Firma Kaspersky odhalila štátnu skupinu hackerov z Uzbekistanu vďaka neskutočným OPSEC chybám

SandCat

Zdroj: Vice/MOTHERBOARD

V histórii incident blogu a podcastu sme už písali a hovorili o rôznych štátom podporovaných hackerských skupinách. Niektoré sú špičkové, niektoré veľmi dobré a niektoré predvádzajú neskutočné chyby. Jednu z poslednej skupiny odhalila firma Kaspersky a dala jej názov SandCat. Podľa Kapspersky je za ňou obávaná Štátna bezpečnostná služba Uzbekistanu – State Security Service (SSS).

Prvou chybou bolo použitie domény pre ofenzívnu infraštruktúru, ktorá patrí vojenskému oddielu s prepojením na SSS. Skupina pracujúca na malvéroch mala nainštalovaný softvér od Kaspersky a zapnuté automatické posielanie podozrivých súborov do cloudu Kaspersky. Výskumníci tak boli informovaní o každom novom malvére. Vývojári dokonca odoslali do Kaspersky snímku obrazovky počítača vývojára s citlivými informáciami o ich platforme.

Počas toho ako výskumníci Kaspersky sledovali vývoj malvéru, vývojari spálili 4 zero-day zraniteľnosti. Je jasné, že zero-day zraniteľnosti boli nakúpené od tretej strany. V Kaspersky zistili, že rovnaké zero-day zraniteľnosti používali aj Saudská Arábia a Spojené arabské emiráty. Ide totiž o to, že keď nakupujete zraniteľnosti, môžete mať exkluzivitu (drahšie), alebo nie (lacnejšie). V tomto prípade neschopní uzbeckí vývojari malvéru spôsobili rýchle spálenie zero-day zraniteľností využívané inými krajinami.

Kaspersky si myslí, že zero-day zraniteľnosti boli nakúpené od izraelských firiem NSO Group a Candiru, ale nemajú na to žiadne dôkazy. NSO Group to slovami hovorkyne poprelo a firma Candiru nereagovala na otázky. Ak si spomínate tak o záhadnej izraelskej firme Candiru sme hovorili ešte na začiatku roka 2019 v podcaste č.11. Po spálení toľkých zraniteľností zrejme prestali mať dodávatelia trpezlivosť, a preto si v SSS začali vyvíjať vlastnú platformu pomenovanú Sharpa. Informácie o nej unikli tiež kvôli OPSEC (Operations security) chybám vývojárov.

Obrázok: „20140930_Uzbekistan_0636 Samarkand“ by Dan Lundberg, used under CC BY-SA 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ