2020-ci il yanvarın 15-də dünyanın dörd bir yanındakı minlərlə şəxsin elektron poçt qutusuna mesaj gəlib. Bu elektron məktub Ukraynanın şərqində vəziyyəti izləyən beynəlxalq müşahidəçilərin son hesabatı kimi təqdim olunub.
Avropa Təhlükəsizlik və Əməkdaşlıq Təşkilatının (ATƏT) hesabatlarına bənzər maddələrlə təqdim olunmuş xülasədən sonra "Ətraflı hesabat əlavədədir" qeydi və əlavəni açmaq üçün bir parol yer alıb.
Əgər ehtiyatsızlıq edib sıxılmış əlavəyə klikləmisinizsə, bununla bilmədən kompüterinizdə "DanaBot" adlı bir virusu işə salmısınız. Bu virus kompüterinizi yoluxdurulmuş cihazlardan ibarət qlobal bir şəbəkəyə – texniki dildə "botnet" adlanan sistemə qoşub. Bu bot Rusiya istehsalı idi. Tədqiqatçılar və hüquq-mühafizə orqanlarının məlumatına görə, o, təkcə kredit kartı məlumatlarının, bank hesabı nömrələrinin və kriptovalyutaların oğurlanması kimi cinayətlər üçün deyil, həm də Rusiya kəşfiyyat orqanları tərəfindən casusluq məqsədilə istifadə olunub.
Ötən ay onlarla ölkənin hüquq-mühafizə orqanları "DanaBot" şəbəkəsini sıradan çıxardıqlarını elan ediblər.
ABŞ Ədliyyə Nazirliyi isə botla bağlı 3 il əvvəl hazırlanmış cinayət iddianaməsini açıqlayıb. Bu iddianamədə, əsasən, rusiyalılardan ibarət 16 nəfər botu idarə və ya ondan istifadə etməkdə ittiham olunub. Bildirilib ki, bu bot bank hesabları, e-poçt hesabları, sosial media hesabları və kriptovalyuta ilə bağlı məlumatları oğurlamaq məqsədi daşıyıb.
Lakin daha az diqqət çəkən məqam ABŞ Federal Təhqiqat Bürosunun (FBI) agentinin andlı ifadəsində və iddianamənin özündə təsvir olunan botun başqa bir versiyası idi. "Casusluq variantı" adlandırılan botun ikinci versiyasının hərbi, diplomatik, hökumət və qeyri-hökumət təşkilatlarını hədəf almaq üçün istifadə edildiyi iddia olunur.
"Bu fəaliyyətlərin böyük ehtimalla Rusiya hökumətinin casusluq məqsədləri ilə uyğunluq təşkil etməsi üçün həyata keçirildiyi ehtimal olunur", - botun fəaliyyətini ilk dəfə yeddi il əvvəl sənədləşdirməyə başlayan "Proofpoint" Kaliforniya tədqiqat şirkəti bildirib.
Kibercinayətkarlıq və Rusiya kəşfiyyat orqanlarının əlaqəsi
Son 25 ildə rusiyalı kibercinayətkarlarla Rusiya kəşfiyyat orqanları arasında olan əlaqə geniş şəkildə sənədləşdirilib və, üstəlik, bir çox hallarda cinayət işi açılıb.
Rusiyanın üç əsas təhlükəsizlik təşkilatı - Federal Təhlükəsizlik Xidməti, Xarici Kəşfiyyat Xidməti və Baş Qərargahın Baş Kəşfiyyat İdarəsi böyük kiberimkanlara malikdir, ancaq onların hamısı fidyə proqramı (ransomware) və ya bank troyanları kimi zərərli əməllərlə məşğul olmur və ya hakerlərlə sıx əməkdaşlıq etmir.
Zərərli kompüter kodu olan "ransomware" istifadəçi tərəfindən işə salındıqda kompüteri və ya serveri bloklayır. Bloklanmanı aradan qaldırmaq üçün istifadəçi adətən bu kodu göndərənə fidyə ödəməli olur. Bu, "BitCoin" və ya "Ethereum" kimi izlənməsi çətin olan kriptovalyutalar şəklində ödənir.
10 il əvvəl keçmiş bir haker Rusiya Federal Təhlükəsizlik Xidmətinin (FSB) əsas kibertəhlükəsizlik bölməsinin müavini kimi işə götürülmüşdü.
"Center18" kimi tanınan birlik amerikalı rəsmilər tərəfindən 2016-cı il prezident seçkiləri zamanı ABŞ-nin siyasi fəallarına qarşı kiberhücumlarda ittiham olunurdu. Eyni vaxtda Baş Kəşfiyyat İdarəsi (QRU) da öz paralel kiberhücum əməliyyatını həyata keçirmişdi.
Daha sonra "Center18" utancverici bir qalmaqala səbəb oldu və nəticədə onun ovaxtkı direktoruna, haker-direktor müavininə və daha iki nəfərə qarşı dövlətə xəyanət ittihamı irəli sürüldü.
Həmin qrupun (Center18) tarixdə ən böyük oğurluq hadisələrindən biri olan milyardlarla "Yahoo" e-poçt hesabını oğurlamağa kömək üçün Aleksey Belan adlı rusiyalı hakeri də işə götürdüyü iddia olunur.
Rusiyanın başqa bir haker qrupu "Evil Corp." isə tarixdə ən problemli fidyə proqramlarından biri olan "Dridex" və ya "Bugat"a görə məsuliyyət daşıyır. Onun təsisçisi Maksim Yakubets 2019-cu ildə ABŞ Ədliyyə Nazirliyi tərəfindən həmin fidyə proqramı ilə bağlı təxminən 100 milyon dollar dəyərində bank fırıldağına görə ittiham edilib.
Yakubetsin qayınatası keçmiş FSB-nin xüsusitəyinatlı zabitidir və "öz statusu və əlaqələrindən istifadə edərək "Evil Corp."un Rusiya kəşfiyyat orqanlarının rəsmiləri ilə inkişaf edən əlaqələrinə vasitəçilik edib", - ABŞ Maliyyə Nazirliyi 2024-cü ildə bildirib.
ABŞ-nin ittiham sənədlərinə görə, "DanaBot" alətinin Sibirin Novosibirsk şəhərindən olan iki rusiyalı - Aleksandr Stepanov və Artyom Kalinkin tərəfindən hazırlandığı iddia olunur.
Tədqiqatçılar bildirib ki, aylıq təxminən 3 min-4 min dollar arasında dəyişən ödəniş müqabilində bu bot digər maraqlı hakerlərə icarəyə verilib və onlar bu botdan bank hesab məlumatları, kredit kartı məlumatları və hətta kriptovalyutaları oğurlamaq üçün istifadə ediblər.
Tədqiqatçılar bu kibertəhlükə modelinə "cinayət xidmət kimi" (Crime as a Service) və ya "zərərli proqram xidmət kimi" (Malware as a Service) adını verib. Rəsmi şəxslərin bildirdiyinə görə, "DanaBot" şəbəkəsi zərərsizləşdirilməzdən əvvəl dünyada 300 min kompüteri yoluxdurubmuş.
Mütəxəssislərin nadir hesab etdiyi "DanaBot"un ikinci bir variantı olan "Casusluq variantı"nın isə 2019-cu ilin oktyabrında və 2020-ci ilin yanvarında dövlət qurumları, hərbi qurumlar və hətta qeyri-hökumət təşkilatlarına qarşı casusluq üçün istifadə edildiyi iddia olunur.
Mesajlar Vyanada yerləşən transatlantik təşkilat - Avropa Təhlükəsizlik və Əməkdaşlıq Təşkilatının (ATƏT) adından göndərilmiş kimi göstərilib. Həmçinin, başqa bir elektron məktubda Qazaxıstanın adı çəkilməyən bir hökumət qurumu da təqlid olunub.
"DanaBot"un fəaliyyətini izləmiş başqa bir kibertədqiqat şirkəti "CrowdStrike" bildirib ki, "'DanaBot'u tipik (kibercinayətkarlıq) əməliyyatlarından fərqləndirən cəhət Rusiya hökumətinin onun fəaliyyətinə dözümlü yanaşmasıdır".
"Rusiya sərhədləri daxilində fəaliyyət göstərən bu cinayətkarları araşdırmaq və mühakimə etmək üçün kifayət qədər imkana malik olmasına baxmayaraq, səlahiyyətli orqanların qanuni tədbirlər gördüyünə dair heç bir ictimai sübut yoxdur", - şirkət qeyd edib. "Bu, kibercinayətkarların Rusiya dövlətinin məsuliyyətini inkar edərək ancaq (hökumət üçün) Qərb ölkələrinə təzyiq göstərən proksi qüvvələr kimi fəaliyyət göstərdiyini göstərən bir nümunədir".
İddianamə ilə birlikdə təqdim olunan FBI-nin ifadəsində bir agent bildirib ki, hüquq-mühafizə orqanları zərərli proqramın necə yayıldığını müşahidə etmək üçün kompüter serverlərinə həbs qoya biliblər.
Agent həmçinin deyib ki, botun yaradıcıları zərərli proqramı test etmək və ya təkmilləşdirmək məqsədilə öz kompüterlərini qəsdən yoluxdurublar. Lakin bu, onların həssas məlumatlarının təsadüfən oğurlanmasına səbəb olub və nəticədə onların müəyyən edilməsinə kömək edib.
"Kibertəhlükə törədənlərin bəzən zərərli proqramlarla təsadüfən özlərini yoluxdurması kibercinayətlərin risklərindən biridir", - andlı ifadədə deyilir.
Rusiya hakimiyyətindən yayınmaq
Açıq danışmağa icazəsi olmayan keçmiş rusiyalı hakerlərdən biri deyib ki, "DanaBot" tənzimləməsinin kriminal və ya casusluq variantı adətən rusiyalı kibercinayətkarlar tərəfindən Rusiya təhlükəsizlik orqanlarının problemlərindən yayınmaq üçün istifadə edilir.
Rusiyalı hakerlər həmçinin hökumətin nəzarətindən yayınmaq üçün Rusiya şirkətlərini və ya qurumlarını hədəfə almaqdan çəkinirlər.
"Bu gözləniləndir. Həm maddi motivasiyaya xidmət edən, həm də dövləti xoşbəxt edən variant", - keçmiş haker AzadlıqRadiosuna bildirib. "Siz uğurlu cinayətkar olduğunuzda və həbs olunmaq istəmədiyinizdə yollar axtarırsınız. Bəlkə də, bir dostunuzun dostuna müraciət edirsiniz. Və beləliklə, sizin artıq bir "krışa"nız olur". (rus dilində "krışa" sözü "dam" və ya "qoruma" anlamına gəlir).
Rusiya təhlükəsizlik orqanlarının kriminal aktorlardan istifadə etdiyinə dair kifayət qədər sübutlara baxmayaraq, təhlükəsizlik orqanlarının bu praktikadan vaz keçdiyini göstərən heç bir əlamət yoxdur.
"İşə yaradığı müddətcə bunun onlar üçün (Rusiya təhlükəsizlik orqanları) fərqi yoxdur", - rusiyalı keçmiş haker deyib.
Yazı AzadlıqRadiosunun aparıcı beynəlxalq müxbiri Mayk Ekkel tərəfindən hazırlanıb.
