SandCat — опсек по-узбекски

OPSEC или Operations Security — это, широко говоря, методы защиты критически важной информации.
Например, адреса, контакты, каналы связи и прочее, что связано с важной операцией. И кажется, по идее, что у органов безопасности уж точно опсек должен… нет, просто обязан быть на высшем уровне, но судя по историям, которые интернет не забывает — это не всегда так.
Благодаря секретности секретной информации в секретных учреждениях, их секретные ошибки останутся секретом, пока они сами их не раскроют — намеренно или, опять же, по ошибке. Вероятно, один из самых плохих опсеков, о которых мир узнал по последней причине, оказался у Службы госбезопасности Узбекистана, наследницы местного КГБ. А если быть точнее, у хакеров, что работают на Службу еще с 2008.
История много нелестного говорит о самом известном детище «Лаборатории Касперского». Однако, даже эта, будем честны, вполне ожидаемая от российского ИБ-гиганта крайне неэтичная практика не может переплюнуть в шок-эффекте уровень опсека группы гос-хакеров SandCat, ставивших прориетарный антивирус на машины, используемые в разработке и тестировании малвари.
В 2018 хакеров обнаружили благодаря сливу сигнатур их вредоноса на сервер «Касперского», но и это еще не всё, от чего у рядового подписчика ОЛ может сработать рефлекс «рука-лицо». IP-адреса машин с антивирусом совпадали с теми, на которые указывал домен itt.uz. Регистратор домена указан буквально как «военчасть 02616», известная компьютерной криминалистикой на устройствах, изъятых у обвиняемых в уголовных делах республики. Дата регистрации — 2008.
Дальше больше. Почтовый домен узбекской СГБ тоже указывал на тот же IP-адрес. Создаваемая хакерами малварь загружалась на VirusTotal. Это расхожая практика у вирусописателей, но здесь у нас загрузки с IP, входящих в… ту же подсеть. Анализировавшие эти данные безопасники из британского филиала Kaspersky не могли поверить, что это может быть настолько просто, думая поначалу, что это просто совпадения. Чертовски большое количество совпадений.
Вышло так, что казавшийся бредом вариант был единственно истинным — ребята и вправду забили на все меры предосторожности в критически секретной работе. Наверняка у них есть и другие причины попасть в категорию Advanced Persistent Threat, но кажется, что немалой частью такого решения у безопасников был простой факт, что это все-таки госхакеры, а не какая-то шайка киберпреступников, даже если организованная — этого мало для гордой лычки «APT».
Тем удивительнее история, чем больше подробностей о самой СГБ мы откопаем. По словам ИБ-аналитика из соседнего Казахстана, СГБ Узбекистана — одна из самых продвинутых чекистких служб в регионе. Гэбисты были клиентами многих разработчиков спайвари, покупали эксплойты под винду и активно разрабатывали собственные стилер и троянизированный клиент Telegram. И все это годами делалось с машин, сидевших в одной сети IP-адресов.
Такая маленькая поверхность атаки на их инфраструктуру могла бы быть плюсом, если бы это было так задумано, но судя по вышесказанному — маловероятно. Безопасники не рисковали бы публикацией данных об этой группе, если бы не вытащили все, что могли — все-таки это было слишком просто и упускать такой шанс было нельзя. Они и не упустили.
По теме
Свежее
- **Veilid — P2P-фреймворк от хактивистов** **• Хештеги: ****#софт**** ******** ****#сети** **• Ссылка:** <span class="spoiler">veilid.com</span> Tor и I2P— для анонимного серфинга и построения сетей, но что, если нужен инструмент для создания приложений, где каждый клиент — полноценный узел, без центральных серверов и выходных-нод? Такой инструмент теперь есть. Veilid — открытый фреймворк для создания децентрализованных приложений с фокусом на приватность. Представлен на DEF CON 31 в августе 2023 года группой Cult of the Dead Cow (cDc) — старейшим хакерским коллективом США, основанным в 1984 году. Именно cDc придумали термин «hacktivism» и участвовали в разработке Tor. Архитектура Veilid представляет собой полностью децентрализованную DHT-сеть, очень похожую на Kademlia. В отличие от Tor, здесь нет выходных нод — каждый узел равноправен. Чтобы следить за пользователями, нужно мониторить всю сеть целиком, а не отдельные точки. Криптография современная: XChaCha20-Poly1305 для шифрования, Ed25519 для подписей, x25519 для обмена ключами, BLAKE3 для хеширования, Argon2 для паролей. Все соединения — end-to-end зашифрованы и подписаны. Прямо-таки база-база — стандартный, но вполне себе грамотный подход. В качестве демонстрации возможностей разработчики выпустили VeilidChat — простой 1-to-1 мессенджер. Пока это концепт: только текст, нет групп, звонков и push-уведомлений. Соответственно, ожидания не стоит завышать — это витрина технологии, а не готовый продукт. Формального аудита безопасности пока не проводилось. 📌 **Детали** ~ Исходный код на Rust, Dart, Python ~ лицензия Mozilla Public License 2.0 ~ SDK для Flutter, Python, Rust ~ работает на Linux, macOS, Windows, Android, iOS, WASM ~ существует как некоммерческий проект Veilid Foundation. **• ИМХО:** Сам по себе Veilid пока не даёт рядовому пользователю ничего — VeilidChat сырой, других приложений на базе протокола ещё нет. Но за проектом стоит следить: если на Veilid начнут появляться мессенджеры, файлообменники или соцсети — а на это требуется время — это будет интересная альтернатива существующим решениям. Будем наблюдать, а если что-то дельное и появится — оно обязательно появится не только на канале, но и в нашем агрегаторе ссылок **[OLinks](https://olks.io/)**. *Автор: Миг* **[ > Обменник без AML/KYC ](http://t.me/bit_bridge_bot?start=r_bzkv0q2emy)** **[ > Наш агрегатор ссылок ](https://olks.io/)** **[OLinks Review](https://t.me/olinksreview_bot)**** — обзоры софта и сервисов для дарка**
- **Отменяем подписку на все стриминги** — в сети нашли, где посмотреть ЛЮБОЙ сериал, фильм и передачу, не заплатив ни копейки. Забираем нужное: • Платный Disney — бесплатный [Netmirror](https://netmirror.gg/1/en) • Платный HBO Max — бесплатный [Moviebox ](https://moviebox.ph/) • Платный Apple — бесплатный [Streamly ](https://streamlytv.com/) • Платный Netflix — бесплатный [Flixio](https://docs.elfhosted.com/app/flixio/) • Платный Prime Video — бесплатный [CineHub](https://cinehub-vf.org/) • Платный YouTube Premium — бесплатный [VidPlus](https://vidplus.to/) или [Brave](https://brave.com/ru/) • Платный Apple Music — бесплатный [Esound ](https://esound.app/) • Платный Spotify — бесплатный [Lyra](https://play.google.com/store/apps/details?id=com.musicapp.lyra&hl=ru) • Платный Hulu — бесплатный [ShowZone](https://showzone.gg/) • Платный Paramount + — бесплатный [EpicFlix ](https://epicflix.com/) • Платный Crunchyroll — бесплатный [jutsu](https://jut.su/plus/) • Платный Starz — бесплатный [Kinorium](https://ru.kinorium.com/) • Платный Tubi — бесплатный [Plex](https://watch.plex.tv/) Сохраняем #сайт #подборка [🛜 ](http://t.me/nishebot_nishebot)[Крутой VPN](http://t.me/VPNo4ka_Robot) | [Смс 💣 бомбер](http://t.me/Bomb_berry_bot) | [Telegram Stars со скидкой](http://t.me/rock_stars_bot) 🌟
- Невил Маскелайн — первый хакер в истории беспровода