В 41-страничном отчете этой компании говорится, что российская группировка Nomadic Octopus в течение нескольких последних лет занимается политически мотивированной слежкой за высокопоставленными чиновниками, важными объектами правительственной инфраструктуры и телекоммуникационными службами.
В докладе, опубликованном 27 апреля на сайте компании Prodaft, говорится, что начиная с 2020 года, малоизвестная кибершпионская группировка Nomadic Octopus получила доступ к сети телекоммуникационной компании в Таджикистане, сосредоточив внимание на правительственных сетях, руководителях и OT-устройствах с общеизвестными уязвимостями. Этой группе удалось получить доступ к компьютерам, которыми, возможно, пользовались несколько высокопоставленных чиновников.
В списке, опубликованном в докладе, приводятся имена Худоёра Худоёрзода, бывшего министра транспорта, Саинднахша Рахмонзода, заместителя министра внутренних дел, Абдулазиза Шарифи, заведующего отделом аппарата президента, Амирхона Курбонзода, ныне первого заместителя мэра города Душанбе и Бобишо Холзода, бывшего начальника управления сельского хозяйства и охраны окружающей среды аппарата президента, а ныне главы Файзабадского района.
Киберпреступники использовали вредоносное ПО для Windows, получившее название Octopus. Это программное обеспечение маскируется под альтернативную версию мессенджера Telegram и представляет собой инструмент на основе Delphi, который позволяет злоумышленнику шпионить за жертвами, эксфильтровывать конфиденциальные данные и получать доступ к системам с помощью C2-сервера.
В ходе атаки также был использован вариант Octopus, который может делать снимки экрана, удаленно запускать команды, а также выгружать файлы с зараженного хоста на удаленный сервер. Все это позволяло злоумышленникам напрямую видеть, что пишут владельцы компьютеров и что они делают в своем компьютере.
По словам специалистов компании Prodaft, "Nomadic Octopus" удалось успешно взломать в общей сложности 499 систем, сосредоточив внимание на правительственных сетях, руководителях и OT-устройствах с общеизвестными уязвимостями. Название телекоммуникационной компании в отчёте закрашено, как и некоторые другие данные, и поэтому как именно произошел взлом и что это за компания, неизвестно.
Группа «DustSquad», к которой возможно относятся хакеры из Nomadic Octopus, действует с 2014 года и занимается слежкой в основном за отдельными лицами или дипломатами в Центральной Азии, Афганистане и особенно странах бывшего СССР. Власти Таджикистана пока официально на доклад исследовательской компании Prodaft не отреагировали.
Форум