Эксперты «Лаборатории Касперского» заподозрили хакерскую группу под названием SandCat в связях со Службой государственной безопасности (бывшей Службой национальной безопасности) Узбекистана. Об этом исследователь «Лаборатории Касперского» Брайан Бартоломью, как передает Vice, заявил на конференции VirusBulletin в Лондоне.
Подозрения, по его словам, появились при изучении деятельности SandCat – группы, которая привлекла к себе внимание в 2018 году. Она использовала уязвимости в системах (так называемые уязвимости нулевого дня, которые тайно используются хакерами до тех пор, пока их не разоблачат) для установки вредоносных программ. Предполагается, что технологии для этого она не разрабатывала сама, а купила у нескольких израильских фирм.
Однако при этом, как отмечает Бартоломью, хакеры недостаточно следили за собственной безопасностью. Среди прочего они установили на своих компьютерах антивирусные системы Касперского (возможно, для тестирования собственных программ), а те, распознавая на машинах вредоносный код, автоматически пересылали его разработчику антивируса для анализа.
Согласно данным лаборатории, IP-адреса машин, использовавшихся для разработки и тестирования хакерских программ, были связаны с доменом itt.uz, зарегистрированным на воинскую часть 02616 в Ташкенте. Она, по информации «Газеты.uz», упоминалась в ходе судебного процесса против Бобомурода Абдуллаева – адвокат Сергей Майоров заявлял тогда, что эта воинская часть изымала электронные устройства подсудимого для экспертизы. Одну из атак, по словам Бартоломью, которого цитирует Reuters, также связали с доменом, зарегистрированным на некоего «О.Ходжакбарова», при этом было указано и его отношение к упомянутой воинской части. В официальных документах упоминался Омониллахон Ходжакбаров – сотрудник Службы национальной безопасности, получивший государственную награду в 2005 году.
Спецслужбы Узбекистана ранее уже подозревали в контактах с разработчиками хакерских программ. Несколько лет назад была взломана и опубликована переписка итальянской фирмы Hacking Team, продававшей подобное ПО. Как писала антикоррупционная группа OCCRP, материалы предполагали, что среди клиентов фирмы были ведомства разных стран, включая Узбекистан (в переписке, выложенной на WikiLeaks, фигурировали, в том числе, письма с домена itt.uz). В 2019 году в фирме, по информации Reuters, заявили, что дел с Узбекистаном не ведут.
Представитель «Лаборатории Касперского» заявил, что группа, предположительно связанная со спецслужбой, организовывала атаки против правозащитников и журналистов. По его данным, в последнее время она также занялась разработкой собственного вредоносного ПО.
Журналисты Reuters обратились за комментариями СГБ через МИД Узбекистана и посольство Узбекистана в Лондоне. По данным на 3 октября, ответа они не получили.