Швейцарская компания Prodaft, специализирующаяся на защите от кибератак и кибершпионажа, опубликовала отчет о том, что некая хакерская группа Nomadic Octopus несколько лет занимается слежкой за таджикскими чиновниками.
Среди тех, за кем следят хакеры бывший министр транспорта и заместитель министра внутренних дел Таджикистана.
В 41-страничном отчете швейцарской компании Prodaft указывается, что группировка Nomadic Octopus в течение нескольких последних лет занимается политически мотивированной слежкой за высокопоставленными чиновниками, важными объектами правительственной инфраструктуры и телекоммуникационными службами.
Авторы отчета считают, что Nomadic Octopus имеет отношение к группе DustSquad, которая действует с 2014 года и занимается слежкой в основном за отдельными лицами или дипломатами в Центральной Азии, Афганистане и особенно странах бывшего СССР.
Кампания Nomadic Octopus в Таджикистане, получившая название Paperbug, продолжается с 2020 года и приводит к компрометации государственных сетей, отдельных компьютеров и устройств операционных технологий, таких как системы заправочных станций.
Было замечено, что группа писала заметки на русском языке о скомпрометированных устройствах и их владельцах, которые в основном были государственными структурами. Доступ к жертвам был получен через скомпрометированные сети таджикской телекоммуникационной компании. Злоумышленники продолжают собирать информацию у оператора связи с ноября 2020 года.
Этой группе удалось получить доступ к компьютерам, которыми, возможно, пользовались несколько высокопоставленных чиновников.
В списке, опубликованном в докладе, приводятся имена Худоёра Худоёрзода, бывшего министра транспорта, Саинднахша Рахмонзода, заместителя министра внутренних дел, Абдулазиза Шарифи, заведующего отделом аппарата президента, Амирхона Курбонзода, ныне первого заместителя мэра города Душанбе и Бобишо Холзода, бывшего начальника управления сельского хозяйства и охраны окружающей среды аппарата президента, а ныне главы Файзабадского района.
Киберпреступники использовали вредоносное ПО для Windows, получившее название Octopus. Это программное обеспечение маскируется под альтернативную версию мессенджера Telegram и представляет собой инструмент на основе Delphi, который позволяет злоумышленнику шпионить за жертвами, эксфильтровывать конфиденциальные данные и получать доступ к системам с помощью C2-сервера.
В ходе атаки также был использован вариант Octopus, который может делать снимки экрана, удаленно запускать команды, а также выгружать файлы с зараженного хоста на удаленный сервер. Все это позволяло злоумышленникам напрямую видеть, что пишут владельцы компьютеров и что они делают в своем компьютере.
Группе удалось успешно взломать в общей сложности 499 систем, некоторые из которых включают государственные сетевые устройства, системы АЗС и кассовые аппараты.
Кроме того, хакеры присваивали имена вредоносным инструментам, имитирующие популярные веб-браузеры Google Chrome, Mozilla Firefox и Яндекс, чтобы они оставались незамеченными.
Название телекоммуникационной компании в отчёте закрашено, как и некоторые другие данные, и поэтому как именно произошел взлом и что это за компания, неизвестно.
В отчете также указывается, что если хакеры получали доступ к данным физических лиц, но они не представляли для них интереса, финансового или политического, слежка за этими лицами прекращалась.
Считается, что Nomadic Octopus в какой-то степени сотрудничает с другим российским национальным государством, известным как Sofacy (он же APT28, Fancy Bear, Forest Blizzard или FROZENLAKE), на основании совпадений виктимологии.
В 2018 году атака с помощью троянца Octopus, замаскированного под приложение Telegram, была отмечена на оппозиционную партию «Демократический выбор» (ДВК) в Казахстане.
Анализ, проведенный Gcow Security в декабре 2019 года, выявил атаки группы на Министерство иностранных дел Узбекистана с целью развертывания Octopus.
Специалисты считают, что выводы Prodaft являются результатом обнаружения операционной среды, управляемой Nomadic Octopus с 2020 года, что делает Paperbug первой кампанией, организованной группой после Octopus.
Власти Таджикистана пока официально на доклад исследовательской компании Prodaft не отреагировали.