Sandman и FineProxy стоят за DDOS атаками на сайт timetv.live

Еще одна попытка “крутых” хакеров с мазутостана!
Последний азербайджанский новостной сайт, на который нацелены атаки типа «отказ в обслуживании». 21 марта сайт подвергся атаке «Отказ в обслуживании» (DDOS) после публикации статьи о Мубаризе Мансимове, бизнесмене, который был заключен в тюрьму и утверждает, что арест был заказан главой SOCAR – Государственной нефтяной компании Азербайджана Ровнагом Абдуллаевым и его двоюродным братом Анаром Ализаде. Этот отчет фокусируется на криминалистике при попытке создать атаку.

Изучив журналы атак «Отказ в обслуживании», Qurium может быстро определить, что злоумышленник использует службу Fineproxy VPN для создания ботнета чтобы зафлудить веб-сайта. Fineproxy предоставляет доступ к тысячам прокси-серверов, зарегистрированных на имя нескольких ассоциированных компаний, таких как Region40, Silverstar, Blockchain Solutions и т. д.

Несмотря на то, что руководство Fineproxy утверждает, что их бизнес не поддерживает атаки типа «отказ в обслуживании», и «они немедленно блокируют их», это четвертый раз за последние двенадцать месяцев, когда Qurium смягчает атаки, исходящие из инфраструктуры Fineproxy. Атаки длятся часами, и нет никаких признаков того, что Fineproxy прекращает подобные злоупотребления.

Как и многие другие DDoS-атаки, которые мы видели в прошлом против азербайджанских СМИ, злоумышленник отслеживает успешность проведенной атаки с помощью сервиса HostTracker.

Sandman стоит за атаками

Просматривая журналы, мы увидели, что IP-адрес 134.19.217 {.} 249 зашел на сайт за несколько дней до атаки и провел сканирование на предмет «уязвимости» на сайте. Этот IP-адрес связан с известным “актером” , известным под ником Sandman, работающим в Министерстве внутренних дел Азербайджана, специализирующимся на преследовании активистов и независимых СМИ.

134.19.217.249 - - [17/Mar/2020:06:58:17 -0400] "GET / HTTP/1.1" 200 86081 "http://timetv.live/" "WPScan v2.9.4-dev (http://wpscan.org)"

18 марта IP-адрес 134.19.217.249 запросил картинку /wp-content/uploads/2020/01/C016DA7E-EBEA-4B14-8AE4-C17BF0FA36EC.jpeg с веб-сайта timetv.live, щелкнув ссылку в электронной таблице Excell, отмеченную пользовательским агентом как. : «Mozilla / 4.0 (совместимо; MS-Office; MSOffice 16)»

Картинка, которую посетил Sandman со своей таблицы, была связана со статьей, опубликованной 24 января 2020 года.

CERT.AZ запросил удаление контента

С конца февраля 2020 года редактор TimeTV подвергался преследованиям со стороны властей. Сайт получал угрозы, если контент не был удален с новостного сайта или страницы организации в Facebook.

В число угроз входила блокировка сайта в стране или лишение свободы членов семьи или активистов оппозиции. Некоторые из этих угроз исходили от анонимной учетной записи в Facebook, и два сообщения в WhatsApp.

24 февраля Министерство транспорта, связи и высоких технологий через свою национальную CERT (cert.az) отправило письмо Фикрету Гусейнли, редактору TimeTV. CERT любезно попросил удалить статью журналиста TimeTV Эльксана Гусейнова о министре связи Рамине Гулузаде. CERT запросил удаление контента на основании статьи 13-2.3.9 Закона «Об информации, информировании и защите информации».

www.timetv.live internet informasiya ehtiyatında dərc olunan “Nəqliyyat  və Rabitə Nazirliyində dava düşüb” başlıqlı məqalədə "Kütləvi  informasiya vasitələri haqqında" Azərbaycan Respublikasının Qanununun 10-cu, “İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi  haqqında” Azərbaycan Respublikasının Qanununun 13-2.3.9-cu maddəsinin tələbləri kobud şəkildə pozularaq həqiqətə uyğun olmayan, təhqir və ya böhtan xarakteri daşıyan, habelə şəxsi həyatın toxunulmazlığını pozan məlumatlar  dərc edilmişdir.
“İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında” Azərbaycan Respublikasının Qanununun 13.3-cü maddəsinə əsasən xəbərdarlıq edildikdən 8 saat ərzində müvafiq məlumatlar internet informasiya ehtiyatından götürülmədiyi təqdirdə saytın fəaliyyətinə məhdudiyyətlər tətbiq ediləcək və məsələ ilə əlaqədar məhkəməyə müraciət olunacaqdır.

В соответствии со статьей 13.3 Закона Азербайджанской Республики «Об информации, информатизации и защите информации», если соответствующая информация не будет взята с информационных ресурсов Интернета в течение 8 часов после предупреждения, на сайт будут наложены ограничения и дело будет передано в суд.

Заключение

Наше расследование позволяет сделать вывод, что «Sandman», таинственный кибер-аскяр, работающий в Министерстве внутренних дел Азербайджана, нацеленный на активистов и независимые СМИ, использовал службу Fineproxy VPN для запуска атаки типа «отказ в обслуживании» против TimeTV.

За неделю до событий Национальный CERT связался с редактором сайта, чтобы попросить удалить содержание статьи, связанной с министром связи Рамином Гулузаде. Кроме того, анонимные сообщения были отправлены в TimeTV через Facebook и WhatsApp за несколько дней до кибератак.

От себя лишь добавлю, что только в таком султанате, где правит одна семья и трон передается по наследству, будут использовать все возможные средства, что бы подавить инакомыслия в своем народе. Алиев и его прихвостни ни перед чем не остановиться чтобы прочно сидеть на своем троне! Но народ Азербайджана когда нибудь проснется и поймет, кто же главный враг в стране! Главное чтобы это было не слишком поздно.

Оригинал на английском