Новая группировка Nomadic Octopus шпионит за министрами Таджикистана

Исследователи безопасности из ИБ-компании PRODAFT сообщают , что малоизвестная кибершпионская группировка проводит политически мотивированную кампанию по шпионажу за высокопоставленными министрами, телекоммуникационными службами и правительственной инфраструктурой в Таджикистане.

Набор для вторжения, названный Paperbug, был приписан группе Nomadic Octopus (DustSquad). Типы скомпрометированных машин варьируются от индивидуальных компьютеров до устройств операционных технологий. Такие цели позволяют хакерам проводить разведку систем жертв.

На данный момент мотив атак неясен, но эксперты PRODAFT предположили, что это может быть работа оппозиционных сил или миссия по сбору разведывательных данных.

В ходе кампании злоумышленники использовали специализированные вредоносные программы для Android и Windows для атак на местные органы власти, дипмиссии и политических блоггеров, что повышает вероятность того, что группировка причастна к операциям кибершпионажа.

Киберпреступники использовали вредоносное ПО для Windows, получившее название Octopus. Вредонос маскируется под альтернативную версию мессенджера Telegram и представляет собой инструмент на основе Delphi, который позволяет злоумышленнику шпионить за жертвами, эксфильтровывать конфиденциальные данные и получать доступ к системам с помощью C2-сервера.

По данным PRODAFT, злоумышленнику удалось получить доступ к сети телекоммуникационной компании в Таджикистане, сосредоточив внимание на правительственных сетях, руководителях и OT-устройствах с общеизвестными уязвимостями. Как именно и когда произошло проникновение в телекоммуникационную сеть, неизвестно.

В ходе атаки также был использован вариант Octopus, который может делать снимки экрана, удаленно запускать команды, а также выгружать файлы с зараженного хоста на удаленный сервер.

Анализ С2-сервера показал, что группе удалось успешно взломать в общей сложности 499 систем, некоторые из которых включают государственные сетевые устройства, системы АЗС и кассовые аппараты. Кроме того, хакеры присваивали имена вредоносным инструментам, имитирующие популярные веб-браузеры Google Chrome, Mozilla Firefox и Яндекс, чтобы они оставались незамеченными.