Узбекские разведчики использовали доступные в продаже компьютерные инструменты шпионажа для серии кибератак против активистов и диссидентов. Об этом 3 октября заявили специалисты по кибербезопасности "Лаборатории Касперского" на конференции VirusBulletin в Лондоне, пишет Reuters.
Доклад о деятельности узбекской киберразведки представил исследователь Брайан Бартоломью.
Эксперты компании связывают хакерскую группу SandCat со Службой нацбезопасности Узбекистана.
SandCat занималась разработкой боевых троянов и вирусов, при этом самый сложный компонент – уязвимость нулевого дня (неизвестная ранее уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках – НВ) – хакеры покупали на открытом рынке. На основе таких уязвимостей пишут эксплойты (программы, фрагменты программного кода или последовательности команд с целью захвата контроля над системой – НВ) и интегрируют их в собственное ПО.
На нескольких компьютерах хакеров был установлен антивирус системы Касперского, который в том числе распознает подозрительный код и отправляет его для анализа разработчику. Специалистов из "Лаборатории Касперского" заинтересовало такое количество уязвимостей из одного источника. В результате проведенного исследования они выяснили, что IP-адреса, с которых приходит вредоносный код, находятся в домене itt.uz – он зарегистрирован на военную часть 02616 в Ташкенте.
Эта военная часть упоминалась в ходе судебного процесса по делу журналиста Бобомурода Абдуллаева, обвиненного в антиконституционной деятельности. Газета.uz, ссылаясь на адвоката журналиста, пишет, что именно эта войсковая часть изымала электронные устройства подсудимого для проведения судебной экспертизы.
Экспертам также удалось отследить кибератаку с домена, указанного в публичном реестре и зарегистрированного на некого О.Т.Ходжакбарова, указавшего своим местом работы ту же воинскую часть 02616. Некто Омониллахон Тулкунович Ходжакбаров упоминается также в указе президента Узбекистана как сотрудник Службы национальной безопасности. В 2005 году он получил государственную награду, пишет Reuters.
Vice пишет, что еще одно доказательство эксперты получили, когда один из разработчиков SandCat сделал снимок экрана своего рабочего стола с подробным изображением открытого интерфейса Sharpa (платформа, разработанная узбекскими хакерами в 2018 году для взлома компьютеров и мобильных телефонов – НВ) и поместил его в тестовый файл, который он запускал на машине с установленным на нем программным обеспечением Kaspersky. Вероятно, он хотел проверить возможность загружать Sharpa на компьютеры-жертвы, но по какой-то причине использовал скриншот своего рабочего стола как часть файла Word. Так специалисты "Лаборатории Касперского" узнали о новой разработке. Кроме того, на снимке экрана были заметки разработчиков, написанные на узбекском языке, а также IP-адреса тестовых машин SandCat.
Брайан Бартоломью отказался назвать какие-либо конкретные цели атак, но отметил, что SandCat атаковала "правозащитников, журналистов и других диссидентов. Мы не видели много [атак] за пределами страны, все было сосредоточено внутри", – цитирует его Reuters.