fbpx

За таджикскими чиновниками следят хакеры. Уже несколько лет

Авторы доклада предполагают, что за хакерами стоит группа, которая занимается слежкой в Центральной Азии.


0
атака хакеров
Иллюстрационное фото

Швейцарская компания Prodaft, специализирующаяся на защите от кибератак и кибершпионажа, опубликовала отчет о том, что некая хакерская группа Nomadic Octopus несколько лет занимается слежкой за таджикскими чиновниками.

Среди тех, за кем следят хакеры бывший министр транспорта и заместитель министра внутренних дел Таджикистана.

В 41-страничном отчете швейцарской компании Prodaft указывается, что группировка Nomadic Octopus в течение нескольких последних лет занимается политически мотивированной слежкой за высокопоставленными чиновниками, важными объектами правительственной инфраструктуры и телекоммуникационными службами.

Авторы отчета считают, что Nomadic Octopus имеет отношение к группе DustSquad, которая действует с 2014 года и занимается слежкой в основном за отдельными лицами или дипломатами в Центральной Азии, Афганистане и особенно странах бывшего СССР.

Кампания Nomadic Octopus в Таджикистане, получившая название Paperbug, продолжается с 2020 года и приводит к компрометации государственных сетей, отдельных компьютеров и устройств операционных технологий, таких как системы заправочных станций.

Было замечено, что группа писала заметки на русском языке о скомпрометированных устройствах и их владельцах, которые в основном были государственными структурами. Доступ к жертвам был получен через скомпрометированные сети таджикской телекоммуникационной компании. Злоумышленники продолжают собирать информацию у оператора связи с ноября 2020 года.

Этой группе удалось получить доступ к компьютерам, которыми, возможно, пользовались несколько высокопоставленных чиновников.

В списке, опубликованном в докладе, приводятся имена Худоёра Худоёрзода, бывшего министра транспорта, Саинднахша Рахмонзода, заместителя министра внутренних дел, Абдулазиза Шарифи, заведующего отделом аппарата президента, Амирхона Курбонзода, ныне первого заместителя мэра города Душанбе и Бобишо Холзода, бывшего начальника управления сельского хозяйства и охраны окружающей среды аппарата президента, а ныне главы Файзабадского района.

чиновники Таджикистана атакованные хакерами
Данные из отчета

Киберпреступники использовали вредоносное ПО для Windows, получившее название Octopus. Это программное обеспечение маскируется под альтернативную версию мессенджера Telegram и представляет собой инструмент на основе Delphi, который позволяет злоумышленнику шпионить за жертвами, эксфильтровывать конфиденциальные данные и получать доступ к системам с помощью C2-сервера.

В ходе атаки также был использован вариант Octopus, который может делать снимки экрана, удаленно запускать команды, а также выгружать файлы с зараженного хоста на удаленный сервер. Все это позволяло злоумышленникам напрямую видеть, что пишут владельцы компьютеров и что они делают в своем компьютере.

Группе удалось успешно взломать в общей сложности 499 систем, некоторые из которых включают государственные сетевые устройства, системы АЗС и кассовые аппараты.

данные с АЗС украденные хакерами
Данные из отчета

Кроме того, хакеры присваивали имена вредоносным инструментам, имитирующие популярные веб-браузеры Google Chrome, Mozilla Firefox и Яндекс, чтобы они оставались незамеченными.

Название телекоммуникационной компании в отчёте закрашено, как и некоторые другие данные, и поэтому как именно произошел взлом и что это за компания, неизвестно.

В отчете также указывается, что если хакеры получали доступ к данным физических лиц, но они не представляли для них интереса, финансового или политического, слежка за этими лицами прекращалась.

Считается, что Nomadic Octopus в какой-то степени сотрудничает с другим российским национальным государством, известным как Sofacy (он же APT28, Fancy Bear, Forest Blizzard или FROZENLAKE), на основании совпадений виктимологии.

В 2018 году атака с помощью троянца Octopus, замаскированного под приложение Telegram, была отмечена на оппозиционную партию «Демократический выбор» (ДВК) в Казахстане.

Анализ, проведенный Gcow Security в декабре 2019 года, выявил атаки группы на Министерство иностранных дел Узбекистана с целью развертывания Octopus.

Специалисты считают, что выводы Prodaft являются результатом обнаружения операционной среды, управляемой Nomadic Octopus с 2020 года, что делает Paperbug первой кампанией, организованной группой после Octopus.

Власти Таджикистана пока официально на доклад исследовательской компании Prodaft не отреагировали.


Понравилось? Поделись с друзьями!

0

Твоя реакция?

Зачет;Беҳтарин Зачет;Беҳтарин
0
Зачет
Бесит; Асабӣ шудам Бесит; Асабӣ шудам
0
Бесит
Сочувствую;ҳамдардам Сочувствую;ҳамдардам
0
Сочувствую
Супер;Зур Супер;Зур
0
Супер
Окей!;Окей! Окей!;Окей!
0
Окей!
Как так-то?; Ин чӣ хел шуд? Как так-то?; Ин чӣ хел шуд?
0
Как так-то?

Send this to a friend