В октябре 2018 года исследователи из «Касперского» наткнулись на SandCat, обнаружив уже известную вредоносную программу Chainshot на компьютере жертвы на Ближнем Востоке. В прошлом Chainshot использовались двумя другими субъектами угроз на национальном уровне на Ближнем Востоке - исследователи безопасности приписывали ОАЭ и Саудовскую Аравию - но в этом случае вредоносное ПО использовало инфраструктуру, не связанную ни с одной из этих стран, что наводит на мысль о том, что это была другая группа, которую Касперский раньше не видел. SandCat также использовал эксплойт нулевого дня для установки Chainshot.

0-day уязвимость, уязвимость нулевого дня, Лаборатория Касперского, Узбекистан, разведка 
 

SandCat  простыми словами

Оказалось, что в Службе государственной безопасности (СГБ)  Узбекистана есть «кибервоенное» подразделение. Как и все подобные подразделения в мире, оно занимается разработкой боевых троянцев и вирусов.

 

Самую высокотехнологичную и трудоёмкую часть -  уязвимости нулевого дня – СГБ покупает на открытом рынке.  Дальше на основе уязвимостей пишутся эксплойты и интегрируются в собственное ПО.



Как раз на этом этапе узбекских кибервоинов ждал забавный нюанс. На компьютерах разработчиков был установлен антивирус Касперского. То ли для тестирования необнаружимости эксплойтов, то ли просто по регламенту в СГБ так положено. Антивирус успешно обнаруживал подозрительные куски кода, и поскольку телеметрию горе-разведчики отключить не догадались, старательно отправлял их на базу, в первую очередь, выпуская в трубу деньги узбекских налогоплательщиков, потраченные на покупку уязвимостей.

0-day уязвимость, уязвимость нулевого дня, Лаборатория Касперского, Узбекистан, разведка 
 

 

Но и это ещё не всё...

Появление такого количества уязвимостей нулевого дня примерно из одного источника породило внутри Лаборатории Касперского исследование, в результате которого было выяснено: IP-адреса машин, с которых приходят образцы, имеют записи в домене itt.uz, который невозбранно зарегистрирован на некую в/ч 02616 из города Ташкента.



Таким образом деятельность этого секретного подразделения выплыла в публичную плоскость. Доклад о деятельности узбекской киберразведки исследователь Лаборатории Касперского Брайан Бартоломью представил на конференции Virus Bulletin в Лондоне.

 

 

 

Предполагается, что изыскания «кибервойск» Узбекистана были сосредоточены в первую очередь на странах Ближнего Востока, включая Саудовскую Аравию и ОАЭ. Сам факт существования подобного рода подразделений и до поры, относительно успешной их деятельности, был назван в статье «шокирующим». Ведь не случись досадной оплошности, об источниках угрозы ещё долго можно было лишь догадываться.

 

Источник

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.

Новости о науке, технике, вооружении и технологиях.

Подпишитесь и будете получать свежий дайджест лучших статей за неделю!