В октябре 2018 года исследователи из «Касперского» наткнулись на SandCat, обнаружив уже известную вредоносную программу Chainshot на компьютере жертвы на Ближнем Востоке. В прошлом Chainshot использовались двумя другими субъектами угроз на национальном уровне на Ближнем Востоке - исследователи безопасности приписывали ОАЭ и Саудовскую Аравию - но в этом случае вредоносное ПО использовало инфраструктуру, не связанную ни с одной из этих стран, что наводит на мысль о том, что это была другая группа, которую Касперский раньше не видел. SandCat также использовал эксплойт нулевого дня для установки Chainshot.
SandCat простыми словами
Оказалось, что в Службе государственной безопасности (СГБ) Узбекистана есть «кибервоенное» подразделение. Как и все подобные подразделения в мире, оно занимается разработкой боевых троянцев и вирусов.
Самую высокотехнологичную и трудоёмкую часть - уязвимости нулевого дня – СГБ покупает на открытом рынке. Дальше на основе уязвимостей пишутся эксплойты и интегрируются в собственное ПО.
Как раз на этом этапе узбекских кибервоинов ждал забавный нюанс. На компьютерах разработчиков был установлен антивирус Касперского. То ли для тестирования необнаружимости эксплойтов, то ли просто по регламенту в СГБ так положено. Антивирус успешно обнаруживал подозрительные куски кода, и поскольку телеметрию горе-разведчики отключить не догадались, старательно отправлял их на базу, в первую очередь, выпуская в трубу деньги узбекских налогоплательщиков, потраченные на покупку уязвимостей.
Но и это ещё не всё...
Появление такого количества уязвимостей нулевого дня примерно из одного источника породило внутри Лаборатории Касперского исследование, в результате которого было выяснено: IP-адреса машин, с которых приходят образцы, имеют записи в домене itt.uz, который невозбранно зарегистрирован на некую в/ч 02616 из города Ташкента.
Таким образом деятельность этого секретного подразделения выплыла в публичную плоскость. Доклад о деятельности узбекской киберразведки исследователь Лаборатории Касперского Брайан Бартоломью представил на конференции Virus Bulletin в Лондоне.
Предполагается, что изыскания «кибервойск» Узбекистана были сосредоточены в первую очередь на странах Ближнего Востока, включая Саудовскую Аравию и ОАЭ. Сам факт существования подобного рода подразделений и до поры, относительно успешной их деятельности, был назван в статье «шокирующим». Ведь не случись досадной оплошности, об источниках угрозы ещё долго можно было лишь догадываться.
