Executive Zusammenfassung Ende Januar 2026 wurden drei staatliche Informationssysteme in Usbekistan über einen Zeitraum von vier Tagen (27-30 Januar) von Cyberangriffen angegriffen, wodurch ungefähr 60.000 eindeutige Datensätze ausgesetzt wurden. Erste Behauptungen, die auf Social Media und Reddit zirkulierten, schlugen vor, dass bis zu 15 Millionen Bürgerdaten durch einen Bruch des zentralen OAuth-Servers der e-Gov-Plattform (E-Gov) kompromittiert wurden. Nach einer offiziellen Untersuchung bestätigte der Minister für Digitale Technologien, Sherzod Shermatov, am 12. Februar, dass der tatsächliche Umfang deutlich kleiner war. . [15] [1][3] 15] Die Regierung Usbekistans reagierte umgehend und startete eine Untersuchung über ihr Cybersicherheitszentrum und gründete eine operative Task Force. In den Tagen nach der ersten Offenlegung wurde die Ausgabe von Online-Mikrokrediten als Vorsichtsmaßnahme vorübergehend ausgesetzt, und die Banken verstärkten ihre Sicherheitspositionen. . [1][2] [9] Dieser Vorfall tritt vor dem Hintergrund eskalierender Cyberbedrohungen auf – mit über 7 Millionen Cyberbedrohungen im Jahr 2024 und 107 Millionen im Jahr 2025 verhindert [15], und einem 68-fachen Anstieg der Cyberkriminalität in den letzten fünf Jahren (von 863 Verbrechen im Jahr 2019 auf 58.800 im Jahr 2024) [16]. (auch verfolgt als ) die gezielte Operationen gegen Regierungsbehörden und Finanzinstitute in ganz Zentralasien, einschließlich Usbekistan, durchgeführt hat Obwohl es keine direkte Beziehung zwischen Bloody Wolf und diesem spezifischen Verstoß gegeben hat, unterstreicht die anhaltende Konzentration der Gruppe auf die Region das zunehmend anspruchsvolle Bedrohungsumfeld, mit dem die digitale Infrastruktur Usbekistans konfrontiert ist. Bloody Wolf Stan Ghouls [4][5] 1. Was passiert ist Zwischen dem 27. und 30. Januar 2026 wurden Informationssysteme von drei Regierungsbehörden in Usbekistan von Cyberangriffen angegriffen [15]. Am oder um den 1. und 2. Februar wurden Links zu mehreren Ressourcen, einschließlich Darknet-Plattformen, auf sozialen Medien und Reddit geteilt, die behaupteten, dass Daten aus den Regierungsinformationssystemen Usbekistans online gepostet worden waren. Die Daten stammen angeblich aus staatlichen Informationssystemen, wobei der zentrale OAuth-Authentifizierungsserver der e-Gov-Plattform als potenzieller Kompromisspunkt identifiziert wurde. . [1] [1][3] Der OAuth-Server dient als vertrauenswürdiges einziges Sign-on-Gateway, das es Bürgern und Institutionen ermöglicht, über eine breite Palette von staatlichen und nichtstaatlichen Diensten zu authentifizieren. Bestätigter Umfang (Update vom 12. Februar) Laut der Pressekonferenz des Ministers für Digitale Technologien Sherzod Shermatov am 12. Februar 2026 [15]: Ungefähr 60.000 eindeutige Datensätze wurden ausgesetzt (individuelle Dateneinheiten, nicht 60.000 Bürger) Die ursprüngliche Behauptung von 15 Millionen Bürgerregistern wurde als ungenau zurückgewiesen C7 Cybersecurity-Spezialisten bestätigten, dass die Stichprobe des Angreifers nur 5.522 Aufzeichnungen enthielt, zusammen mit 24 Fotos von Mitarbeitern des Innenministeriums, 15.874 Aufzeichnungen von medizinischen Mitarbeitern von der National Social Protection Agency und 446 Hypotheken-Aufzeichnungen von der Hypotheken-Refinanzierungsgesellschaft. Weitere unbefugte Zugriffsversuche wurden blockiert und technische Sicherheitsmaßnahmen verstärkt. Zusätzliche Schutzmaßnahmen wurden im Unified Identification System (OneID) implementiert Systeme identifiziert als potenziell betroffen Basierend auf Berichten mehrerer glaubwürdiger usbekischer Nachrichtenagenturen wie Gazeta.uz, UzDaily.uz und Zamin.uz : [1][2][3] Nationale Agentur für Sozialschutz (IHMA.UZ) – medizinische Aufzeichnungen und Daten zum Sozialschutz Staatliche Statistikkommission (STAT.UZ) – demografische und Volkszählungsdaten Hypothekenrefinanzierungsgesellschaft (UZMRC.UZ) – Finanz- und Wohnungsunterlagen Systeme des Innenministeriums – Bürgerdaten im Zusammenhang mit der Strafverfolgung Universitäts- und Bildungsportale – Studenten- und Fakultätsrekorde Bank- und Handelsorganisationsportale – Daten zur finanziellen Authentifizierung Potenziell Exponierte Datentypen Data Category Details Personal Identifiers Full name, date of birth, internal user ID Contact Information Phone number, email address, residential address Identity Documents Passport number and related details Authentication Data Logins, passwords, user photographs Sensitive Records Workplace details, medical histories, government service records Persönliche Identifikatoren Vollständiger Name, Geburtsdatum, interne Benutzer-ID Kontaktinformationen Telefonnummer, E-Mail-Adresse, Wohnsitzadresse Identitätsdokumente Passnummer und damit verbundene Angaben Authentifizierungsdaten Logins, Passwörter, Benutzerfotos Sensible Aufzeichnungen Arbeitsplatzdetails, medizinische Geschichte, Regierungsdienstdaten 2. Wie es passiert ist Während die offizielle Untersuchung durch das Cybersecurity Center in Usbekistan noch im Gange ist, haben Cybersecurity-Experten vorläufige Bewertungen der wahrscheinlichen Angriffsvektoren angeboten. Der zentrale OAuth-Server als einziger Eingangspunkt Der e-Government-OAuth-Server fungiert als Authentifizierungsrahmen für Dutzende miteinander verbundener Dienste. OAuth 2.0 ist ein Branchenstandard-Autorisierungsrahmen, der weltweit weit verbreitet wird. Wie jedoch von Sicherheitsforschern weltweit festgestellt wird, sind OAuth-Implementierungen inhärent anfällig für Fehlkonfiguration, wenn sie nicht kontinuierlich auditiert und gestärkt werden. Supply Chain Attack Hypothese Dmitry Paleyev, Direktor des Unternehmens-Cyber-Sicherheitsunternehmens ONESEC, schlug vor, dass dies möglicherweise kein einzelner Einbruch war, sondern eher ein Angriff auf die Lieferkette. In solchen Szenarien kann das Kompromittieren einer Komponente innerhalb einer verbundenen Infrastruktur einen Seitenzugang zu anderen Systemen im gleichen Netzwerk gewähren. [1] Mitwirkende Faktoren im Kontext Das Land zielt darauf ab, 70% der öffentlichen Dienstleistungen zu digitalisieren und seine IT-Dienstleistungen bis 2030 im Rahmen der Strategie Usbekistan-2030 auf 5 Milliarden US-Dollar zu exportieren. Mehr als 760 öffentliche Dienste wurden bereits digitalisiert, wobei jährlich rund 10 Millionen Bürger digitale Plattformen nutzen. Der Vorfall unterstreicht eine universelle Herausforderung: Die Notwendigkeit, dass die Reife der Cybersicherheit mit der digitalen Adoption Schritt für Schritt zunimmt. [17]. [18] Expertenperspektive: „Die tatsächliche Bedrohung kann stark übertrieben sein und möglicherweise nicht der Realität entspricht. Wie die Erfahrung zeigt, werden diese Daten oft stark übertrieben und aus verschiedenen Quellen zusammengestellt, einschließlich alter Daten und Daten, die aus verschiedenen Systemen gesammelt werden.“ – Dmitry Paleyev, Direktor, ONESEC [1] Expertenperspektive: „Die tatsächliche Bedrohung kann stark übertrieben sein und möglicherweise nicht der Realität entspricht. Wie die Erfahrung zeigt, werden diese Daten oft stark übertrieben und aus verschiedenen Quellen zusammengestellt, einschließlich alter Daten und Daten, die aus verschiedenen Systemen gesammelt werden.“ – Dmitry Paleyev, Direktor, ONESEC [1] Die Expertenperspektive: 3. Regierungsreaktion Die Regierung Usbekistans hat eine proaktive und organisierte Reaktion demonstriert.Mehrere Agenturen haben rasch gehandelt, um öffentliche Bedenken anzugehen, Untersuchungen einzuleiten und Leitlinien für die Bürger zu erteilen. . [1][2] Antwort Timeline Date Action Jan 27–30 Three government information systems targeted by cyberattacks [15] Feb 1–2 Links to darknet resources shared on Reddit and social media [1] Feb 3 Cybersecurity Center confirmed investigation launch; issued public guidance [1] Feb 3 National Social Protection Agency confirmed cyberattack on archival database; task force established [2] Feb 3 Statistics Committee confirmed census data stored encrypted on separate servers [1] Feb 3–4 Tax Committee and Interior Ministry denied breaches; systems functioning normally [1] Feb 5–6 Online microcredit issuance suspended; Central Bank reinforced oversight [9] Feb 12 Minister Shermatov confirmed ~60,000 records exposed; additional OneID safeguards [15] Jan 27 bis 30 Drei staatliche Informationssysteme, die von Cyberangriffen betroffen sind [15] Feb 1 bis 2 Links zu Darknet-Ressourcen, die auf Reddit und Social Media geteilt werden [1] Feb 3 Cybersecurity Center bestätigt Ermittlungsstart; veröffentlicht öffentliche Leitlinien [1] Feb 3 Nationale Agentur für Sozialschutz bestätigt Cyberangriff auf Archivdatenbank; Arbeitsgruppe eingerichtet [2] Feb 3 Statistikkomitee bestätigte die auf separaten Servern verschlüsselten Volkszählungsdaten [1] Feb 3 bis 4 Steuerausschuss und Innenministerium bestritten Verstöße; Systeme funktionieren normal [1] Feb 5 bis 6 Online-Mikrokredite ausgesetzt; Zentralbank verstärkt Aufsicht [9] Feb 12 Minister Shermatov bestätigte ~60.000 Aufzeichnungen ausgesetzt; zusätzliche OneID-Schutzmaßnahmen [15] 4. Auswirkungen auf den Finanzsektor Aussetzung von Mikrokrediten Usbekistan suspendierte vorübergehend die Online-Mikrokreditvergabe nach Berichten, dass kompromittierte Bürgerdaten verwendet werden könnten, um mikrokredite betrügerisch zu erhalten Diese Aktion, obwohl disruptiv, spiegelt einen verantwortungsvollen Ansatz zum Schutz der Bürger vor sekundärer Ausbeutung wider. [9] Reaktion des Bankensektors Mehrere Banken verstärkten ihre Authentifizierungs- und Überwachungssysteme.Die Zentralbank hielt fest, dass die Kernbankinfrastruktur nicht direkt beeinträchtigt worden war [2]. Freiwilliger Kreditverbot Usbekistan führte im Juni 2025 einen freiwilligen Kreditverbotsservice ein, der es Bürgern erlaubt, die Ausstellung von Darlehen ohne persönliche Genehmigung zu verbieten (Gesetz Nr. ZRU-1043) Bis Oktober 2025 hatten sich rund 150.000 Bürger registriert. Bis zum 1. Januar 2026 war die Einschreibung auf über 438.000 gestiegen. Die Verletzung wird voraussichtlich die Adoption weiter beschleunigen. [19] [20] [21] Cyberkriminalität im Wachstumskontext Nach Angaben des Zentrums für Cyberkriminalität des Innenministeriums hat Usbekistan zwischen 2019 und 2024 eine 68-fache Zunahme der Cyberkriminalität erlebt – von 863 Verbrechen in 18 Kategorien auf 58.800 in 62 Kategorien. Zwischen 2021 und 2024 führten Cyberkriminalität zum Diebstahl von mehr als 1,9 Billionen Summen ($148,9 Millionen) von Bürgern. . [16] [16] Aktive Bedrohungslandschaft: Bloody Wolf Unabhängig von dieser Verletzung hat die veröffentlichte Forschung führender Cybersicherheitsfirmen eine anhaltende Bedrohungsaktivität dokumentiert, die sich auf die Region richtet. Threat Actor Übersicht Eine Bedrohungsgruppe, die als — auch von Kaspersky als - seit mindestens Ende 2023 gezielte Operationen gegen Organisationen in Zentralasien durchführt.Die Gruppe zielt vor allem auf Regierungsbehörden, Finanzinstitute und IT-Unternehmen ab. Laut Kaspersky scheint die primäre Motivation finanzieller Gewinn zu sein, obwohl ihre Methoden auch Cyber-Spionage-Fähigkeiten vorschlagen. . Bloody Wolf Stan Ghouls [5] [4] [5] Timeline der Aktivitäten Period Activity Late 2023 Group first identified, targeting Kazakhstan and Russia [5] May 2025 Kaspersky first flags NetSupport RAT config [5] Jun 2025 Campaign in Kyrgyzstan targeting government, financial, IT sectors [4] Oct 2025 Operations expand to Uzbekistan [4] Nov 2025 Group-IB / UKUK publish joint advisory [4] Feb 5, 2026 Kaspersky identifies ~50 victims in Uzbekistan, 60+ total [5] Ende 2023 Gruppe zuerst identifiziert, zielt auf Kasachstan und Russland [5] Mai 2025 Kaspersky erstmals NetSupport RAT konfigurieren [5] Juni 2025 Kampagne in Kirgisistan, die sich auf Regierungs-, Finanz- und IT-Sektoren richtet [4] Oktober 2025 Operationen expandieren nach Usbekistan [4] Neuer 2025 Gruppe-IB / UKUK veröffentlichen gemeinsame Beratungsergebnisse [4] Februar 5, 2026 Kaspersky identifiziert ~50 Opfer in Usbekistan, 60+ insgesamt [5] Schlüsselfunde Dokumentation einer anhaltenden Kampagne von Bloody Wolf, die sich auf Regierungsstrukturen und Finanzsysteme in Kirgisistan und Usbekistan richtet, anspruchsvolle Sozialtechnik anwendet und Regierungsministerien darstellt . Group-IB / UKUK (November 2025): [4][3] Identifiziert ~50 kompromittierte Organisationen in Usbekistan in den Bereichen Fertigung, Finanzen und IT. Etwa 10 Geräte in Russland waren ebenfalls betroffen. Die Gruppe verwendete Spear-Phishing-E-Mails auf Russisch und Usbekisch. . Kaspersky Securelist (February 5, 2026): [5] Kampagnen, die von The Hacker News gedeckt wurden Infosicherheit Magazin SC Media und Cyberpress. Media Coverage: [6] [7], Wichtige Hinweise zur Attribution Es gibt keinen öffentlich bestätigten direkten Zusammenhang zwischen Bloody Wolf / Stan Ghouls und dem Verstoß gegen die Regierungsbehörden im Januar 2026. Jedoch illustriert die dokumentierte Targeting der Gruppe der usbekischen Regierungssysteme die fortgeschrittene und anhaltende Natur der Bedrohungen, denen die digitale Infrastruktur des Landes ausgesetzt ist. Vorherige Cybersicherheitsvorfälle Date Incident Source 2023 Over 11.2 million cyberattacks on web resources [22] 2024 Over 7 million cyber threats prevented [15] 2025 Over 107 million cyber threats prevented [15] Jul 2025 Hacker forum listing: 21M citizen records for sale [10] Aug 2025 Uzbekistan Airways data breach — passports, system credentials [10] 2023 Über 11,2 Millionen Cyberangriffe auf Web-Ressourcen [22] der 2024 Mehr als sieben Millionen Cyber-Bedrohungen verhindert [15] der 2025 Über 107 Millionen Cyber-Bedrohungen verhindert [15] der Weihnachten 2025 Hacker-Forum-Liste: 21 Millionen Bürgerrekorde zum Verkauf [10] Die Aug 2025 Usbekistan Airways Datenverletzung – Pässe, Systeminformationen [10] Die 7. Rechts- und Regulierungsrahmen Gesetz über personenbezogene Daten (Nr. ZRU-547): Wirksam im Oktober 2019, regelt die Verarbeitung und den Schutz personenbezogener Daten [12] Gesetz über die Cybersicherheit (Nr. ZRU-764): Verabschiedet im April 2022, mit dem der nationale Rahmen für die Cybersicherheit festgelegt wird [13] Gesetz über den Austausch von Kreditinformationen (Nr. ZRU-1043): Unterzeichnet im März 2025 mit der Einführung freiwilliger Kreditverbote [19] Präsidiales Dekret Nr. PP-153 (April 2025): Pflichtbenachrichtigungen über Datenverletzungen und Haftung für Datenvorfälle [14] 8. Remediationsrahmen Basierend auf NIST CSF 2.0, ISO 27001:2022 und CIS Controls v8 : [11] Phase 1: Sofortige Beschränkung Isolieren und Auditieren des OAuth-Servers – vollständige forensische Audits einschließlich Token-Emissionslogs, Sitzungsdaten, API-Zugriffsmuster Pflichtüberweisungswiederherstellung – Passwortwiederherstellung durchsetzen; alle OAuth-Token und Sitzungs-Cookies ungültig machen MFA aktivieren – über alle Regierungsportale und partizipative Anwendungen Alle API-Schlüssel widerrufen und rotieren – alle geteilten Geheimnisse und Clientgeheimnisse im OAuth-Ökosystem Dark Web-Monitoring – Einsatz von Bedrohungsintelligenzdiensten zur Verfolgung kompromittierter Datenverteilung Phase 2: Strukturelles Hardening Zero Trust Architecture – Überprüfen jeder Zugriffsanfrage; Implementieren von Mikro-Segmentierung SIEM und EDR einsetzen – kontinuierliche Überwachung und schnelle Bedrohungserkennung Privilegierter Zugriffsmanagement – Kontrolle und Prüfung des privilegierten Zugangs zur Authentifizierungsinfrastruktur Netzwerk-Segmentierung – Kritische Authentifizierungssysteme von allgemeinem Traffic isolieren Regelmäßige Penetrationstests – regelmäßige rote Teamsübungen auf Regierungssystemen Phase 3: Langfristige Resilienz Entwicklung der nationalen Cybersicherheitsarbeitskräfte Incident-Response-Planung – Entwicklung und regelmäßige Prüfung umfassender IR-Pläne Supply Chain Security Audits – laufende Bewertungen von Drittanbietern Kampagnen zur Sensibilisierung der Öffentlichkeit – Bildung der Bürger über Passworthygiene, Phishing, Datenschutz 9. Empfohlene Maßnahmen für die Bürger Nach Anleitung des Cybersecurity Centers und des Ministeriums für digitale Technologien [1][15]: Ändern Sie alle Passwörter sofort, insbesondere für Regierungsdienste Zwei-Faktor-Authentifizierung auf allen Konten aktivieren Teilen Sie keine persönlichen Informationen mit unbekannten Parteien Vermeiden Sie verdächtige Websites und Links, die Sie per E-Mail oder Nachrichten erhalten Verwenden Sie starke, einzigartige Passwörter für Regierungs- und Finanzdienstleistungen Finanzielle Konten überwachen – überlegen Sie, das freiwillige Kreditverbot über my.gov.uz zu aktivieren Melden Sie verdächtige Aktivitäten an das Cybersecurity Center und die Strafverfolgungsbehörden Seien Sie vorsichtig gegen Social Engineering – Angreifer können sich als Bankangestellte darstellen und bekannte persönliche Daten zitieren, um SMS-Codes anzufordern [15] 10. Quellen und Referenzen [1]Gazeta.uz — „Uzbekistan untersucht mutmaßliches Leck von personenbezogenen Daten von Bürgern im Darknet“ (Feb 4, 2026)https://www.gazeta.uz/en/2026/02/04/darknet/ [2]UzDaily.uz — „Uzbekistans National Social Protection Agency Confirms Cyberattack on Archival Data“ (Feb 2026)https://www.uzdaily.uz/en/uzbekistans-national-social-protection-agency-confirms-cyberattack-on-archival-data/ [3]Zamin.uz — „Es wird gesagt, dass die Daten von 15 Millionen Bürgern gelekt worden sind“ (Feb 3, 2026)https://zamin.uz/en/society/185508 [4]Group-IB / UKUK — Gemeinsame Beratungsgespräche zu den Operationen von Bloody Wolf APT in Kirgisistan und Usbekistan (November 2025) [5] Kaspersky Securelist — „Stan Ghouls-Angriffe in Russland und Usbekistan: NetSupport RAT und potenzielles IoT-Interesse“ (Feb 5, 2026)https://securelist.com/stan-ghouls-in-uzbekistan/118738/ [6]The Hacker News — "Bloody Wolf Ziele Usbekistan, Russland mit NetSupport RAT" (Feb 2026)https://thehackernews.com/2026/02/bloody-wolf-targets-usbekistan-russia.html [7]Infosecurity Magazine — „Bloody Wolf Threat Actor Expands Activity across Central Asia“ (Dezember 2025) [9]Pressa.uz — Reaktion des Bankensektors und Berichterstattung über die Aussetzung von Mikrokrediten (Februar 2026) [10]Brinztech — „Data Leak of 21+ Million Uzbekistan Citizens on Sale“ (Juli 31, 2025); „Massive Data Breach at Uzbekistan Airways“ (Aug 20, 2025)brinztech.com — 21M Listing · brinztech.com — Airways Breach [11]NIST Cybersecurity Framework (CSF) 2.0, ISO 27001:2022, CIS Controls v8 [12]Uzbekistan Gesetz über personenbezogene Daten (Nr. ZRU-547, Oktober 2019) [13] Gesetz von Usbekistan über Cybersicherheit (Nr. ZRU-764, Apr 2022) [14]Präsidentschaftliches Dekret Nr. PP-153 (Apr 2025) [15]Gazeta.uz — „Uzbekistan-Cyberangriff enthüllte 60.000 Datensätze, nicht Daten von 15 Millionen Bürgern“ (Feb 13, 2026)https://www.gazeta.uz/en/2026/02/13/data-leak/ [16]Gazeta.uz — „Cyberkriminalität in Usbekistan ist in fünf Jahren 68-fach gestiegen“ (Mai 31, 2025), zitiert das Ministerium für Inneres Cybercrime Centerhttps://www.gazeta.uz/en/2025/05/31/cybercrime/ [17]UzDaily.uz — Usbekistan–2030 Strategie, $5B IT-Exportziel (Januar 2, 2026)https://www.uzdaily.uz/en/uzbekistan-plans-to-increase-international-internet-kapazität... [18]Euronews — "Uzbekistan ICT Week 2025" (September 26, 2025)https://www.euronews.com/next/2025/09/26/uzbekistans-ict-week-2025... [19]Gesetz über den Austausch von Kreditinformationen (Nr. ZRU-1043, 4. März 2025)yuz.uz — Kreditverbotgesetz [20]Newsline Usbekistan — 150K Kreditverbot Anmeldung ab Oktober 1, 2025https://newslineuz.com/article/1220891/ [21]Yuz.uz — 438K Kreditverbot Anmeldung zum 1. Januar 2026yuz.uz — 440K Anmeldung [22]UzDaily.uz — „Über 11,2 Millionen Cyber-Attacken wurden gegen Web-Ressourcen in Usbekistan gestartet“ (2024)https://www.uzdaily.uz/en/over-112-million-cyber-attacks...
