Конвертдаги жосус

Amnesty International эксперти ўзбекистонлик фаолларнинг аккаунтларини қандай қилиб бузиб кирилаётгани ҳақида сўзлаб берди
Pixabay.com фотосурати

Amnesty International Халқаро ҳуқуқ ҳимоя ташкилоти Ўзбекистондаги мустақил журналистлар ва ҳуқуқ ҳимоячиларга қарши амалга оширилган янги интернет ҳужумлари ҳақида сўзлаб берди. Ҳуқуқ ҳимоячиларнинг маърузасида айтилишича, 2019 йилнинг май ойидан августигача журналистлар ва фуқаролик жамияти фаолларига фишинг мактублари юборилган.

Мактубларнинг кўпчилиги Google ва Mail.Ru хизматларидан гўё “сизнинг почта қутингиз ўчирилади”, “Сизнинг электрон почтангиз тўхтатиб қўйилади”, “Сизнинг Google аккаунтингиз ўчирилди” мазмундаги огоҳлантиришларни иммитация қилган ҳолда валидация (идентификация) жараёнидан ўтишни таклиф қилишарди. Мактубларда фишинг сайтларига (оммавий сервисларга ўхшатиб ниқобланган фирибгарлар сайтлари) ҳаволалар илова қилинар эди. Почта сервислари саҳифаларининг клонлари бўлмиш қалбаки саҳифалар ёрдамида ҳуқуқ ҳимоячиларнинг реквизитларини ўғирлашар эди.

Ҳакерлар шунингдек, Windows ва Android учун Telegram мессенжери ва Flash Player проигривателни ўрнатувчиларига жойлаштирилган жосуслик дастурларидан фойдаланганлар. Мазкур дастурлар калит сўзларни (паролларни) ўғирлашган, кавиатурадаги клавишларнинг босилишларини қайд этиб, ишчи столини мунтазам равишда скриншот қилиб келишган. Бундан ташқари, улар телефон сўзлашувларини, СМС, “ВКонтакте”, Telegram ёки WhatsApp чатларидаги хабарларини ёзиб олиб, керакли жойга узатишган ҳамда геолокация ёрдамида фойдаланувчининг қаердалигини аниқлаб келишган.

Ҳуқуқ ҳимоячилар интернет ҳужумларни қандай кузатиб борганлари ҳақида “Фарғона” Amnesty International ҳуқуқни ҳимоя қилиш ташкилотининг рақамли хавфсизлик бўйича эксперти Этьен Менье билан суҳбатлашди.

— Ушбу текширувда сизнинг ишингиз қандай ташкиллаштирилди?

— Ўтган йили Канаданинг eQualitie нодавлат-нотижорат ташкилоти бир неча ўзбекистонлик фаоллар ҳамда Ўзбекистондаги воқеа ва янгиликларни ёритишга ихтисослашган оммавий ахборот воситаларига, шу жумладан, “Фарғона” ахборот агентлигига қарата амалга оширилган фишинг ҳужумлари тўғрисидаги ҳисоботини чоп этди. Биз мазкур ҳисоботни ўрганиб чиқдик ва шундан кейин кибер ҳужумлар тўлқинини аниқлаб, унинг ортидан бир неча ой давомида кузатув олиб бордик. Ўз текширувимиз давомида биз ғаразгўйлар яратган янги фишинг доменларини аниқлаш учун техник услубларни қўллаб келдик, бу доменлар асосан Google ёки Mail.ru сервисларини иммитация қилиб келган. Ушбу кампаниянинг нишонига айланган одамларнинг рўйхатини топганимизда, биз керакли маълумотларни етказиш ва уларнинг аккаунтлари бузиб кирилмаганига ишонч ҳосил қилиш мақсадида билан улар билан боғландик.

— Демак, аккаунтларни бузиб кириш бўйича уринишлар ҳақида улар сизга маълум қилишмаган, балки сиз ўзларингиз кимлар киберҳужумларга мубтало бўлганини аниқлагансизлар, шундайми?

— Ҳа, биз канадаликлар тайёрлаган ҳисоботга таянган ҳолда ўз текширувимизни бошладик ҳамда улар қандай ҳужумларни қўллаганларини тушуниб олиш учун уларга қарашли серверлар ва доменлар эволюциясини кузатиб бордик. Қидирувларимиз давомида биз фишинг мактубларининг намуналари сақланаётган битта серверни топиб олдик. У ерда шунингдек, аккаунтлари бузилиши режалаштирилаётган одамларнинг почта манзиллари кўрсатилган рўйхат очиқдан-очиқ жойлаштирилгани маълум бўлди.

— Бу хакерлар нега рўйхатни яшириб қўйишмади? Бу палапартишлик оқибатими ёки улар ўз фаолиятларини биров текшириши мумкинлигини хаёлларига келтирмаганлариданми?

— Афтидан палапартишлик оқибатига ўхшаяпти. Биз киберҳужумлардаги бу каби хатоларга мунтазам равишда дуч келиб юрамиз. Бундан ташқари, биз бир неча ой давомида уларнинг ортидан кузатиб бордик, гарчи хакерлар иш бошида эҳтиёткорлик қилсалар ҳам, одатда қайсидир фурсатда барибир хатога йўл қўядилар.

— Текширув билан қанча вақт машғул бўлдингиз?

— Биз бу киберҳужумларни 2019 йилнинг май ойидан августга қадар кузатиб бордик, шундан кейин улар гўё тўхтаб қолгандек бўлдилар.

— Киберҳужумлар нега тўхтаб қолди? Балки улар сизнинг назоратингиз остига тушиб қолганларини сезиб қолгандирлар? Шунақа бўлиши мумкинми?

Эҳтимол танафус қилишган бўлиши мумкин, эҳтимол жойлаштирилган инфратузилмадан воз кечиб, биз ҳали аниқлай олмаган янги серверларни ишга туширишган бўлишлари мумкин. Ҳар қандай ҳолатда ҳам мазкур кибер-кузатув тўлқини ўзбекистонлик ҳуқуқ ҳимоячиларга қаратилган олдинги рақамли ҳужумлар схемасига жуда ҳам ўхшаб келмоқда. 2017 йилда “Биз сени ҳамма жойда топамиз” дея номланган ҳисоботимизни чоп этганмиз, унда ўзбекистонлик журналистлар ва ҳуқуқ ҳимоячиларга қаратилган шунга ўхшаш ҳужумларнинг таърифи келтирилган. Бунақанги рақамли ҳужумлар Ўзбекистон ҳуқуқ ҳимоячилари учун ҳозир ҳам таҳдид бўлиб қолишдан тўхтамаган.

Этьен Менье

— Ушбу ҳужумлар амалга оширилган жойни аниқлашнинг имконияти борми?

— Бу ерда биз мазкур ҳужумлар ортида ким турганини ёки улар қаердан туриб амалга оширилаётгани борасидаги маълумотларни аниқлай олмадик. Бу ерда ҳуқуқ ҳимоячиларнинг нишонга айланиб қолгани ҳамда бу Марказий Осиё ва хусусан, Ўзбекистонга оид янгиликларни ёритувчи оммавий ахборот воситаларига қарши уюштирилган веб-ҳужумлар билан боғлиқлиги, журналистлар ва фуқаролик жамиятининг фаолларига қарши уюштирилган ва сиёсий жиҳатдан асосланган жосуслик кампанияси эканлигини яққол кўрсатиб қўймоқда.

— Ушбу кампанияда фойдаланилган воситалар моддий жиҳатдан қанчалик қимматбаҳо деса бўлади? Бунақанги операцияларга пул ва ресурслар кўп керак бўладими?

— Бу каби кампанияларни ўтказиш учун серверлар ва доменлар сотиб олишга муайян маблағлар зарур, мисол учун, ғаразгўйлар 70 дан зиёд доменларни сотиб олишган. Шунингдек, биз аниқлаган жосуслик дастурларини ишлаб чиқариш учун махсус кўникмалар зарур. Ушбу жосуслик вируслари очиқ бошланғич кодли иккита зарар келтирувчи дастурларга асосланган, уларни интернетда бепул топиш мумкин, бироқ уларни юқори малакадаги техник кўникмаларга эга бўлган мутахассис терган.

Умуман олганда, бу биз бошқа ҳолатларда кўриб юрганларимизга нисбатан таққослайдиган бўлсак, унчалик қиммат ва техник жиҳатдан мураккаб бўлмаган кампания, бироқ бу ҳолат ушбу аккаунтларни бузиш ва маълумотларни ўғирлаш учун вақт ва маблағ сарфлайдиган гуруҳ борлигини кўрсатмоқда. Айтгандек, фишинг каби ҳужумлар, агар улар бунақанги хавф ва таҳликаларнинг мавжудлигини билмайдиган одамларга йўналтирилса, жуда самарали бўлиши мумкин.

— Ҳисоботда айтилишича, ҳужумлар давомида икки факторли верификацияни айланиб ўтиш имкониятини берувчи (фишинг сайти ушбу техникани қўллаб, фойдаланувчидан олинган маълумотларни ўзини ўхшатган, мисол учун Google сервисига йўналтиради. Ҳақиқий сайтдан аккаунтга кириш учун керакли маълумотларни олиб бўлганидан кейин ғаразгўйлар уни бузишга киришадилар) “сеансни тутиб олувчи” (session hijacking) илғор техника қўлланган. Нега энди Google каби катта компаниялар зарар келтирувчи серверларни аниқлай олмай, уларга маълумотларни узатадилар?

— Google бунақанги ҳужумларга қарши қандай чораларни қўллаётганини тушуниш осон эмас. Улар баъзи ҳолатларда қандайдир чоралар кўраётганини биламиз, лекин бу ҳақда камдан-кам ҳолатларда маълум қиладилар. Мисол учун, улар мунтазам равишда давлат ҳомийлиги остидаги хакерлар ҳужумлари натижасида аккаунтлари бузилган фойдаланувчиларни хабардор қилиб турадилар. Google ва шунга ўхшаган катта сервислар бунақанги серверларни самарали равишда аниқлашлари ҳамда уларнинг иш фаолиятига тўсиқлар қўя олишлари мумкинми ёки йўқлигини билмайман, бироқ биз Google ва бошқа технологик компаниялар таҳликалар остига тушиб қолган фойдаланувчиларни муҳофаза қилиш учун ҳозиргидан кўпроқ ишларни амалга ошириш салоҳиятига эга деб ҳисоблаймиз.

— Windows ва Android учун жосуслик дастурлари фуқаролик жамияти фаолларининг мосламаларида қандай қилиб пайдо бўлиб қолганини тушунтириб бера оласизми?

— Биз уларни фойдаланувчиларга қандай йўллар билан жўнатилганини билмаймиз. Windows учун жосуслик дастур таъминотлари (ПО – програмное обеспечение) Telegram Desktop дастурининг ўзгартирилган ўрнатувчисига ҳамда Adobe Flash Player дастурининг ўзгартирилган ўрнатувчисига шундай қўшиб қўйилганки, улар қонуний ўрнатувчиларга ўхшаган бўлишлари мумкин. Аммо биз бу иш қандай йўллар ёрдамида бажарилганини билмаймиз.

— Ҳисоботда сиз фишинг ҳужумларидан хавфсизликнинг аппаратли калитларидан фойдаланишни тавсия қиляпсиз (булар физик мосламалар бўлиб, фойдаланувчи киришни режалаштираётган сайтларда олдиндан рўйхатдан ўтказилади. Улар агар сайт фишингга оид бўлса, аутентификация жараёнининг ишлаб кетишига йўл қўйишмайди). Уларни ҳам айланиб ўтиш эҳтимоли ёки бузиб қўйиш таҳликаси борми?

— Ушбу хавфсизлик калитлари – фишингдан, шу жумладан, сеансни ушлаб олиш мақсадида амалга оширилаётган ҳужумлардан ҳимояланишнинг бизга маълум воситаларининг энг яхшиларидир. Шунинг учун ҳам биз ҳуқуқ ҳимоячиларни улардан тез-тез фойдаланиб туришни тавсия қилиб турамиз. Улар бошқа турдаги ҳужумлардан (мисол учун, жосуслик дастурларини сингдирилиши) ҳимоя қилмайдилар, лекин фишинг кенг фойдаланилиши боис, калитлар улардан ишончли равишда ҳимоя қила оладилар. Ушбу ҳимоя калитларини айланиб ўтишнинг бир неча, мисол учун, OAuth-фишинг дея аталувчи услуби бор, шунинг учун ҳам фишинг нима эканлигини англаб тушуниб олиш ҳамда шубҳали электрон мактубларни очмаслик жуда муҳим.

Егор Петров

ШУНИНГДЕК ЎҚИНГ