Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.
Одна из сомнительных практик включала использование «названия военного подразделения, связанного с СГБ» для регистрации домена, задействованного в атаках. Кроме того, участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания. Еще одну ошибку группировка допустила, встроив скриншот с одного из компьютеров в тестовый файл, тем самым раскрыв крупную платформу для атак, которая находилась в разработке. Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.
В ходе проведенного исследования специалисты выявили, что IP-адреса машин, используемых для тестирования вредоносного ПО, связаны с доменом itt.uz, зарегистрированным на военную часть 02616 из Ташкента. Более того, с тех же компьютеров SandCat загружала образцы вредоносов на Virus Total.
Впервые эксперты ЛК выявили следы активности SandCat еще в 2018 году, однако в то время у них не было оснований предполагать связь группировки с СГБ. В своих операциях SandCat применяла вредонос под названием Chainshot, который также использовался группировками из Саудовской Аравии и ОАЭ. Однако в атаках SandCat была задействована другая инфраструктура, на основании чего эксперты пришли к выводу, что речь идет о разных преступниках.
По мнению экспертов, SandCat приобретала эксплоиты для атак у двух израильских компаний - NSO Group и Candiru. Обе фирмы прекратили поставлять SandCat эксплоиты в 2018 году, в результате группировка занялась разработкой собственного вредоносного ПО.
«Эти парни [SandCat] существуют уже давно и до недавнего времени я никогда не слышал о наличии у Узбекистана кибервозможностей. Так что для меня было шоком узнать, что они покупают все эти эксплоиты и атакуют людей, и никто никогда не писал о них», - отметил специалист исследовательской команды ЛК Брайан Бартоломью (Brian Bartholomew).
участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания.
Комментарии
На очереди туркменские и таджикские хакеры))
посмотрев на это они верно будут более осторожны с антивирусом ))
Самые жёсткие конечно-же эстонские хакеры))
Интересная связь, однако.
ЛК сама по себе страшное оружие.
Только вот.. зачем было это все так палить ?
Ну ок, откажутся господа от антивируса.. Касперского.. т.к представители его, немного-нимало, обвинили официальную власть узбекистана в поддержке и содействии хакерским группировкам.. что удалось им это обнаружить посредством, фактически, шпионажа за их ПК.. не удивлюсь, что еще и посредством версий ПО, за которое правительственные структуры узбекистана еще и денег немало заплатили( т.е какие-нибудь жирные лицензии для кучи ПК разных госструктур ).
Ну, мб еще чего-нибудь до кучи, т.к речь об измазывании в непотребных делах именно госструктур.
п.с: но так и осталось неясным, была ли эта т.н хакерская группировка реально вредоносной и связанной именно со всякими преступными делами( типа кражи денег итд ) или же была подобием структуры ИТ-разведки, в т.ч на территории собственного государства.
вероятно ЛК засветилась каким то образом
и вскрыться ЛК заставили обстоятельства
потому как иное и в самом деле выглядит нелогичным
Саудитам и вымиратам намекают. Следуйте под сиську верблюду и не отсвечивайте, клоуны. Местечковая психология. Понты кроме халявного бабла ничем не подтвержденные. Жидкам родственнички , повадки одинаковые.
Нечего они не палили. У каспера это обычная работа просканировал нашёл вирус отправил на сервак каспера. Это его обычная работа.
А чего палить? Любой антивирус ищет на вашем компе вирусы в том числе и неизвестные с помощью эвристических методов и скидывает инфу о них (либо о чем-то сильно похожих на них) на сервер для более детального анализа, как и самую общую инфу о девайсе на который он установлен. Он же не персональную инфо выуживал, или там камерой за пользователем следил и логи клавиатуры скидывал (как практически официально делает M$), а делал то, что и должен делать любой нормальный антивирус.
Там тайная хакерская группа, сям секретное подразделение спецслужб, а в Израиле просто компания.
Ну а как ещё? Тут копы, там военные, сям мексиканские картели, а рядом "просто компании" Кольт, Браунинг, Глок... И никто не парится :-)
Интересная фигня , узбекские хакеры, вслед за американскими, юзают Касперского.
Они что-то знают про другие антивирусы?
Я думаю, они на нем свой эксплоит тестировали. Но случайно включили интернет и тут понеслось.
del
Баян про "узбекский компьютерный вирус" уже был?
https://grimnir74.livejournal.com/11204655.html
Невозможно пройти по грязи и не выпачкать ног...
Это реклама ЛК или их явка с повинной? Помогите разобраться))
Если рекламой обвешан весь сайт, почему бы ее не засунуть и в статьи для пущего гешефта )
Проблемы с чЮвством юмора?
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
вероятнее всего поставили для тестирования(поймает или нет), но не отключили машину от интернета, вот касперский и отправил дамп на проверку в облако... а вообще бывают приколы когда твой вирус вырывается на твоей же машине, было со мной такое по молодости =)