մենք տեսնում ենք արդեն հարազատ դարձած Fancy Bear խումբը։ Եվ կրկին պարզ է դառնում, որ լայնածավալ կիբեր-հարձակումների ցանկում, որը կատարվել է մեծ թվով պետությունների տարածքում, կան նաև հայաստանցիներ։ Ըստ ներկայացված ցանկի, Հայաստանից եղել է 41 թիրախ։

«Russia hackers pursued Putin foes, not just US Democrats» զեկույց
«Russia hackers pursued Putin foes, not just US Democrats» զեկույց

 

Հարձակումների հայաստանյան զոհերի ցանկը չի հրապարակվել, հայտնի է միայն, որ 2015 թվականին, էլեկտրիկ Երևանի բողոքի ակցիաների ընթացքում հարձակման է ենթարկվել EVN Report խմբագիր Մարիա Թիթիզյանը։ Մեր ունեցած տվյալների համաձայն, այց 41 հոգու մեջ կան ինչպես լրագրողներ, այնպես էլ քաղաքագետներ և վերլուծաբաններ, որոնց կարելի է բոլորին նկարագրել որպես ավելի արևմտամետ։

Սա այն մի քանի պետական կիբեր֊լրտեսության դեպքերն են, որոնց մասին մենք տեղեկացված ենք։ Հաշվի առնելով՝ թե որքան արհեստավարժ է դարձել վերջին տարիներին պետական հաքինգը, կարելի է եզրակացնել, որ Հայաստանի դեմ իրականացվող կիբեր֊գործողությունների մի մասը, միգուցե, զգալի մասը դեռ բացահայտված չէ։ Ինչպես նաև հասկանալի է, որ Հայաստանը հանդիսանում է հետաքրքրության թիրախ գրեթե բոլոր խոշոր կիբեր֊հետախուզությունների համար։

[1] NEWS MEDIA WEBSITES ATTACKED FROM GOVERNMENTAL INFRASTRUCTURE IN AZERBAIJAN https://www.qurium.org/news-media-websites-attacked-from-governmental-infrastructure-in-azerbaijan/