Хакерское подразделение СГБ Узбекистана оказалось раскрыто из-за собственных ошибок

отметили
16
человек
в архиве
Хакерское подразделение СГБ Узбекистана оказалось раскрыто из-за собственных ошибок

Исследователям удалось обнаружить используемые SandCat эксплоиты, а также разрабатываемое ею вредоносное ПО.

Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.

Одна из сомнительных практик включала использование «названия военного подразделения, связанного с СГБ» для регистрации домена, задействованного в атаках. Кроме того, участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания. Еще одну ошибку группировка допустила, встроив скриншот с одного из компьютеров в тестовый файл, тем самым раскрыв крупную платформу для атак, которая находилась в разработке. Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.

В ходе проведенного исследования специалисты выявили, что IP-адреса машин, используемых для тестирования вредоносного ПО, связаны с доменом itt.uz, зарегистрированным на военную часть 02616 из Ташкента. Более того, с тех же компьютеров SandCat загружала образцы вредоносов на Virus Total.

Впервые эксперты ЛК выявили следы активности SandCat еще в 2018 году, однако в то время у них не было оснований предполагать связь группировки с СГБ. В своих операциях SandCat применяла вредонос под названием Chainshot, который также использовался группировками из Саудовской Аравии и ОАЭ. Однако в атаках SandCat была задействована другая инфраструктура, на основании чего эксперты пришли к выводу, что речь идет о разных преступниках.

По мнению экспертов, SandCat приобретала эксплоиты для атак у двух израильских компаний — NSO Group и Candiru. Обе фирмы прекратили поставлять SandCat эксплоиты в 2018 году, в результате группировка занялась разработкой собственного вредоносного ПО.

«Эти парни [SandCat] существуют уже давно и до недавнего времени я никогда не слышал о наличии у Узбекистана кибервозможностей. Так что для меня было шоком узнать, что они покупают все эти эксплоиты и атакуют людей, и никто никогда не писал о них», — отметил специалист исследовательской команды ЛК Брайан Бартоломью (Brian Bartholomew).

Добавил Gig Gig 5 Октября
проблема (1)
Комментарии участников:
Имя_Фамилия
+3
Имя_Фамилия, 5 Октября , url

Пади  кодили  с  акцентом:

источник: cs7.pikabu.ru

arez
+1
arez, 5 Октября , url

там в конце не хватает, Шуба норковая — 2шт.

arez
0
arez, 5 Октября , url

Новость запоздалая, я в четверг ее читал

Это вброс, если никто не догадался... 

 
sant
0
sant, 5 Октября , url

Чем аргументируется факт вброса?

arez
+1
arez, 5 Октября , url

Узбекские государственные «боевые хакеры» пострадали от антивируса Касперского

То что там еще и скриншот присутствует, явно указывает на то, что это вброс. Я очень сомневаюсь в том, чтобы сотрудник конторы в Лондоне не спросил разрешения у своего начальства на публикацию, т.к. эти разведданные принадлежат конторе. А местное начальство не может влезать в политические игры без ведома московского штаба. С учетом происхождения компании это именно политические игры. Ну а московский штаб пообщались бы сначала с нужными людьми и скорее всего дело было замято.

Нет, имхо. все было не так. Касперского обвинили в сотрудничестве с ФСБ и прищемили пальцы. Что делать в такой ситуации, как обелить компанию? И наши чекисты придумали схему. Шафкат согласился помочь. Ничего не подозревающему сотруднику в Лондоне интересная информация пришла совершенно неслучайно и начальство подтвердило, что информация может быть опубликована. В итоге должен был быть сделан вывод «Касперский — против использования вирусов спецслужбами и вообще за все хорошее, против всего плохого». Не то чтобы сразу обелили, но гирьку на весы положили.

 С другой стороны, если вспомнить весь сыр-бор с АНБ… Тупо распиздяи...

Проблема началась с того, что некий сотрудник АНБ работал на своем ПК с установленным антивирусом «Касперского». Последний среагировал на факт наличия тестируемой сотрудником зловредной программы и загрузил ее в Kaspersky Security Network (KSN). Таким образом, секретная информация отправилась на сервера «Лаборатории Касперского».

 Но я склоняюсь к первому комменту

 
 


Войдите или станьте участником, чтобы комментировать