Хакерської підрозділ СГБ Узбекистану виявилося розкрито через власні помилки

23:03
Хакерської підрозділ СГБ Узбекистану виявилося розкрито через власні помилки

    Фахівцям компанії «Лабораторія Касперського» вдалося виявити кіберзлочинне угруповання, імовірно пов'язане зі Службою державної безпеки Узбекистану, завдяки помилкам, допущеним учасниками підрозділу, який отримав назву SandCat, при забезпеченні власної операційної безпеки. Зокрема, дослідники виявили ряд експлойтів, які використовуються угрупованням, а також шкідливе ПЗ, яке перебуває в процесі розробки, пише видання Motherboard Vice.

       Одна з сумнівних практик включала використання «назви військового підрозділу, пов'язаного з СГБ» для реєстрації домену, задіяного в атаках. Крім того, учасники SandCat встановили на комп'ютер, де розроблявся новий шкідливий, антивірус виробництва ЛК, що дозволило експертам виявити шкідливий код на стадії його створення. Ще одну помилку угруповання допустило, вмонтувавши скріншот з одного з комп'ютерів в тестовий файл, тим самим розкривши велику платформу для атак, яка перебувала в розробці. Завдяки всім цим недолікам фахівцям вдалося виявити чотири експлоїта для вразливостей нульового дня, придбаних SandCat у сторонніх брокерів, а також відстежити активність не тільки цього угруповання, а й інших хакерських груп в Саудівській Аравії і Об'єднаних Арабських Еміратах, які використовують ті ж експлоїти.
       В ході проведеного дослідження фахівці виявили, що IP-адреси машин, використовуваних для тестування шкідливого ПЗ, пов'язані з доменом itt.uz, зареєстрованим на військову частину 02616 з Ташкента. Більш того, з тих же комп'ютерів SandCat завантажувало зразки шкідника на Virus Total.
     Вперше експерти ЛК виявили сліди активності SandCat ще в 2018 році, проте в той час у них не було підстав припускати зв'язок угруповання з СГБ. У своїх операціях SandCat застосовувало шкідник під назвою Chainshot, який також використовувався угрупованнями з Саудівської Аравії і ОАЕ. Однак в атаках SandCat була задіяна інша інфраструктура, на підставі чого експерти прийшли до висновку, що мова йде про різні злочинців.
      На думку експертів, SandCat набувало експлоїти для атак у двох ізраїльських компаній — NSO Group і Candiru. Обидві фірми припинили постачати SandCat експлоїти в 2018 році, в результаті угруповання зайнялося розробкою власного шкідливого ПЗ.
  «Ці хлопці [SandCat] існують вже давно і до недавнього часу я ніколи не чув про наявність у Узбекистану кіберможливостей. Так що для мене було шоком дізнатися, що вони купують всі ці експлоїти і атакують людей, і ніхто ніколи не писав про них », — зазначив фахівець дослідницької команди ЛК Брайан Бартолом'ю (Brian Bartholomew).

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.