🚢 Приветствуем Вас на нашем трекере..🚢...Наш Девиз...Лучшее уже тут...☏...Присоединяйтесь...☏

«Лаборатория Касперского», судя по всему, раскрыла военный киберцентр Узбекистана, пишет Vice.


 

[Цитировать]
Отправлено: 04-Окт-2019 13:51

Исследователи утверждают, что раскрыли операции по взлому в Узбекистане из-за особенно плохой OPSEC.Новый агент по угрозам, которого Касперский называет SandCat, который, как полагают, является агентством разведки Узбекистана, настолько плох в оперативной безопасности, что исследователи обнаружили множество эксплойтов нулевого дня, используемых группой, и даже поймали вредоносное ПО, которое группа все еще разрабатывала.
Национальные шпионские агентства настолько же хороши, насколько их операционная безопасность - забота, которую они предпринимают, чтобы предотвратить обнаружение своих цифровых шпионских операций. Но иногда на сцене появляется актер правительственной угрозы, который все неправильно понимает.
Это тот случай, когда «Лаборатория Касперского» недавно обнаружила файл угрозы, который называет SandCat, который, как полагают, является репрессивным и опасающимся разведывательным агентством Узбекистана, Службой государственной безопасности (SSS).
Слабая эксплуатационная безопасность группы включает использование имени военной группы, связанной с SSS, для регистрации домена, используемого в ее инфраструктуре атаки; установка антивирусного программного обеспечения Kaspersky на компьютерах, которые он использует для написания новых вредоносных программ, что позволяет Kaspersky обнаруживать и захватывать вредоносный код, все еще находящийся в разработке, до его развертывания; и встраивание скриншота одной из машин его разработчика в тестовый файл, раскрывающий основную платформу атаки, как она была в разработке. Ошибки группы привели к тому, что Касперский обнаружил четыре эксплойта нулевого дня, которые SandCat приобрел у сторонних брокеров для нацеливания на компьютеры-жертвы, что фактически делает эти эксплойты неэффективными.
«Эти ребята [спецслужба Узбекистана] были вокруг довольно долгое время, и до сих пор я никогда не слышал о том, чтобы Узбекистан имел кибер-возможности», - сказал Брайан Варфоломей, исследователь из группы глобального исследования и анализа Kaspersky, который представит его результаты о SandCat сегодня в Лондоне на конференции VirusBulletin: «Так что для меня было шокирующим узнать, что они ... покупали все [эти эксплойты] и предназначались для всех этих людей, и все же никто никогда не писал о них «.
Служба безопасности, ранее известная как Служба национальной безопасности, не является новичком в шпионской игре: она возникла в 1991 году после распада Советского Союза и сменила КГБ как национальное разведывательное управление и тайную полицию Узбекистана, приняв часть наблюдения КГБ. технологии, а также его гнетущая тактика. SSS, известная своими пытками и нарушениями прав человека , была обновлена ​​в начале 2018 года новым президентом страны, который стремился реформировать свои репрессивные методы. Но в начале этого года новый руководитель шпионского агентства был уволен после года работы, как сообщается, на фоне сообщений о том, что агентство обратило свои шпионские возможности против нового президента и его семьи .
Интерес агентства к оскорбительным операциям по взлому был впервые выявлен в 2015 году, когда хакер по имени Финеас Фишер взломал Hacking Team, итальянскую фирму, которая продает инструменты взлома правительствам и правоохранительным органам, и опубликовал тысячи электронных писем, разоблачающих переписку компании с клиентами, включая ССС . Согласно электронным письмам, которые охватывают 2011-2015 годы, SSS потратил почти миллион долларов на инструменты Hacking Team. Но его хакерские операции до недавнего времени оставались в значительной степени незамеченными.
В октябре 2018 года исследователи из «Касперского» наткнулись на SandCat, обнаружив уже известную вредоносную программу Chainshot на компьютере жертвы на Ближнем Востоке. В прошлом Chainshot использовались двумя другими субъектами угроз на национальном уровне на Ближнем Востоке - исследователи безопасности приписывали ОАЭ и Саудовскую Аравию - но в этом случае вредоносное ПО использовало инфраструктуру, не связанную ни с одной из этих стран, что наводит на мысль о том, что это была другая группа, которую Касперский раньше не видел. SandCat также использовал эксплойт нулевого дня для установки Chainshot.
Поскольку Kaspersky проанализировал машины, зараженные эксплойтом и Chainshot, и начал копаться в инфраструктуре группы, связанной с инфекциями, в конечном итоге он обнаружил, что еще три нулевых дня, использовавшихся той же группой, каждый из которых был практически сожжен как уязвимости они напали получили залатаны
«Я бы назвал [SandCat] своим диспенсером Pez нулевого дня, - сказал Варфоломей Материнской плате, - потому что казалось, что каждый раз, когда мы [находили] другой нулевой день и исправляли его, они придумывали другой. [T] эй, вы прожигаете их как ничто, что говорит мне об одном: у них куча денег ».
Открытия, похоже, не повлияли на SandCat. Но так как каждый нулевой день был сожжен для SandCat, он также был сожжен для Саудовской Аравии и ОАЭ.
Когда шпионские агентства приобретают эксплойты нулевого дня у брокеров, у них часто есть два варианта: платить премиальную ставку за исключительное право на использование эксплойта или платить меньше за эксплойты, которыми также пользуются другие клиенты брокера. Однако последний вариант сопряжен с риском - если какой-либо клиент, использующий общий эксплойт, небрежен или безрассуден, это может привести к тому, что эксплойт будет обнаружен, фактически сжигая его для всех, кто заплатил за него.
«Все, что нужно, - это один неаккуратный клиент», - сказал Варфоломей. «Один клиент, который плохо работает в OPSEC, разрушает его для всех остальных».
Kaspersky считает, что SandCat приобрела свои эксплойты у двух израильских компаний, известных как NSO Group и Candiru, но не предоставила Материнской плате никаких доказательств в поддержку этого. NSO Group известна разработкой и продажей некоторых из самых мощных эксплойтов для взлома мобильных телефонов, включая вредоносные программы, которые использовались для слежки за журналистами и диссидентами . Candiru - это скорее агентство полного цикла, которое предоставляет, в дополнение к инструментам для атаки на компьютеры, платформу для управления операциями атаки.Представитель NSO Group не сказал, продавала ли компания когда-либо эксплойты для SSS, но сказал Motherboard, что компания «не разрабатывает и не лицензирует какие-либо продукты для перехвата, связанного с ПК, такие как« Chainshot »». Материнская плата не смогла связаться с компанией. Candiru. Известно, что другая израильская компания поставляла оборудование для наблюдения в Узбекистан, что указывает на прочные связи между ним и израильской индустрией наблюдения.
Изначально Касперский не знал, кто такой SandCat, но не потребовалось много усилий, чтобы связать его с SSS Узбекистана.
Касперский обнаружил, что разработчики SandCat установили антивирус Касперского на своих компьютерах для разработки - предположительно, чтобы проверить, может ли вредоносное ПО, которое они разрабатывали собственными силами, обойти инструмент обнаружения. Но они используют его с включенной в антивирусную программу функцией телеметрических отчетов, которая заставляет антивирусную программу извлекать копии любых файлов на компьютерах, которые, по ее мнению, являются вредоносными, и отправляет их в Kaspersky для анализа.
«[Это] то, как мы поймали много этого материала… каждый раз, когда они проверяли это, наше [программное обеспечение] отрывало двоичные файлы назад», - сказал Варфоломей.
Кроме того, каждый раз, когда поставщики SSS отправляли SandCat новые эксплойты для использования, они появлялись на флэш-накопителе. Когда разработчики SandCat вставляли диск в свои машины, программное обеспечение Kaspersky автоматически сканировало его на наличие вредоносных программ и захватывало файлы, которые оно считало вредоносными.
«Я думаю, что мы получили один из этих подвигов еще до того, как они смогли его использовать», - сказал Варфоломей.
Определив системы, которые SandCat использовал для разработки и тестирования, они обнаружили, что на этих машинах используются IP-адреса, которые были преобразованы в домен «itt.uz». Когда Варфоломей просматривал регистрационную информацию для itt.uz, он показал регистрацию в 2008 году организации в Ташкенте, Узбекистан под названием «Воинская часть 02616». Военная часть 02616 упоминается в судебном процессе по Узбекистану для проведения судебной экспертизы на электронных устройствах, изъятых из Подсудимый следственным отделом СНО.
«Может ли это быть так просто?» - спросил Варфоломей. «Я действительно долго боролся с этим, думая, что это не так просто. Но каждый кусок данных, который у нас есть, ссылается на одно и то же ».
Домен электронной почты SSS разрешен до IP-адреса 84.54.69.202, а системы, которые SandCat использует для разработки и тестирования своей вредоносной программы, используют практически идентичный адрес 84.54.69.203. SandCat использует эти же машины для загрузки тестовых файлов в Virus Total. Virus Total - это веб-сайт, который объединяет многочисленные антивирусные программы, чтобы каждый мог загрузить на сайт подозрительные файлы, чтобы проверить, не является ли он вредоносным. Злоумышленники также иногда загружают свои новые вредоносные программы на сайт, чтобы проверить, может ли он успешно обойти антивирусное обнаружение, но Virus Total записывает IP-адрес, с которого выгружается каждый файл, а это означает, что вредоносные файлы SandCat, загруженные на сайт для такого тестирования, могут быть отслежены. вернуться к машинам SandCat.
«Как разработчик, вы не загружаете в Virus Total, но если вы это делаете, не делайте это с тех же IP-адресов, с которых вы проводите свои операции», - сказал Варфоломей.
В октябре 2018 года, в то время, когда нулевые дни SandCat начали обнаруживаться и сгорать, группа начала разработку своей собственной платформы атак под названием Sharpa. Варфоломей думает, что тот, кто поставлял SSS с нулевыми днями и платформой, до тех пор не был сыт по горло очень многими инструментами, которые быстро сгорали, заставляя SandCat разрабатывать свои собственные.
Возможно также, что изменение произошло просто из-за естественного развития - многие шпионские агентства начинают использовать платформу и вредоносное ПО, приобретенное у других, прежде чем разрабатывать внутренние возможности для создания своих собственных. Или этот шаг мог быть вызван бюджетными ограничениями после того, как новый президент объявил в 2017 году, что он планирует обуздать полномочия SSS, сократить количество диссидентов, которые отслеживаются в правительственных черных списках , и передать некоторые обязанности SSS другим органам.
Но если ошибки SandCat действительно приводили к тому, что его поставщики увольняли его как клиента, группа не реформировала свои дурные привычки при разработке своей новой платформы.
В процессе проведения некоторых испытаний один из разработчиков SandCat сделал снимок экрана своего рабочего стола с подробным изображением открытого интерфейса Sharpa и поместил его в тестовый файл, который он запускал на машине с программным обеспечением Kaspersky. Он хотел иметь возможность загружать Sharpa на компьютеры-жертвы, используя вредоносный файл Word, и по какой-то причине использовал скриншот своего рабочего стола как часть файла Word. Когда программное обеспечение Касперского захватило вредоносный файл, исследователи узнали о новой платформе в разработке, а также о других Intel. Например, на снимке экрана показаны заметки разработчиков, написанные на узбекском языке, подтверждающие язык разработчиков, а также интерфейс, используемый для отслеживания и управления Sharpa, когда он находится на зараженных компьютерах. Он также показывает IP-адреса для тестовых машин SandCat.
«Это было действительно важно, потому что ... мы не знали об [этих] адресах [до этого]. Таким образом, мы смогли вернуться к нашей телеметрии и найти больше установок большего количества вещей, потому что этот IP-адрес показан на скриншоте », - сказал Варфоломей.
Варфоломей называет SandCat «мусорщиками» из-за их безрассудных ошибок. Но он считает, что их неудачи в OPSEC можно объяснить высокомерием и неопытностью.
«Многие [участники угроз со стороны государства-государства] в этом регионе имеют одну и ту же браваду. Они просто не заботятся о скрытности. Они категорически отрицают все. И если их поймают, их поймают », - сказал он. Но он отмечает, что SandCat все еще находится на ранней стадии развития, несмотря на то, что он был активным в шпионаже долгое время и неизбежно делает ошибки новичка.
Публично разоблачая ошибки группы сейчас, вполне вероятно, что SandCat улучшит свой OPSEC. Но Варфоломей говорит, что разоблачение их также увеличит число исследователей, отслеживающих их, что может помочь раскрыть больше их нынешних жертв и обеспечить им защиту.
https://www.vice.com/en_us/article/3kx5y3/uzbekista...ularly-bad-opsec


Показать сообщения:    

Текущее время: 16-Апр 22:44

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!