Reuters: узбекские разведчики использовали шпионское оборудование для борьбы с активистами

Иллюстративное фото.

Узбекские разведчики использовали доступные в продаже компьютерные инструменты шпионажа для серии кибератак против активистов и диссидентов. Об этом 3 октября заявили специалисты по кибербезопасности «Лаборатории Касперского» на конференции VirusBulletin в Лондоне, пишет Reuters.

Доклад о деятельности узбекской киберразведки представил исследователь Брайан Бартоломью.

Эксперты компании связывают хакерскую группу SandCat со Службой нацбезопасности Узбекистана.

SandCat занималась разработкой боевых троянов и вирусов, при этом самый сложный компонент — уязвимость нулевого дня (неизвестная ранее уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках. — НВ) — хакеры покупали на открытом рынке. На основе таких уязвимостей пишут эксплойты (программы, фрагменты программного кода или последовательности команд с целью захвата контроля над системой. — НВ) и интегрируют их в собственное ПО.

На нескольких компьютерах хакеров был установлен антивирус системы Касперского, который в том числе распознает подозрительный код и отправляет его для анализа разработчику. Специалистов из «Лаборатории Касперского» заинтересовало такое количество уязвимостей из одного источника. В результате проведенного исследования они выяснили, что IP-адреса, с которых приходит вредоносный код, находятся в домене itt.uz — он зарегистрирован на военную часть 02616 в Ташкенте.

Эта военная часть упоминалась в ходе судебного процесса по делу журналиста Бобомурода Абдуллаева, обвиненного в антиконституционной деятельности. Газета.uz, ссылаясь на адвоката журналиста, пишет, что именно эта войсковая часть изымала электронные устройства подсудимого для проведения судебной экспертизы.

Экспертам также удалось отследить кибератаку с домена, указанного в публичном реестре и зарегистрированного на некого О. Т. Ходжакбарова, указавшего своим местом работы ту же воинскую часть 02616. Некто Омониллахон Тулкунович Ходжакбаров упоминается также в указе президента Узбекистана как сотрудник Службы национальной безопасности. В 2005 году он получил государственную награду, пишет Reuters.

Vice пишет, что еще одно доказательство эксперты получили, когда один из разработчиков SandCat сделал снимок экрана своего рабочего стола с подробным изображением открытого интерфейса Sharpa и поместил его в тестовый файл, который он запускал на машине с установленным на нем программным обеспечением Kaspersky. Вероятно, он хотел проверить возможность загружать Sharpa на компьютеры-жертвы, но по какой-то причине использовал скриншот своего рабочего стола как часть файла Word. Так специалисты «Лаборатории Касперского» узнали о новой разработке. Кроме того, на снимке экрана были заметки разработчиков, написанные на узбекском языке, а также IP-адреса тестовых машин SandCat.

Брайан Бартоломью отказался назвать какие-либо конкретные цели атак, но отметил, что SandCat атаковала «правозащитников, журналистов и других диссидентов. Мы не видели много [атак] за пределами страны, всё было сосредоточено внутри», — цитирует его Reuters.