Изпълнително резюме В края на януари 2026 г. три правителствени информационни системи в Узбекистан бяха обект на кибератаки в продължение на четири дни (27-30 януари), в резултат на което бяха изложени около 60 000 уникални данни. Първоначалните твърдения, циркулиращи в социалните медии и Reddit, предполагат, че до 15 милиона записи на граждани са били компрометирани чрез нарушаване на централния OAuth сървър на платформата за електронно правителство (E-Gov). Въпреки това, след официално разследване, министърът на цифровите технологии Шерзод Шерматов потвърди на 12 февруари, че действителният обхват е значително по-малък. . [15] [1][3] 15] Правителството на Узбекистан реагира незабавно, като стартира разследване чрез своя Център за киберсигурност и създава оперативна работна група В дните след първоначалното разкриване, издаването на онлайн микрокредити беше временно спряно като предпазна мярка, а банките засилиха позициите си за сигурност. . [1][2] [9] Този инцидент се случва на фона на ескалация на киберзаплахите – с над 7 милиона киберзаплахи предотвратени през 2024 г. и 107 милиона през 2025 г. [15], и 68-кратно увеличение на киберпрестъпността през последните пет години (от 863 престъпления през 2019 г. до 58,800 през 2024 г.) [16]. (също проследено като която е провеждала целенасочени операции срещу правителствени агенции и финансови институции в Централна Азия, включително Узбекистан Въпреки че не е направена пряка връзка между Bloody Wolf и това конкретно нарушение, продължаващият фокус на групата върху региона подчертава все по-сложната среда на заплахи, пред която е изправена дигиталната инфраструктура на Узбекистан. Bloody Wolf Stan Ghouls [4][5] 1 Какво се е случило Между 27 и 30 януари 2026 г. информационните системи на три правителствени агенции в Узбекистан са били обект на кибератаки [15]. На или около 1 и 2 февруари, връзки към няколко ресурси, включително платформи за тъмна мрежа, бяха споделени в социалните медии и Reddit, твърдейки, че данните от правителствените информационни системи на Узбекистан са били публикувани онлайн. Съобщава се, че данните са получени от правителствени информационни системи, като централният сървър за автентикация OAuth на платформата за електронно управление (E-Gov) е идентифициран като потенциална точка за компромис. . [1] [1][3] Серверът OAuth служи като надежден единен портал за вход, който позволява на гражданите и институциите да се автентифицират в широк кръг от правителствени и неправителствени услуги. Потвърден обхват (актуализиран на 12 февруари) Според пресконференцията на министъра на цифровите технологии Шерзод Шерматов на 12 февруари 2026 г.: Около 60 000 уникални записи на данни са били изложени (индивидуални единици данни, а не 60 000 граждани) Първоначалната претенция на 15 милиона граждани е отхвърлена като неточна Специалистите по киберсигурност на C7 потвърдиха, че образецът на нападателя съдържа само 5522 записи, заедно с 24 снимки на служители на Министерството на вътрешните работи, 15 874 записи на медицински работници от Националната агенция за социална защита и 446 ипотечни записи от компанията за рефинансиране на ипотеки. Други неупълномощени опити за достъп са блокирани и техническите мерки за сигурност са засилени. Допълнителни предпазни мерки бяха въведени в единната идентификационна система (OneID) Системи, идентифицирани като потенциално засегнати Въз основа на доклади от няколко надеждни узбекски медии, включително Gazeta.uz, UzDaily.uz и Zamin.uz : [1][2][3] Национална агенция за социална закрила (IHMA.UZ) – медицински досиета и данни за социалната закрила Държавен статистически комитет (STAT.UZ) — демографски и данни, свързани с преброяването Фирма за ипотечно рефинансиране (UZMRC.UZ) — финансови и жилищни записи Системи на Министерството на вътрешните работи — данни за гражданите, свързани с правоприлагането Университетски и образователни портали — студентски и преподавателски записи Банкови и търговски организационни портали — данни за финансово удостоверяване Типове данни, които са потенциално изложени Data Category Details Personal Identifiers Full name, date of birth, internal user ID Contact Information Phone number, email address, residential address Identity Documents Passport number and related details Authentication Data Logins, passwords, user photographs Sensitive Records Workplace details, medical histories, government service records Лични идентификатори Пълно име, дата на раждане, вътрешно потребителско име Контактна информация Телефонен номер, имейл адрес, адрес на пребиваване Документи за самоличност Номер на паспорта и свързани с него данни Данни за автентичност Логини, пароли, потребителски снимки Чувствителни записи Подробности за работното място, медицинска история, записи на правителствените служби 2 Как се е случило Докато официалното разследване на Центъра за киберсигурност на Узбекистан все още е в ход, експертите по киберсигурността предложиха предварителни оценки на вероятните носители на атака. Централният OAuth сървър като единна точка за влизане Серверът OAuth на електронното правителство функционира като гръбнак на удостоверяването за десетки взаимосвързани услуги. OAuth 2.0 е стандартна рамка за упълномощаване, която се използва широко по целия свят. Въпреки това, както отбелязват изследователите по сигурността в световен мащаб, внедряванията на OAuth по своята същност са склонни към неправилна конфигурация, ако не се одитират непрекъснато и втвърдяват. Хипотеза за атака на веригата за доставки Дмитрий Палеев, директор на корпоративната компания за киберсигурност ONESEC, предполага, че това може да не е било едно отделно нарушение, а по-скоро атака срещу веригата за доставки. В такива сценарии компрометирането на един компонент в свързана инфраструктура може да даде страничен достъп до други системи в същата мрежа. [1] Фактори, допринасящи в контекста Узбекистан преминава през бърза дигитална трансформация с значителни инвестиции в услуги за електронно правителство. страната има за цел да дигитализира 70% от обществените услуги и да разшири износа на ИТ услуги до 5 млрд. долара до 2030 г. като част от стратегията Узбекистан-2030 Над 760 обществени услуги вече са цифровизирани, като около 10 милиона граждани използват цифрови платформи всяка година. Инцидентът подчертава универсално предизвикателство: необходимостта от мащабиране на киберсигурността в крак с цифровото приемане. [17]. [18] Експертна перспектива: "Истинската заплаха може да бъде силно преувеличена и да не съответства на реалността.Както показва опитът, тези данни често са силно преувеличени и съставени от различни източници, включително стари данни и данни, събрани от различни системи." — Дмитрий Палеев, директор, ONESEC [1] Експертна перспектива : Както показва опитът, тези данни често са силно преувеличени и събирани от различни източници, включително стари данни и данни, събрани от различни системи.“ – Дмитрий Палеев, директор, ONESEC [1] Експертна перспектива : Реакция на правителството Правителството на Узбекистан демонстрира проактивен и организиран отговор.Многобройни агенции действаха бързо, за да отговорят на обществените притеснения, да инициират разследвания и да дават насоки на гражданите. . [1][2] Време за реакция Date Action Jan 27–30 Three government information systems targeted by cyberattacks [15] Feb 1–2 Links to darknet resources shared on Reddit and social media [1] Feb 3 Cybersecurity Center confirmed investigation launch; issued public guidance [1] Feb 3 National Social Protection Agency confirmed cyberattack on archival database; task force established [2] Feb 3 Statistics Committee confirmed census data stored encrypted on separate servers [1] Feb 3–4 Tax Committee and Interior Ministry denied breaches; systems functioning normally [1] Feb 5–6 Online microcredit issuance suspended; Central Bank reinforced oversight [9] Feb 12 Minister Shermatov confirmed ~60,000 records exposed; additional OneID safeguards [15] Юни 27 – 30 Три правителствени информационни системи, насочени към кибератаки [15] Фев 1 – 2 Връзки към darknet ресурси, споделени на Reddit и социалните медии [1] Фев 3 Центърът за киберсигурност потвърди започването на разследване; издаде обществена насока [1] Фев 3 Националната агенция за социална защита потвърди кибератака срещу архивна база данни; създадена е работна група [2] Фев 3 Статистическият комитет потвърди данните от преброяването, съхранявани на отделни сървъри [1] Фев 3 – 4 Данъчната комисия и Министерството на вътрешните работи отричат нарушенията; системите функционират нормално [1] Фев 5 – 6 Онлайн микрокредитирането е спряно; Централната банка засили надзора [9] Фев 12 Министър Шерматов потвърди ~60 000 експонирани записи; допълнителни OneID предпазни мерки [15] Влияние върху финансовия сектор Спиране на микрокредитирането Узбекистан временно спря издаването на онлайн микрокредити след съобщения, че компрометираните данни на гражданите могат да бъдат използвани за измамно получаване на микрокредити Това действие, макар и разрушително, отразява отговорен подход за защита на гражданите от вторична експлоатация. [9] Реакцията на банковия сектор Няколко банки засилиха своите системи за удостоверяване и мониторинг.Централната банка поддържа, че основната банкова инфраструктура не е пряко компрометирана [2]. Доброволна кредитна забрана Узбекистан въведе доброволна услуга за забрана на кредитиране през юни 2025 г., позволяваща на гражданите да забраняват отпускането на заеми без лично разрешение (Закон No ZRU-1043) До октомври 2025 г. около 150 000 граждани са се записали Към 1 януари 2026 г. записването е нараснало до над 438,000 Нарушението се очаква да ускори още повече осиновяването. [19] [20] [21] Растеж на киберпрестъпността Според Центъра за киберпрестъпност на Министерството на вътрешните работи, Узбекистан е регистрирал 68-кратно увеличение на киберпрестъпността между 2019 и 2024 г. - от 863 престъпления в 18 категории до 58 800 в 62 категории. Между 2021 и 2024 г. киберпрестъпленията са довели до кражба на над 1,9 трилиона суми ($148,9 милиона) от граждани. . [16] [16] Оригинално име: Active Threat Landscape: Bloody Wolf Независимо от това нарушение, публикувано проучване от водещи фирми за киберсигурност документира продължителна заплаха дейност, насочена към региона. Общ преглед на заплахата Група от заплахи, проследени като — също идентифицирани от Kaspersky като - провежда целенасочени операции срещу организации в Централна Азия поне от края на 2023 г. Групата е насочена предимно към правителствени агенции, финансови институции и ИТ компании Според Kaspersky основната мотивация изглежда е финансова печалба, въпреки че техните методи също предполагат възможности за кибершпионаж. . Bloody Wolf Stan Ghouls [5] [4] [5] Временна активност Period Activity Late 2023 Group first identified, targeting Kazakhstan and Russia [5] May 2025 Kaspersky first flags NetSupport RAT config [5] Jun 2025 Campaign in Kyrgyzstan targeting government, financial, IT sectors [4] Oct 2025 Operations expand to Uzbekistan [4] Nov 2025 Group-IB / UKUK publish joint advisory [4] Feb 5, 2026 Kaspersky identifies ~50 victims in Uzbekistan, 60+ total [5] До края на 2023 година Група първо идентифицирана, насочена към Казахстан и Русия [5] май 2025 Kaspersky първи знамена NetSupport RAT конфигурация [5] юни 2025 г. Кампания в Киргизстан, насочена към правителствения, финансовия и ИТ сектор [4] Ок 2025 г. Операциите се разширяват до Узбекистан [4] Новата 2025 година Група-IB / UKUK публикува съвместно консултативно становище [4] Февруари 5, 2026 Kaspersky идентифицира ~50 жертви в Узбекистан, 60+ общо [5] Ключови констатации Документирана продължаваща кампания на Кръвопролитния вълк, насочена към правителствени структури и финансови системи в Киргизстан и Узбекистан, използвайки усъвършенствано социално инженерство и представяйки правителствени министерства . Group-IB / UKUK (November 2025): [4][3] Идентифицирани са около 50 компрометирани организации в Узбекистан в областта на производството, финансите и ИТ. Около 10 устройства в Русия също са засегнати. Групата използва имейли за фишинг на руски и узбекски език. Инфраструктурата също е хоствала Mirai IoT зловреден софтуер, което предполага потенциално разширяване на инструмента (оценено с ниска степен на доверие) . Kaspersky Securelist (February 5, 2026): [5] Кампании, обхванати от The Hacker News Списание за инфосигурност SC Media и Cyberpress. Media Coverage: [6] [7], Важна бележка за атрибуцията Няма публично потвърдена пряка връзка между Bloody Wolf / Stan Ghouls и нарушението на правителствената агенция през януари 2026 г. Въпреки това, документираното насочване на групата към узбекските правителствени системи илюстрира напредналия и постоянния характер на заплахите, пред които е изправена цифровата инфраструктура на страната. Предишни инциденти в киберсигурността Date Incident Source 2023 Over 11.2 million cyberattacks on web resources [22] 2024 Over 7 million cyber threats prevented [15] 2025 Over 107 million cyber threats prevented [15] Jul 2025 Hacker forum listing: 21M citizen records for sale [10] Aug 2025 Uzbekistan Airways data breach — passports, system credentials [10] 2023 Над 11,2 милиона кибератаки срещу уеб ресурси [22] от 2024 Над 7 милиона киберзаплахи са предотвратени [Прочети още] 2025 Над 107 милиона киберзаплахи са предотвратени [Прочети още] Коледа 2025 Хакерски форум списък: 21M граждани записи за продажба [10] Съдържание Авг 2025 г. Нарушаване на данните на Uzbekistan Airways — паспорти, системни идентификатори [10] Съдържание Правна и регулаторна рамка Закон за личните данни (No ZRU-547): Действащ октомври 2019 г., урежда обработката и защитата на личните данни [12] Закон за киберсигурността (No ZRU-764): Приет през април 2022 г., с който се установява националната рамка за киберсигурност Закон за обмена на кредитна информация (No ZRU-1043): подписан през март 2025 г., въвеждащ доброволни услуги за забрана на кредитирането Президентски указ No PP-153 (април 2025): Задължително уведомяване за нарушение и правна отговорност за инциденти с данни [14] Рамка за възстановяване Въз основа на NIST CSF 2.0, ISO 27001:2022 и CIS Controls v8 : [11] Етап 1: Непосредствено задържане Изолиране и одит на OAuth сървъра – пълен съдебен одит, включително дневници за издаване на токени, записи за сесии, модели на достъп до API Задължително ресетиране на идентификационните данни – налагане на ресетиране на паролата; анулиране на всички OAuth токени и бисквитки за сесия Разрешаване на МФР — във всички правителствени портали и разчитащи на партийни приложения Отмени и завърти всички API ключове – всички споделени тайни и тайни на клиентите в екосистемата на OAuth Мониторинг на тъмната мрежа – ангажиране на услуги за разузнаване на заплахите за проследяване на компрометираното разпространение на данни Етап 2: Структурно втвърдяване Архитектура с нулево доверие – проверка на всяка заявка за достъп; внедряване на микросегментация Разполагане на SIEM и EDR – непрекъснат мониторинг и бързо откриване на заплахи Управление на привилегирован достъп – контрол и одит на привилегирован достъп до инфраструктурата за удостоверяване Сегментиране на мрежата – изолиране на критичните системи за удостоверяване от общия трафик Редовни тестове за проникване — периодични упражнения на червения отбор върху системи, които са насочени към правителството Етап 3: Дългосрочна устойчивост Национално развитие на работната сила в областта на киберсигурността Планиране на реакцията при инциденти — разработване и редовно тестване на всеобхватни планове за инфрачервени Одит на сигурността на веригата за доставки — текущи оценки на доставчици от трети страни Кампании за повишаване на обществената осведоменост — образование на гражданите относно хигиената на паролите, фишинга, защитата на данните Препоръчителни действия за гражданите По ръководство на Центъра за киберсигурност и Министерството на цифровите технологии [1][15]: Променете всички пароли незабавно, особено за правителствени услуги Активиране на двуфакторна автентикация за всички акаунти Не споделяйте лична информация с непознати Избягвайте подозрителни сайтове и връзки, получени чрез имейл или съобщения Използвайте силни, уникални пароли за правителствени и финансови услуги Мониторинг на финансовите сметки – обмислете активирането на доброволната кредитна забрана чрез my.gov.uz Докладвайте за подозрителна дейност на Центъра за киберсигурност и правоприлагащите органи Бъдете бдителни към социалното инженерство – нападателите могат да се представят като банкови служители и да цитират известни лични данни, за да поискат SMS кодове [15] 10.Източници и референции [1]Gazeta.uz — "Узбекистан разследва предполагаемото изтичане на лични данни на гражданите в darknet" (Февруари 4, 2026)https://www.gazeta.uz/en/2026/02/04/darknet/ [2]UzDaily.uz — "Националната агенция за социална защита на Узбекистан потвърждава кибератака срещу архивни данни" (Февруари 2026)https://www.uzdaily.uz/en/uzbekistans-national-social-protection-agency-confirms-cyberattack-on-archival-data/ [3]Zamin.uz — "Смята се, че данните на 15 милиона граждани са били изтеглени" (Февруари 3, 2026)https://zamin.uz/en/society/185508 [4]Group-IB / UKUK — Съвместно консултативно становище относно операциите на Bloody Wolf APT в Киргизстан и Узбекистан (ноември 2025 г.) [5] Kaspersky Securelist — „Атаки на Stan Ghouls в Русия и Узбекистан: NetSupport RAT и потенциалният интерес от IoT“ (фев 5, 2026)https://securelist.com/stan-ghouls-in-uzbekistan/118738/ [6] The Hacker News — "Bloody Wolf Targets Uzbekistan, Russia Using NetSupport RAT" (Февруари 2026)https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html [7]Infosecurity Magazine — "Кървав вълк заплаха актьор разширява дейността си в Централна Азия" (декември 2025) [9]Pressa.uz — Отговор на банковия сектор и докладване за спиране на микрокредитирането (Февруари 2026 г.) [10]Brinztech — „Изтичане на данни от 21+ милиона граждани на Узбекистан за продажба“ (31 юли 2025 г.); „Масивно нарушаване на данните в Uzbekistan Airways“ (20 август 2025 г.)brinztech.com — 21M списък · brinztech.com — нарушение на Airways [11] NIST Cybersecurity Framework (CSF) 2.0, ISO 27001:2022, CIS Controls v8 [12] Закон на Узбекистан за личните данни (No ZRU-547, октомври 2019 г.) Закон за киберсигурността на Узбекистан (No ZRU-764, Apr 2022) Президентски указ No PP-153 (април 2025 г.) [15]Gazeta.uz — "Узбекистан кибератака разкри 60 000 записи, а не данни от 15 милиона граждани" (Февруари 13, 2026)https://www.gazeta.uz/en/2026/02/13/data-leak/ [16]Gazeta.uz — "Киберпрестъпленията в Узбекистан се увеличават 68-кратно за пет години" (Май 31, 2025), цитирайки Министерството на вътрешните работи Център за киберпрестъпностhttps://www.gazeta.uz/en/2025/05/31/cybercrime/ [17]UzDaily.uz — Узбекистан–2030 Стратегия, $5B IT износ цел (Jan 2, 2026)https://www.uzdaily.uz/en/uzbekistan-plans-to-increase-international-internet-capacity... [18]Euronews — "Узбекистан ICT Week 2025" (Септември 26, 2025)https://www.euronews.com/next/2025/09/26/uzbekistans-ict-week-2025... [19]Закон за обмена на кредитна информация (No ZRU-1043, 4 март 2025 г.)yuz.uz — Закон за кредитната забрана [20]Newsline Узбекистан — 150K кредитна забрана регистрация като на Октомври 1, 2025https://newslineuz.com/article/1220891/ [21]Yuz.uz — 438K кредитна забрана регистрация на 1 януари, 2026yuz.uz — 440K регистрация [22]UzDaily.uz — "Повече от 11.2 милиона кибератаки са започнали срещу уеб ресурси в Узбекистан" (2024)https://www.uzdaily.uz/en/over-112-million-cyber-attacks...
