Дожили. Лаборатория Касперского обнаружила правительственную хакерскую группировку из Узбекистана

Аватар пользователя sevik68

Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.

Одна из сомнительных практик включала использование «названия военного подразделения, связанного с СГБ» для регистрации домена, задействованного в атаках. Кроме того, участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания. Еще одну ошибку группировка допустила, встроив скриншот с одного из компьютеров в тестовый файл, тем самым раскрыв крупную платформу для атак, которая находилась в разработке. Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.

В ходе проведенного исследования специалисты выявили, что IP-адреса машин, используемых для тестирования вредоносного ПО, связаны с доменом itt.uz, зарегистрированным на военную часть 02616 из Ташкента. Более того, с тех же компьютеров SandCat загружала образцы вредоносов на Virus Total.

Впервые эксперты ЛК выявили следы активности SandCat еще в 2018 году, однако в то время у них не было оснований предполагать связь группировки с СГБ. В своих операциях SandCat применяла вредонос под названием Chainshot, который также использовался группировками из Саудовской Аравии и ОАЭ. Однако в атаках SandCat была задействована другая инфраструктура, на основании чего эксперты пришли к выводу, что речь идет о разных преступниках.

По мнению экспертов, SandCat приобретала эксплоиты для атак у двух израильских компаний - NSO Group и Candiru. Обе фирмы прекратили поставлять SandCat эксплоиты в 2018 году, в результате группировка занялась разработкой собственного вредоносного ПО.

«Эти парни [SandCat] существуют уже давно и до недавнего времени я никогда не слышал о наличии у Узбекистана кибервозможностей. Так что для меня было шоком узнать, что они покупают все эти эксплоиты и атакуют людей, и никто никогда не писал о них», - отметил специалист исследовательской команды ЛК Брайан Бартоломью (Brian Bartholomew).

Авторство: 
Копия чужих материалов
Комментарий автора: 

участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания.

Комментарии

Аватар пользователя Igoris
Igoris(7 лет 4 месяца)

На очереди туркменские и таджикские хакеры))

Аватар пользователя sevik68
sevik68(8 лет 12 месяцев)

посмотрев на это они верно будут более осторожны с антивирусом ))

Аватар пользователя Postulat
Postulat(5 лет 2 недели)

Самые жёсткие конечно-же эстонские хакеры))

Аватар пользователя bbrat2
bbrat2(4 года 6 месяцев)

Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.

Интересная связь, однако. 

Аватар пользователя eprst
eprst(9 лет 2 недели)

ЛК сама по себе страшное оружие.

Аватар пользователя mastersam11
mastersam11(4 года 3 месяца)

Только вот.. зачем было это все так палить ?
Ну ок, откажутся господа от антивируса.. Касперского.. т.к представители его, немного-нимало, обвинили официальную власть узбекистана в поддержке и содействии хакерским группировкам.. что удалось им это обнаружить посредством, фактически, шпионажа за их ПК.. не удивлюсь, что еще и посредством версий ПО, за которое правительственные структуры узбекистана еще и денег немало заплатили( т.е какие-нибудь жирные лицензии для кучи ПК разных госструктур ).
Ну, мб еще чего-нибудь до кучи, т.к речь об измазывании в непотребных делах именно госструктур.

п.с: но так и осталось неясным, была ли эта т.н хакерская группировка реально вредоносной и связанной именно со всякими преступными делами( типа кражи денег итд ) или же была подобием структуры ИТ-разведки, в т.ч на территории собственного государства.

Аватар пользователя sevik68
sevik68(8 лет 12 месяцев)

вероятно ЛК засветилась каким то образом

и вскрыться ЛК заставили обстоятельства

потому как иное и в самом деле выглядит нелогичным

Аватар пользователя Рогацци
Рогацци(8 лет 7 месяцев)

Саудитам и вымиратам намекают. Следуйте под сиську верблюду и не отсвечивайте, клоуны. Местечковая психология. Понты кроме халявного бабла ничем не подтвержденные. Жидкам родственнички , повадки одинаковые. 

Аватар пользователя Андрей777
Андрей777(4 года 7 месяцев)

Нечего они не палили. У каспера это обычная работа просканировал нашёл вирус отправил на сервак каспера. Это его обычная работа.

Аватар пользователя Релятивист
Релятивист(6 лет 4 месяца)

А чего палить? Любой антивирус ищет на вашем компе вирусы в том числе и неизвестные с помощью эвристических методов и скидывает инфу о них (либо о чем-то сильно похожих на них) на сервер для более детального анализа, как и самую общую инфу о девайсе на который он установлен. Он же не персональную инфо выуживал, или там камерой за пользователем следил и логи клавиатуры скидывал (как практически официально делает M$), а делал то, что и должен делать любой нормальный антивирус.

Аватар пользователя AlB80
AlB80(6 лет 4 дня)

Там тайная хакерская группа, сям секретное подразделение спецслужб, а в Израиле просто компания.

Аватар пользователя Fvwm
Fvwm(9 лет 3 месяца)

Ну а как ещё? Тут копы, там военные, сям мексиканские картели, а рядом "просто компании" Кольт, Браунинг, Глок... И никто не парится :-)

Аватар пользователя Dmitray
Dmitray(4 года 1 месяц)

Интересная фигня , узбекские хакеры, вслед за американскими, юзают Касперского.

Они что-то знают про другие антивирусы?

Аватар пользователя Адский Советник

Я думаю, они на нем свой эксплоит тестировали. Но случайно включили интернет и тут понеслось.

Аватар пользователя AlB80
AlB80(6 лет 4 дня)

del

Аватар пользователя Илюха
Илюха(7 лет 4 недели)

Баян про "узбекский компьютерный вирус" уже был? 

Аватар пользователя TatRu
TatRu(5 лет 4 месяца)

Аватар пользователя RomanK
RomanK(6 лет 1 месяц)
Комментарий администрации:  
*** Уличен в невменяемых методах дискутирования (приписывание людям чужих слов и т.д.) ***
Аватар пользователя Константин Буйко

Невозможно пройти по грязи и не выпачкать ног...

Аватар пользователя felixsir
felixsir(5 лет 3 месяца)

Это реклама ЛК или их явка с повинной? Помогите разобраться))

Аватар пользователя Урина Тв
Урина Тв(1 год 11 месяцев)

Если рекламой обвешан весь сайт, почему бы ее не засунуть и в статьи для пущего гешефта )

Комментарий администрации:  
*** моча отключена ***
Аватар пользователя felixsir
felixsir(5 лет 3 месяца)

Проблемы с чЮвством юмора?

Скрытый комментарий Повелитель Ботов (без обсуждения)
Аватар пользователя Повелитель Ботов

Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.

Комментарий администрации:  
*** Это легальный, годный бот ***
Аватар пользователя пополам
пополам(5 лет 1 месяц)

участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК

вероятнее всего поставили для тестирования(поймает или нет), но не отключили машину от интернета, вот касперский и отправил дамп на проверку в облако... а вообще бывают приколы когда твой вирус вырывается на твоей же машине, было со мной такое по молодости =)

Комментарий администрации:  
*** Многодетные матери и прочая социальная шваль (с) ***