
«Hazy Hawk»: E’tibordan chetda qolgan cloud manzillar orqali keng ko‘lamli kiberhujumlar
So‘nggi vaqtlarda “Hazy Hawk” nomli professional kiberhujumchilar jamoasi (APT) jahon miqyosidagi ko‘plab yirik tashkilotlarning tashlab qo‘yilgan cloud resurslari orqali foydalanuvchilarga firibgarlik havolalari va zararli dasturlarni tarqatayotganini xavfsizlik mutaxassislari aniqladi.
Ushbu guruh 2023-yil dekabrdan buyon faol bo‘lib, DNS tizimidagi noto‘g‘ri sozlangan yozuvlar orqali hukumat idoralari, yirik kompaniyalar va nufuzli universitetlarga tegishli subdomenlarni o‘z nazoratiga olmoqda. Dastlabki faoliyati 2025-yil fevral oyida Infoblox tadqiqotchilari tomonidan aniqlangan bo‘lib, ular AQSh kasalliklarni nazorat qilish va oldini olish markazi (CDC) subdomenlarining o‘g‘irlangani haqida xabar bergan edi.
Ko‘plab tashkilotlar Amazon S3, Azure kabi cloud xizmatlaridan foydalanadi. Biroq, ular bu xizmatlardan voz kechganidan so‘ng ko‘pincha shu xizmatlarga bog‘liq subdomenlarni DNS tizimidan o‘chirishni unutib qo‘yishadi. “Hazy Hawk” esa aynan shu unutilgan va nazoratsiz qolgan DNS yozuvlarini aniqlab, ularni egallab oladi.
Bu jarayon CNAME hijacking deb ataladi — ya’ni DNS yozuvlarida hanuz faol bo‘lib qolgan, lekin real cloud resursi allaqachon o‘chirilgan manzillarga yangi xizmat ochish orqali subdomenni egallab olish texnikasi. Bu jarayonda hech qanday tizim buzilmaydi — xakerlar aynan bo‘sh turgan joyni egallaydi, xolos.
Guruh tomonidan egallangan subdomenlar orasida CDC, alabama[.]gov, Berkeley[.]edu, nyu[.]edu, Deloitte, PwC, EY va hatto UNICEF kabi tashkilotlarga tegishli manzillar ham mavjud. Ushbu subdomenlar orqali yuzlab zararli havolalar yaratiladi va ular qidiruv tizimlarida ishonchli ko‘rinadi, chunki ularning asosiy domenlari hanuzgacha obro‘li hisoblanadi.
Foydalanuvchi bunday havolani bosgan zahoti murakkab trafik taqsimlash tizimi (Traffic Distribution System — TDS) orqali u haqida ma’lumot to‘planadi — qurilma turi, joylashuv, operatsion tizimi va boshqa ko‘rsatkichlar asosida unga mos firibgarlik sahifasi ochiladi.
Bunday sahifalarga ishonchli ko‘rinish berish uchun “Hazy Hawk” ko‘pincha PBS kabi mashhur saytlardan kontent o‘g‘irlaydi. Shuningdek, havola manzillarini chalkashtirish, masalan, AWS S3 havolalarini maxsus ko‘rinishda o‘zgartirish orqali xavfsizlik tizimlarini aldash usullaridan ham foydalanadi.
Ushbu firibgarlik sahifalariga kirgan foydalanuvchilardan push bildirishnomalarni yoqish so‘raladi. Afsuski, ko‘pchilik ushbu so‘rovga rozilik bildiradi. Shundan so‘ng foydalanuvchi qurilmasiga hatto sayt yopilganidan keyin ham xabarnomalar yuborilib turadi.
Bu bildirishnomalarda foydalanuvchi qurilmasi tahdid ostida ekani, “tezda antivirus o‘rnating” kabi yolg‘on da’volar orqali u qo‘rqitiladi. Natijada odamlar texnik yordamga qo‘ng‘iroq qiladi yoki soxta dasturlarni yuklab oladi. Ayniqsa, katta yoshli odamlar bunday firibgarliklarga tez-tez uchrab qolmoqda.
FBI’ning 2023-yilgi hisobotiga ko‘ra, texnik yordamga oid firibgarlik holatlari bo‘yicha 60 yoshdan oshgan odamlar orasida 18 mingdan ortiq shikoyatlar kelib tushgan bo‘lib, umumiy zarar 600 million AQSh dollariga yetgan.
Tashkilotlarga tavsiyalar:
- Har qanday cloud xizmatdan voz kechilgach, unga bog‘liq barcha DNS yozuvlarini o‘chirib tashlash.
- DNS monitoring va audit jarayonlarini muntazam olib borish.
- Cloud xavfsizlik siyosatini qayta ko‘rib chiqish.
Oddiy foydalanuvchilarga tavsiyalar:
- Noma’lum saytlar so‘ragan push bildirishnomalarni doimo rad eting.
- Himoyalangan DNS xizmatlaridan foydalaning (masalan, NextDNS, Cloudflare DNS).
- Firibgarlikni aniqlovchi brauzer kengaytmalarini o‘rnating.
“Hazy Hawk” kabi guruhlar tashkilotlarning cloud xizmatlaridan noto‘g‘ri foydalanishi va unutib qo‘yilgan DNS yozuvlaridan ustalik bilan foydalanmoqda. Bunday hujumlar hech qanday tizimni buzmasdan, mavjud bo‘shliqlardan foydalanish orqali amalga oshirilayotgani esa ularni yanada xavfli qiladi.
Bugungi kunda kiberxavfsizlik nafaqat himoya devorlarini o‘rnatish, balki foydalanilmayotgan manzillarni vaqtida o‘chirib tashlash, befarqlikdan xalos bo‘lish va doimiy monitoringni yo‘lga qo‘yishni talab qilmoqda.