Kanada parlamentiga kiberhujum: Microsoft zaifligi orqali maxfiy ma’lumotlar o‘g‘irlandi

2025-yil 9-avgust kuni Kanada parlamentining Quyi palatasi (House of Commons) kiberhujumga uchradi. Tahlillarga ko‘ra, tajovuzkorlar yaqinda aniqlangan Microsoft’ning xavfsizlik zaifligidan foydalangan holda parlament tizimlariga kirishga muvaffaq bo‘lgan.

Hujum tafsilotlari

CBC News qo‘lga kiritgan ichki xatga ko‘ra, parlament xodimlariga voqea haqida 11-avgust, dushanba kuni xabar berilgan. Hujum o‘tgan juma kuni amalga oshirilgan bo‘lib, parlament tizimidagi kompyuter va mobil qurilmalarni boshqarish bazasiga kirish uchun Microsoft zaifligi ekspluatatsiya qilingan.

O‘g‘irlangan ma’lumotlar tarkibi:

  • Xodimlarning ismlari va lavozimlari
  • Ish joylari va elektron pochta manzillari
  • Parlamentga tegishli kompyuter va mobil qurilmalar haqidagi batafsil texnik ma’lumotlar

Mutaxassislarning ogohlantirishicha, bu ma’lumotlar fişing (phishing) hujumlari, soxta shaxs sifatida chiqish yoki parlament a’zolariga nisbatan maqsadli kiberhujumlarni amalga oshirish uchun ishlatilishi mumkin.

Ehtimoliy zaiflik va “ToolShell” tahdidi

Rasmiylar qaysi Microsoft zaifligi ishlatilganini oshkor qilmagan bo‘lsa-da, kiberxavfsizlik mutaxassislari bu hujum CVE-2025-53770 — “ToolShell” deb nomlangan SharePoint Server’dagi kritik nuqsonga to‘g‘ri kelishini taxmin qilmoqda.

Bu zaiflik orqali hujumchi hech qanday autentifikatsiyasiz serverga kirib, masofadan kod ishga tushirishi mumkin. 2025-yil iyulidan beri bu kamchilik xitoylik davlat qo‘llab-quvvatlagan xakerlar va turli ransomware guruhlari tomonidan faol ekspluatatsiya qilinmoqda.

Rasmiy izohlar

Kanada Aloqa xavfsizligi markazi (CSE) hodisadan xabardor ekanini va parlament bilan hamkorlikda ish olib borayotganini tasdiqladi. Biroq, hozircha aniq hujumchi guruh aniqlanmagan.
CSE vakillari shunday deya izoh berdi:

“Kiberhujumni kim amalga oshirganini aniqlash murakkab va vaqt talab qiladigan jarayon. Bu ko‘plab texnik va siyosiy omillarni hisobga olishni talab qiladi.”

Parlament xodimlari va a’zolariga hushyorlikni oshirish, shubhali xabarlar va so‘rovlarni tekshirib ko‘rish tavsiya qilindi.

Bu voqea Microsoft mahsulotlaridagi xavfsizlik zaifliklari butun dunyo bo‘ylab tashkilotlarga jiddiy tahdid tug‘dirayotganini yana bir bor ko‘rsatdi. Faqat 2025-yil avgustidagi “Patch Tuesday” yangilanishida Microsoft 107 ta nuqsonni tuzatdi, shulardan 13 tasi kritik deb baholangan.

Eng xavotirli zaifliklardan biri — CVE-2025-53779 — Windows Kerberos’dagi nuqson bo‘lib, u orqali autentifikatsiyasiz hujumchi butun domen bo‘yicha administratorlik huquqiga ega bo‘lishi mumkin.

Shuningdek, “ToolShell” zaifligi AQShning Milliy yadro xavfsizlik boshqarmasi, Ta’lim departamenti va Yevropa hamda Yaqin Sharqdagi hukumat tarmoqlariga qarshi muvaffaqiyatli hujumlarda ishlatilgan.

Kanada parlamentidagi bu kiberhujum nafaqat mahalliy, balki global miqyosdagi xavfsizlik zaifliklaridan foydalanish tendensiyasini yaqqol ko‘rsatdi. Davlat idoralari va yirik tashkilotlar Microsoft tizimlaridagi kritk nuqsonlarni imkon qadar tezroq bartaraf etishi, xavfsizlik monitoringini kuchaytirishi va xodimlarga muntazam kiberxavfsizlik treninglari o‘tkazishi zarur.