Национальные и государственные разведывательные ведомства хороши настолько, насколько хороша их собственная операционная безопасность — умение защитить свои цифровые разведывательные операции от обнаружения. SandCat свои данные защитить не смогли.
Касперский раскрыл секретное военное подразделение хакеров SandCat из СГБ Узбекистана
Но иногда на сцене появляются хакеры, которые беспечны настолько, что могут испортить все, что только можно.
Так и произошло с хакерской группой, которую недавно обнаружила Лаборатория Касперского — SandCat (Барханный (песчаный) кот).
Дела с безопасностью у хакеров обстояли не важно — на компьютерах был установлен антивирус Касперского, который успешно обнаруживал вредоносный код, и отправлял полную информацию (вместе со сриншотами), разработчикам в Лаборатории Касперского.
Столь явное пренебрежение правилами безопасности позволило специалистам Касперского вычислить хакеров и связать с узбекскими спецслужбами.
Весьма вероятно, что группа SandCat принадлежит к одному из подразделений разведки Службы государственной безопасности (СГБ) Узбекистана, считают в Лаборатории Касперского.
Штирлиц шел по Берлину, смотрел на оглядывающихся на него людей и мучительно пытался понять, что может выдавать в нем советского разведчика: лихо заломленная набекрень буденновка на макушке, рация за спиной, маузер на поясе или парашют, волочащийся сзади по мостовой…
Кибер-военные подразделения Службы государственной безопасности (СГБ) Узбекистана занимаются, в том числе, разработкой боевых троянов и вирусов, такой вывод можно сделать из доклада исследователя Лаборатории Касперского Брайана Бартоломью, который был представлен на конференции Virus Bulletin в Лондоне 3 октября 2019 года.
Хакеры из Службы национальной безопасности разрабатывали вирусы на компьютерах с установленным антивирусом Касперского.
Самую высокотехнологичную и трудоёмкую их часть — уязвимости нулевого дня — хакеры из СГБ покупали на открытом рынке. На основе уязвимостей пишутся эксплойты и интегрируются в собственные программы, так и рождаются вирусы.
Т.к. вся информация отправлялась разработчикам антивируса, то появление такого количество уязвимостей нулевого дня из одного и того же источника заинтересовало аналитиков Лабораторию Касперского.
Как выяснили в «Касперском», большинство вирусов было отправлено с IP адресов принадлежащих воинской части в/ч 02616, на адрес которой зарегистрирован домен itt.uz. На момент публикации новости информация о владельце домена доступна в свободном доступе:
В чем «прокололись» разведчики
- Использовали для разработки вирусов IP адреса и домен, зарегистрированный с реальными данными воинской части в/ч 02616;
- В/ч 02616 фигурирует в нескольких громких уголовных делах в качестве экспертного центра по кибер-угрозам;
- Установили Антивирус Касперского на компьютерах, на которых велась разработка новых вирусов;
- IP адрес почтового сервера СГБ 84.54.69.202, а хакеры SandCat использовали адрес, который отличается лишь на одну цифру: 84.54.69.203;
- Разрешили антивирусу обнаруживать вредоносный код и включили скриншот разработки вируса в тестовый файл, который был отправлен в Лабораторию Касперского.
SandCat использовали этот же IP адрес для загрузки тестовых вирусов на сервис Virus Total. На этом сайте каждый может проверить любой файл на вирусы. Хакеры используют этот сервис, чтобы узнать, определяется ли их вирус, или нет. Однако, Virus Total записывает все IP адреса с которых отправлялись файлы, так что отследить отправителя не составило труда.
Таким образом, деятельность этого секретного подразделения выплыла в публичную плоскость.
В результате этих ошибок аналитики Касперского смогли отследить операции не только кибер-разведчиков из СГБ Узбекистана, но и шпионов из Саудовской Аравии и Арабских Эмиратов, которые пользовались теми же уязвимостями, что и хакеры из SandCat.
СНБ/СГБ Узбекистана
Служба государственной безопасности (ранее Служба национальной безопасности) Узбекистана не новичок в шпионских играх. СНБ стала преемницей КГБ УзССР, освоив лучшие тактики разведки и тайной полиции.
СГБ пережила в 2018 году значительные перемены, после того как в начале года президент Шавкат Мирзиёев предпринял рискованный, по мнению многих, шаг и уволил Рустама Иноятова, возглавлявшего ведомство на протяжении 22 лет, за которые оно превратилось в жестокую репрессивную машину.
После смещения Рустама Иноятова были значительно урезаны полномочия ведомства. Его переименовали из Службы национальной безопасности (СНБ) в Службу государственной безопасности (СГБ). В ноябре 2018 штаб-квартиру СГБ перевели из центра Ташкента в более скромное здание на окраине города.
Однако, новый глава СГБ Ихтиёр Абдуллаев был уволен спустя год в феврале 2019 года. Против него и его заместителя Жахонгира Эгамова возбуждено уголовное дело.
По информации Радио Свобода, Абдуллаев попал в опалу после того, как якобы было обнаружено, что он прослушивал телефонные разговоры президента и осуществлял слежку за членами президентской семьи. Ихтиёра Абдуллаева, помимо прочего, обвиняют во взяточничестве и злоупотреблении служебным положением. Сообщается, что 8 февраля Военная прокуратура Узбекистана завела на него уголовное дело.
Хакеры в СГБ Узбекистана
Интерес разведчиков Узбекистана к хакерским операциям впервые получил огласку в 2015 года. Тогда была взломана итальянская Hacking Team — компания, которая продает хакерские инструменты правительствам и спецслужбам.
WikiLeaks опубликовало переписку компании с клиентами, в том числе и с сотрудниками СНБ Узбекистана.
По информации из электронной почты, за 2011-2015 года СНБ потратила почти миллион долларов на программное обеспечение и инструменты, разработанные Hacking Team.
Однако хакерские операции узбекской разведки оставались незамеченными до недавнего времени.
SandCat и Kaspersky Lab
В октябре 2018 года исследователи из «Касперского» наткнулись на SandCat, обнаружив уже известную вредоносную программу Chainshot на компьютере жертвы на Ближнем Востоке.
В прошлом Chainshot использовалась двумя другими спецслужбами, предположительно из Саудовской Аравии и Объединенных Арабских Эмиратов. Однако в случае с SandCat использовалась инфраструктура не связанная ни с одной из этих стран, что навело на мысль о том, что это была другая группа, которую Касперский раньше не видел.
Началась работа по поиску новой хакерской группы, была проанализирована инфраструктура, задействованная в хакерских атаках. Это привело аналитиков «Касперского» к еще трем узявимостям нулевого дня, которые были незамедлительно исправлены.
«Я бы назвал SandCat идеальным источником информации об уязвимостях нулевого дня, говорит Брайан Бартоломью, — как только мы анализировали и исправляли уязвимость, эти ребята присылали нам свежий эксплойт. Столь активное и беспечное прожигание ресурсов говорит мне одну вещь, — денег у них немерено.»
Похоже, эти открытия не повлияли на активность SandCat, однако каждая исправленная уязвимость сказывалась ближневосточных спецслужбах.
Когда спецслужбы приобретают эксплойты нулевого дня на рынке, у них, обычно, есть два варианта: платить премиальную ставку за исключительное право на использование эксплойта или платить меньше за эксплойты, которыми также пользуются другие клиенты брокера.
Однако последний вариант сопряжен с риском — если какой-либо клиент, использующий общий эксплойт, небрежен или безрассуден, это может привести к тому, что эксплойт будет обнаружен, фактически делая его бесполезным его для всех, кто заплатил за его использование.
«Все, что нужно, — это один неаккуратный клиент. — сказал Бартоломью, — «Один клиент, который беспечно относится к безопасности, разрушает эксплойт для всех остальных».
Как считают в «Касперском», SandCat покупали свои эксплойты в двух израильских компаниях — NSO Group и Candiru. Однако никаких подтверждений этому предоставлено не было.
NSO Group известна своими разработками и продажей наиболее мощных эксплойтов, которые использовались для взлома мобильных телефонов, а также для слежки за журналистами и диссидентами.
Candiru — это агенство полного цикла, которое предоставляет не только инструменты для атак, но и позволяет координировать специальные операции.
Изначально в «Касперском» не знали, кто стоит за хакерами из SandCat. Однако вычислить связь хакеров с узбекскими спецслужбами не составило труда.
Хакеры из SandCat установили Антивирус Касперского на свои компьютеры, предположительно, чтобы протестировать, как новые вирусы смогут обойти защиту «Касперского».
Однако в антивирусе был включен модуль телеметрии, который позволяет Антивирусу Касперского получить доступ к любому файлу на компьютере, и отправить его в базу данных для анализа.
Именно из-за этой возможности государственным службам в США запрещено использовать продукты Лаборатории Касперского.
Каждый раз, когда в SandCat тестировались новые эксплойты, «Касперский» получал полную информацию о них.
Кроме того, новые эксплойты попадали на компьютеры через флешки, а значит как только подключалась флешка, «Касперский» сканировал ее, и получал доступ к подозрительным файлам. Таким образом, Лаборатория Касперского получала эксплойты еще до того, как в SandCat могли их использовать.
Что стало с SandCat
В последнее время в «Касперском» заметили прекращение активности хакеров SandCat — вероятно, поставщик эксплойтов решил прекратить работу с этой группой, т.к. все уязвимости достаточно быстро становились известны «Касперскому».
Кроме того, группа могла перейти на разработку собственных уязвимостей, о чем косвенно свидетельствует следующая история.
В одном из тестовых файлов, отправленных в Лабораторию Касперского, попал скриншот рабочего стола с открытой платформой Sharpa, вставленный в тестовый Word документ.
Sharpa позволяет получить полный контроль над зараженным компьютером.
На скриншоте видны заметки разработчика, сделанные на узбекском языке, кроме того виден интерфейс системы, а также IP адреса тестовых компьютеров в SandCat.
Получив новые адреса аналитики «Касперского» смогли выяснить дополнительные детали о хакерской группе и ее разработках.
Бартоломью связывает безрассудные ошибки SandCat с высокомерием и неопытностью. «Многие спецслужбы этого [бывшего СССР] региона имеют такую же браваду. Они просто-напросто не заботятся о скрытности, и категорически отрицают всякие обвинения. Однако если их поймать, то получишь полный пакет доказательств.»
Несмотря на то, что SandCat занимались кибер-атаками продолжительное время, они все еще находятся на ранней стадии развития и совершают типичные «ошибки новичка».
Т.к. эти сведения теперь преданы огласке, то скорее всего SandCat улучшит свое отношение к информационной безопасности. Однако, то же приведет к увеличению числа исследователей, которые будут мониторить SandCat, чтобы обнаружить их цели, и предложить им защиту.
Очередная реклама Касперского ?