乌兹别克斯坦国家信息安全局相关的新型威胁行为者被揭露

卡巴斯基实验室的研究人员揭露了一个与乌兹别克斯坦国家信息安全局（SSS）相关的新型威胁行为者。这一揭露过程并不复杂，因为该政府组织使用了卡巴斯基的杀毒软件，而该软件将其开发的恶意软件二进制文件发送回卡巴斯基进行分析。

乌兹别克斯坦的网络间谍能力

乌兹别克斯坦此前并不以拥有网络间谍能力而闻名。然而，乌兹别克斯坦SSS显然拥有庞大的预算，并据卡巴斯基称，该组织从两家以色列公司——NSO Group和Candiru——购买了这些能力。不幸的是，该组织在购买漏洞利用工具时，并未购买任何操作安全知识。

SandCat组织的发现

卡巴斯基将该组织命名为SandCat，并于2018年10月发现了该组织。这一发现源于一个先前被识别的恶意软件下载器Chainshot在中东地区的一台受感染计算机上被发现。这个Chainshot木马与之前的版本使用不同的命令和控制网络，并且使用了不同的漏洞进行初始安装。

零日漏洞的使用

卡巴斯基的研究人员在寻找其他受感染的机器并探索其背后的基础设施时，发现了该组织使用的另外三个“零日”漏洞。卡巴斯基报告了这些漏洞，并在补丁部署后逐一“烧毁”。这些漏洞也被阿联酋和沙特的组织使用。

乌兹别克斯坦SSS的漏洞供应商

每当乌兹别克斯坦SSS的漏洞供应商通过USB驱动器发送新的恶意软件时，有人会将驱动器插入运行卡巴斯基杀毒软件的计算机进行传输。正如卡巴斯基软件对国家安全局“Equation Group”恶意软件所做的那样，杀毒软件将新的二进制文件上传到卡巴斯基的服务器进行评估。这些上传的机器通过域名注册数据和一起法庭案件与乌兹别克斯坦SSS相关联。

结论

卡巴斯基全球研究与分析团队的研究员Brian Bartholomew表示，SandCat组织“像零日糖果机一样”，每次他们发现并修补一个零日漏洞，该组织就会提出另一个。他指出，这表明该组织拥有大量的资金。