Cel mai tare subiect de anul ăsta despre securitate:
A new threat actor Kaspersky calls SandCat, believed to be Uzbekistan’s intelligence agency, is so bad at operational security, researchers have found multiple zero-day exploits used by the group, and even caught malware the group was still developing.
www.vice.com
SandCat revealed because Uzbek intelligence agency is bad at OPSEC.
arstechnica.com
Pe scurt, Securitatea din Uzbekistan se pare că s-a apucat de hacking, da' sunt noobi cu bani. Au cumpărat niște exploituri zero-day de la NSO printre alții, de-alea mai ieftine pe care le-au cumpărat și alții, și apoi s-au apucat să încerce să facă un malware cu ele... având KAV instalat pe calculatoarele developerilor. Cu modulele de monitorizare active. Care, cât ce au identificat payload-ul ca fiind suspicios, au încărcat la Kaspersky sample-urile de date, inclusiv 0-day-urile. 4 la număr. Pe care KAV le-a dat pe goarnă și au fost patch-uite. Și uite cum uzbecii au fufu business-ul lu' NSO și toți clienții lor care foloseau aceleași 0-day-uri
))
Dar asta nu e tot. Au încărcat mostre ale malware-ului pe virustotal ca să vadă dacă sunt flagged de cineva ca malware, de pe calculatoarele și IP-urile lor. VirusTotal face logging la IP-uri, și uite cum s-a făcut legătura dintre malware și agenția de securitate națională din spate. Idioții n-au auzit de proxy, de VPN.
Cireașa de pe tort a fost că, prin modul ăsta complet împrăștiat de a lucra, a fost leaked inclusiv un screenshot de la un developer, care avea un terminal deschis spre un sistem tip command center pentru distribuție de malware, de unde s-au putut face alte conexiuni privind incidente anterioare.
Mai lipsea ca developerii ăia să poarte veste reflectorizante inscripționate cu „Top Secret Cyber Hacking Uzbekistan Team”