Компания «Лаборатория Касперского» обнаружила связь кибергруппировки SandCat со Службой государственной безопасности Узбекистана. Секретное подразделение СГБ предположительно приобретало хакерские инструменты и разрабатывало собственные. Как сообщили Vice, агентство Reuters и другие издания, об этом на конференции Virus Bulletin в Лондоне рассказал исследователь «ЛК» Брайан Бартоломью.

По данным специалиста, SandCat могла быть создана еще в 2008 году (согласно данным регистрации связанного домена), но до недавнего времени оставалась незамеченной. Сообщается, что SandCat использовала уязвимости нулевого дня (уязвимости, о которых еще не знает разработчик программного обеспечения) в Windows для получения доступа к сети или устройству. Для этого компания приобретала специальные эксплойты (программы или коды, использующие уязвимость для проникновения в систему).

«Эти ребята работают давно, и до сих пор я никогда не слышал о том, чтобы Узбекистан имел такие кибервозможности», — сказал Брайан Бартоломью.

Как сообщает Vice, интерес тогда еще СНБ к подобным операциям был впервые выявлен в 2015 году, когда хакер Финиас Фишер (Phineas Fisher) взломал систему итальянской фирмы Hacking Team и опубликовал в интернете более 400 Гб внутренних файлов (от исходного кода до документов и почтовой переписки сотрудников с клиентами).

До этого о деятельности Hacking Team было известно немного, но после утечки специалисты смогли в деталях ознакомиться с тем, как работают компании, создающие инструменты для слежки и эксплойты.

Согласно опубликованным Викиликс в 2015 году архивам электронных писем, датированным 2011−2015 годами, СНБ (в переписке содержатся имена) потратила на инструменты Hacking Team почти 1 млн долларов. По мнению Брайана Бартоломью, это говорит об огромных финансовых возможностях спецслужб, поскольку каждый раз, когда выявлялась новая уязвимость и выпускался патч для устранения бреши, у SandCat появлялся новый эксплойт.

Сообщается, что похожие с SandCat эксплойты нулевого дня использовали в Саудовской Аравии и ОАЭ.

Брайан Бартоломью рассказывает, что когда спецслужбы приобретают эксплойты нулевого дня у брокеров, у них обычно есть два варианта: платить премиальную ставку за исключительное право пользования эксплойтом или платить меньше за эксплойты, которыми также пользуются другие клиенты.

Последний вариант сопряжен с риском — небрежность или слабая операционная безопасность системы (OpSec) какого-либо клиента, использующего общий эксплойт, может привести к тому, что он будет обнаружен. А это значит, что эксплойт перестает работать для всех, кто заплатил за его использование.

«Лаборатория Касперского» изначально не знала, кто стоит за SandCat, но «не потребовалось много усилий, чтобы найти связь с СГБ».

Компания обнаружила, что разработчики SandCat, на чьих компьютерах был установлен антивирус «Касперского», предположительно пытались проверить, может ли вредоносное ПО, которое они разрабатывали, обходить инструмент обнаружения. Но они проводили испытания с включенной на антивирусе функцией телеметрии, которая отсылает копии любых файлов на компьютерах, которые она считает вредоносными в «Лабораторию Касперского» для анализа.

«Таким образом мы перехватили много данных… каждый раз, когда они проводили проверку, наше [программное обеспечение] отправляло нам файлы», — сказал Брайан Бартоломью.

Отмечается, что разработчики отправляли SandCat новые эксплойты на флэш-накопителе. Когда его вставляли в компьютер, антивирус «Касперского» автоматически сканировал диск на наличие вредоносных программ и захватывал файлы, которые считаются вредоносными.

«Лаборатория Касперского» провела исследование после обнаружения большого количества уязвимостей нулевого дня из одного источника. Выяснилось, что IP-адреса машин, с которых приходят образцы, связаны с доменом itt.uz, зарегистрированным на «Войсковую часть 02616» в Ташкенте. Она упоминалась в ходе судебного процесса по делу журналиста Бобомурода Абдуллаева — адвокат Сергей Майоров сообщал, что эта войсковая часть СГБ изымала электронные устройства подсудимого для проведения судебной экспертизы.

IP-адреса почтового домена и сети SandCat, отмечает исследователь, были практически идентичны. С этого же IP-адреса загружались тестовые файлы на Virus Total — вебсайт для проверки подозрительных файлов на вредоносность. На этот сайт также загружают программы, чтобы проверить, могут ли они успешно обойти антивирус, говорит исследователь.

В октябре 2018 года, когда уязвимости нулевого дня SandCat начали обнаруживать и устранять, кибергруппа предположительно начала разработку собственной программы под названием Sharpa для проникновения в мобильные телефоны и компьютеры. Специалист «Лаборатории Касперского» считает, что поставщик эксплойтов мог прекратить сотрудничество после того, как их начали раскрывать. Но возможен и другой вариант: разработка Sharpa началась в рамках «естественного развития».

«Многие шпионские агентства начинают использовать платформу и вредоносное ПО, приобретенное у других, прежде чем разрабатывать собственное, пишет Vice. Или этот шаг мог быть вызван бюджетными ограничениями после того, как новый президент объявил в 2017 году сокращение полномочий СГБ и передачу некоторых ее функций другим органам, а также коренном пересмотре «черных списков» граждан, отмечает издание.

В ходе испытаний один из разработчиков SandCat сделал снимок рабочего стола компьютера с подробным изображением открытого интерфейса Sharpa и загрузил его в тестовый файл, который был запущен на компьютере с установленным антивирусом «Касперского». Целью была проверка возможностей Sharpa путем загрузки вредоносного файла Word на компьютер жертвы, однако по неопытности, ошибке или по другой причине был использован скриншот рабочего стола.

Когда антивирус «Касперского» захватил вредоносный файл, исследователи узнали о новой разработке. На снимке экрана показаны заметки разработчиков на узбекском языке и интерфейс управления Sharpa. На снимке также показаны IP-адреса тестовых машин SandCat.

«Это было действительно важно, потому что мы не знали об [этих] адресах [до этого]. Таким образом, мы смогли вернуться к нашей телеметрии и найти больше объектов, потому что этот IP-адрес был показан на скриншоте», — отметил Брайан Бартоломью.