Так называемое сталкерское программное обеспечение — это специальные программы для слежки, которые позиционируются как легальные и которые можно купить в Интернете. Подобные зловреды могут работать совершенно незаметно для пользователя, а поэтому жертва может даже не догадываться о слежке.

Исследование показало, что за первые восемь месяцев этого года более 37 тысяч пользователей по всему миру столкнулись со сталкерским ПО. Количество жертв увеличилось на 35 % по сравнению с аналогичным периодом 2018-го.

При этом в России число жертв сталкерского ПО подскочило более чем в два раза. Если в январе–августе 2018 года со сталкерскими программами столкнулось чуть более 4,5 тысячи россиян, то в нынешнем году — уже почти 10 тысяч.

«Лаборатория Касперского» также зафиксировала увеличение числа образцов сталкерского ПО. Так, за восемь месяцев 2019 года компания обнаружила 380 вариантов сталкерских программ. Это почти на треть больше, чем годом ранее.

«На фоне более значительных показателей по заражению вредоносным ПО статистика по сталкерским программам может выглядеть не так впечатляюще. Однако в случае с подобным ПО для слежки, как правило, нет случайных жертв — в большинстве случаев это хорошо знакомые организатору слежки люди, например, супруг или супруга. К тому же, использование такого ПО нередко связано с угрозой домашнего насилия», — отмечают эксперты.

Доклад о деятельности узбекской киберразведки представил исследователь Брайан Бартоломью.

Эксперты компании связывают хакерскую группу SandCat со Службой нацбезопасности Узбекистана.

SandCat занималась разработкой боевых троянов и вирусов, при этом самый сложный компонент – уязвимость нулевого дня [неизвестная ранее уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках – НВ] хакеры покупали на открытом рынке. На основе таких уязвимостей пишут эксплойты [программы, фрагменты программного кода или последовательности команд с целью захвата контроля над системой – НВ] и интегрируют их в собственное ПО.

На нескольких компьютерах хакеров был установлен антивирус системы Касперского, который в том числе распознает подозрительный код и отправляет для анализа разработчику. Специалистов из "Лаборатории Касперского" заинтересовало такое количество уязвимостей из одного источника. В результате проведенного исследования они выяснили, что IP-адреса, с которых приходит вредоносный код, находятся в домене itt.... – он зарегистрирован на военную часть 02616 в Ташкенте.

Эта военную часть упоминалась в ходе судебного процесса по делу журналиста Бобомурода Абдуллаева, обвиненного в антиконституционной деятельности.

именно эта войсковая часть изымала электронные устройства подсудимого для проведения судебной экспертизы.

Экспертам также удалось отследить кибератаку с домена, указанного в публичном реестре и зарегистрированного на некого О.Т.Ходжакбарова, указавшего своим местом работы ту же воинскую часть 02616. Некто Омониллахон Тулкунович Ходжакбаров упоминается также в указе президента Узбекистана как сотрудник Службы национальной безопасности. В 2005 году он получил государственную награду, пишет ........

Vice пишет, что еще одно доказательство эксперты получили, когда один из разработчиков SandCat сделал снимок экрана своего рабочего стола с подробным изображением открытого интерфейса Sharpa и поместил его в тестовый файл, который он запускал на машине с установленным на нем программным обеспечением Kaspersky. Вероятно, он хотел проверить возможность загружать Sharpa на компьютеры-жертвы, но по какой-то причине использовал скриншот своего рабочего стола как часть файла Word. Так специалисты "Лаборатории Касперского" узнали о новой разработке. Кроме того, на снимке экрана были заметки разработчиков, написанные на узбекском языке, а также IP-адреса тестовых машин SandCat.

Брайан Бартоломью отказался назвать какие-либо конкретные цели атак, но отметил, что SandCat атаковала "правозащитников, журналистов и других диссидентов. Мы не видели много за пределами страны, все было сосредоточено внутри",