Podsumowanie wykonawcze Pod koniec stycznia 2026 roku trzy rządowe systemy informacyjne w Uzbekistanie były celem ataków cybernetycznych w okresie czterech dni (od 27 do 30 stycznia), co doprowadziło do ujawnienia około 60 000 unikalnych rekordów danych. Początkowe roszczenia krążące w mediach społecznościowych i Reddit sugerują, że do 15 milionów rekordów obywateli zostało naruszonych przez naruszenie centralnego serwera OAuth platformy e-rządu (E-Gov). Jednak po oficjalnym dochodzeniu minister ds. technologii cyfrowych Sherzod Shermatov potwierdził 12 lutego, że rzeczywisty zakres jest znacznie mniejszy. . [15] [1][3] 15] Rząd Uzbekistanu zareagował natychmiast, rozpoczynając dochodzenie za pośrednictwem Centrum Bezpieczeństwa Cybernetycznego i tworząc operacyjną grupę roboczą W dniach następujących po pierwszym ujawnieniu, emisja mikrokredytów online została tymczasowo zawieszona jako środek ostrożności, a banki wzmocniły swoje postawy bezpieczeństwa. . [1][2] [9] Incydent ten ma miejsce na tle eskalacji zagrożeń cybernetycznych – z ponad 7 milionami zagrożeń cybernetycznych zapobiegniętych w 2024 roku i 107 milionami w 2025 roku [15], a także 68-krotnym wzrostem cyberprzestępczości w ciągu ostatnich pięciu lat (z 863 przestępstw w 2019 roku do 58 800 w 2024 roku) [16]. (Również wyświetlany jako prowadził ukierunkowane operacje przeciwko agencjom rządowym i instytucjom finansowym w całej Azji Środkowej, w tym w Uzbekistanie Chociaż nie dokonano bezpośredniego przypisania między Bloody Wolf a tym konkretnym naruszeniem, ciągła koncentracja grupy na regionie podkreśla coraz bardziej wyrafinowane środowisko zagrożeń, przed którymi stoi infrastruktura cyfrowa Uzbekistanu. Bloody Wolf Stan Ghouls [4][5] 1 Co się stało Między 27 a 30 stycznia 2026 r. systemy informacyjne trzech agencji rządowych w Uzbekistanie były celem ataków cybernetycznych [15]. W dniach 1–2 lutego lub około tego dnia linki do kilku zasobów, w tym platform darknet, zostały udostępnione w mediach społecznościowych i Reddit twierdząc, że dane z systemów informacyjnych rządu Uzbekistanu zostały opublikowane w Internecie. Dane były rzekomo pochodzące z rządowych systemów informacyjnych, a centralny serwer uwierzytelniania OAuth platformy e-rządu (E-Gov) został zidentyfikowany jako potencjalny punkt kompromisu. . [1] [1][3] Serwer OAuth służy jako zaufana pojedyncza brama logowania, umożliwiająca obywatelom i instytucjom uwierzytelnianie w szerokim zakresie usług rządowych i pozarządowych. Potwierdzony zakres (aktualizacja 12 lutego) Według Ministerstwa Technologii Cyfrowych Sherzod Shermatov na konferencji prasowej 12 lutego 2026 [15]: Ujawniono około 60 000 unikalnych rekordów danych (indywidualne jednostki danych, a nie 60 000 obywateli) Pierwotny zarzut 15 milionów rekordów obywateli został odrzucony jako niedokładny Specjaliści od cyberbezpieczeństwa C7 potwierdzili, że próbka napastnika zawierała tylko 5,522 rekordy, wraz z 24 zdjęciami pracowników Ministerstwa Spraw Wewnętrznych, 15 874 rekordami pracowników medycznych z Narodowej Agencji Ochrony Społecznej i 446 rekordami kredytów hipotecznych z Hipoteki Refinancing Company. Dalsze nieautoryzowane próby dostępu zostały zablokowane, a środki bezpieczeństwa technicznego wzmocnione. Dodatkowe zabezpieczenia zostały wdrożone w Unified Identification System (OneID) Systemy zidentyfikowane jako potencjalnie dotknięte Na podstawie doniesień wielu wiarygodnych uzbeckich mediów, w tym Gazeta.uz, UzDaily.uz i Zamin.uz : [1][2][3] Krajowy Urząd Ochrony Społecznej (IHMA.UZ) – dokumentacja medyczna i dane dotyczące ochrony socjalnej Państwowy Komitet Statystyczny (STAT.UZ) – dane demograficzne i dotyczące spisu ludności Spółka refinansująca kredyty hipoteczne (UZMRC.UZ) – rejestry finansowe i mieszkaniowe Systemy Ministerstwa Spraw Wewnętrznych – dane obywateli dotyczące egzekwowania prawa Portale uniwersytetów i instytucji edukacyjnych – rejestry studentów i wykładowców Portale organizacji bankowych i handlowych – dane dotyczące uwierzytelniania finansowego Rodzaje danych potencjalnie narażone Data Category Details Personal Identifiers Full name, date of birth, internal user ID Contact Information Phone number, email address, residential address Identity Documents Passport number and related details Authentication Data Logins, passwords, user photographs Sensitive Records Workplace details, medical histories, government service records Identyfikator osobisty Imię i nazwisko, data urodzenia, wewnętrzny identyfikator użytkownika Informacje kontaktowe Numer telefonu, adres e-mail, adres zamieszkania dokumenty tożsamości Numer paszportu i powiązane dane Dane autentyczne Loginy, hasła, zdjęcia użytkowników Wrażliwe rekordy Szczegóły o miejscu pracy, historia medyczna, rejestry służb rządowych 2 Jak to się stało Podczas gdy oficjalne śledztwo Centrum Bezpieczeństwa Cybernetycznego w Uzbekistanie wciąż trwa, eksperci od cyberbezpieczeństwa zaproponowali wstępne oceny możliwych wektorów ataku. Centralny serwer OAuth jako pojedynczy punkt wejścia Serwer e-rządowy OAuth działa jako rdzeń uwierzytelniania dla kilkudziesięciu połączonych usług. OAuth 2.0 to standardowe ramy autoryzacji branżowe szeroko stosowane na całym świecie. Jednak, jak zauważają badacze bezpieczeństwa na całym świecie, wdrożenia OAuth są z natury podatne na błędną konfigurację, jeśli nie są stale audytowane i wzmacniane. Hipoteza ataku łańcucha dostaw Dmitrij Palejew, dyrektor korporacyjnej firmy zajmującej się cyberbezpieczeństwem ONESEC, zasugerował, że może to nie być pojedyncze pojedyncze naruszenie, ale atak na łańcuch dostaw. W takich scenariuszach naruszenie jednego elementu w połączonej infrastrukturze może umożliwić dostęp do innych systemów w tej samej sieci. [1] Czynniki wpływające w kontekście Uzbekistan przechodzi szybką transformację cyfrową, z znacznymi inwestycjami w usługi e-rządowe. kraj ma na celu cyfryzację 70% usług publicznych i rozszerzenie eksportu usług informatycznych do 5 mld USD do 2030 roku w ramach strategii Uzbekistan-2030 Ponad 760 usług publicznych zostało już zdigitalizowanych, przy czym rocznie około 10 milionów obywateli korzysta z platform cyfrowych. Incydent podkreśla powszechne wyzwanie: konieczność zwiększenia dojrzałości cyberbezpieczeństwa wraz z adopcją cyfrową. [17]. [18] Perspektywa eksperta: „Prawdziwe zagrożenie może być bardzo przesadzone i może nie odpowiadać rzeczywistości. Jak pokazuje doświadczenie, dane te są często bardzo przesadzone i zbierane z różnych źródeł, w tym starych danych i danych zebranych z różnych systemów.” — Dmitry Paleyev, Dyrektor ONESEC [1] Perspektywa eksperta : Jak pokazuje doświadczenie, dane te są często bardzo przesadzone i zbierane z różnych źródeł, w tym starych danych i danych zebranych z różnych systemów.” – Dmitry Paleyev, Dyrektor ONESEC [1] Perspektywa eksperta : Reakcja rządu Rząd Uzbekistanu wykazał proaktywną i zorganizowaną reakcję.Wiele agencji działało szybko, aby odpowiedzieć na obawy społeczeństwa, inicjować dochodzenia i wydawać wskazówki obywatelom . [1][2] Odpowiedź Timeline Date Action Jan 27–30 Three government information systems targeted by cyberattacks [15] Feb 1–2 Links to darknet resources shared on Reddit and social media [1] Feb 3 Cybersecurity Center confirmed investigation launch; issued public guidance [1] Feb 3 National Social Protection Agency confirmed cyberattack on archival database; task force established [2] Feb 3 Statistics Committee confirmed census data stored encrypted on separate servers [1] Feb 3–4 Tax Committee and Interior Ministry denied breaches; systems functioning normally [1] Feb 5–6 Online microcredit issuance suspended; Central Bank reinforced oversight [9] Feb 12 Minister Shermatov confirmed ~60,000 records exposed; additional OneID safeguards [15] Jan 27 – 30 Trzy rządowe systemy informacyjne celowane przez ataki cybernetyczne [15] Czerwiec 1–2 Linki do zasobów darknet udostępnionych na Reddit i mediach społecznościowych [1] Feb 3 Centrum Cyberbezpieczeństwa potwierdziło uruchomienie dochodzenia; wydało wytyczne publiczne [1] Feb 3 Krajowy Urząd Ochrony Społecznej potwierdził cyberatak na bazę danych archiwalnych; utworzono grupę roboczą [2] Feb 3 Komitet Statystyczny potwierdził dane spisu przechowywane szyfrowane na oddzielnych serwerach [1] Wrz 3–4 Komisja Podatkowa i Ministerstwo Spraw Wewnętrznych zaprzeczyły naruszeniom; systemy funkcjonują normalnie [1] Wrz 5–6 Internetowy mikrokredyt zawieszony; Bank Centralny wzmocnił nadzór [9] Feb 12 Minister Shermatov potwierdził ~60 000 eksponowanych rekordów; dodatkowe zabezpieczenia OneID [15] Wpływ na sektor finansowy Zawieszenie mikrokredytów Uzbekistan tymczasowo zawiesił udzielanie mikrokredytów online po doniesieniach, że naruszone dane obywateli mogły zostać wykorzystane do oszukańczego uzyskania mikrokredytów Działanie to, choć zaburzające, odzwierciedla odpowiedzialne podejście do ochrony obywateli przed wtórnym wykorzystywaniem. [9] Odpowiedź sektora bankowego Wiele banków wzmocniło swoje systemy uwierzytelniania i monitorowania. Dobrowolny zakaz kredytowania Uzbekistan wprowadził dobrowolną usługę zakazu kredytu w czerwcu 2025 roku, umożliwiając obywatelom zakaz udzielania pożyczek bez osobistego zezwolenia (ustawa nr ZRU-1043) Do października 2025 r. około 150 000 obywateli zarejestrowało się Do 1 stycznia 2026 roku liczba zgłoszeń wzrosła do ponad 438.000. Oczekuje się, że naruszenie przyspieszy adopcję. [19] [20] [21] Kontekst cyberprzestępczości Według Centrum ds. Cyberprzestępczości Ministerstwa Spraw Wewnętrznych, w latach 2019-2024 Uzbekistan odnotował 68-krotny wzrost cyberprzestępczości – z 863 przestępstw w 18 kategoriach do 58 800 w 62 kategoriach. W latach 2021-2024 cyberprzestępczość doprowadziła do kradzieży ponad 1,9 biliona sum ($148,9 mln) od obywateli. . [16] [16] Aktywny krajobraz zagrożenia: Krwawy Wilk Niezależnie od tego naruszenia, opublikowane badania wiodących firm cyberbezpieczeństwa udokumentowały utrzymującą się aktywność zagrożeń w regionie. Ogólny przegląd zagrożenia Grupa zagrożeń śledzona jako — również zidentyfikowane przez Kaspersky jako - prowadzi ukierunkowane operacje przeciwko organizacjom w Azji Środkowej od co najmniej końca 2023 r. Grupa koncentruje się przede wszystkim na agencjach rządowych, instytucjach finansowych i firmach IT Według Kaspersky główną motywacją wydaje się być zysk finansowy, chociaż ich metody sugerują również możliwości szpiegostwa cybernetycznego . Bloody Wolf Stan Ghouls [5] [4] [5] Timeline aktywności Period Activity Late 2023 Group first identified, targeting Kazakhstan and Russia [5] May 2025 Kaspersky first flags NetSupport RAT config [5] Jun 2025 Campaign in Kyrgyzstan targeting government, financial, IT sectors [4] Oct 2025 Operations expand to Uzbekistan [4] Nov 2025 Group-IB / UKUK publish joint advisory [4] Feb 5, 2026 Kaspersky identifies ~50 victims in Uzbekistan, 60+ total [5] Wkrótce 2023 Grupa pierwsza zidentyfikowana, ukierunkowana na Kazachstan i Rosję [5] Maj 2025 Kaspersky pierwszy flag NetSupport RAT config [5] czerwiec 2025 Kampania w Kirgistanie ukierunkowana na sektory rządowe, finansowe i informatyczne [4] Oct 2025 r. Operacje rozszerzają się na Uzbekistan [4] Nowy 2025 Grupa-IB / UKUK publikuje wspólne doradztwo [4] Piątek 5, 2026 Kaspersky identyfikuje ~50 ofiar w Uzbekistanie, 60+ łącznie [5] Kluczowe odkrycia Dokumentuje trwałą kampanię Krwawego Wilka ukierunkowaną na struktury rządowe i systemy finansowe w Kirgistanie i Uzbekistanie, wykorzystując wyrafinowaną inżynierię społeczną i udając ministerstwa rządowe . Group-IB / UKUK (November 2025): [4][3] Zidentyfikowano około 50 zagrożonych organizacji w Uzbekistanie w branży produkcyjnej, finansowej i informatycznej. Około 10 urządzeń w Rosji również ucierpiało. Grupa użyła e-maili typu spear-phishing w języku rosyjskim i uzbeckim. Infrastruktura hostowała również złośliwe oprogramowanie Mirai IoT, sugerując potencjalne rozszerzenie zestawu narzędzi (ocenione z niską wiarygodnością) . Kaspersky Securelist (February 5, 2026): [5] Artykuły powiązane z Hacker News Magazyn Infosecurity SC Media i Cyberpress. Media Coverage: [6] [7], Ważna informacja o przyznaniu Nie ma publicznie potwierdzonego bezpośredniego przypisania między Bloody Wolf / Stan Ghouls a naruszeniem agencji rządowych w styczniu 2026 r. Jednak udokumentowane ukierunkowanie grupy na systemy rządowe Uzbekistanu ilustruje zaawansowany i trwały charakter zagrożeń stojących przed infrastrukturą cyfrową kraju. Wcześniejsze incydenty cyberbezpieczeństwa Date Incident Source 2023 Over 11.2 million cyberattacks on web resources [22] 2024 Over 7 million cyber threats prevented [15] 2025 Over 107 million cyber threats prevented [15] Jul 2025 Hacker forum listing: 21M citizen records for sale [10] Aug 2025 Uzbekistan Airways data breach — passports, system credentials [10] 2023 Ponad 11,2 mln ataków cybernetycznych na zasoby internetowe [22] » 2024 Ponad 7 milionów cyberzagrożeń [15 ] 2025 Ponad 107 milionów cyberzagrożeń [15 ] Boże Narodzenie 2025 Hakerzy na forum: 21 mln rekordów obywateli na sprzedaż [10] » Aug 2025 Uzbekistan Airways naruszenie danych – paszporty, dane systemowe [10] » Ramy prawne i regulacyjne Ustawa o danych osobowych (nr ZRU-547): z dniem 1 października 2019 r. reguluje przetwarzanie i ochronę danych osobowych Ustawa o cyberbezpieczeństwie (nr ZRU-764): uchwalona w kwietniu 2022 r., ustanawiająca krajowe ramy cyberbezpieczeństwa [13] Ustawa o wymianie informacji kredytowych (nr ZRU-1043): podpisana w marcu 2025 r., wprowadzająca dobrowolny zakaz kredytowania Dekret Prezydencki nr PP-153 (kwiecień 2025): Obowiązkowe powiadomienia o naruszeniu przepisów i odpowiedzialność prawna za incydenty związane z danymi [14] 8 Ramy naprawcze Na podstawie NIST CSF 2.0, ISO 27001:2022 i CIS Controls v8 : [11] Etap 1: Natychmiastowe zatrzymanie Izolacja i audyt serwera OAuth – pełny audyt sądowy, w tym dzienniki emisji tokenów, rekordy sesji, wzorce dostępu API Obowiązkowe przywracanie wiarygodności – egzekwowanie przywracania hasła; unieważnienie wszystkich tokenów OAuth i plików cookie sesji Umożliwienie MFA – we wszystkich portalach rządowych i aplikacjach partyjnych Odwołanie i obracanie wszystkich kluczy API – wszystkich wspólnych tajemnic i tajemnic klienta w ekosystemie OAuth Monitorowanie ciemnej sieci – zaangażowanie służb wywiadu zagrożeń w śledzenie zagrożonych dystrybucji danych Etap II: Struktura twardości Architektura zerowego zaufania – weryfikacja każdego żądania dostępu; wdrożenie mikro-segmentacji Wdrożenie SIEM i EDR – ciągłe monitorowanie i szybkie wykrywanie zagrożeń Zarządzanie przywilejami dostępu – kontrola i audyt przywilejowego dostępu do infrastruktury uwierzytelniania Segmentacja sieci – odizolowanie krytycznych systemów uwierzytelniania od ogólnego ruchu Regularne testy penetracji – okresowe ćwiczenia czerwonych zespołów na systemach stojących przed rządem Etap III: Odporność długoterminowa Rozwój krajowej siły roboczej w dziedzinie cyberbezpieczeństwa Planowanie reakcji na incydenty – opracowywanie i regularne testowanie kompleksowych planów IR Audyty bezpieczeństwa łańcucha dostaw – bieżące oceny dostawców zewnętrznych Kampanie informacyjne – edukacja obywateli w zakresie higieny haseł, phishingu, ochrony danych 9. Recommended Actions for Citizens Na podstawie wytycznych Centrum Bezpieczeństwa Cybernetycznego i Ministerstwa Technologii Cyfrowych [1][15]: Zmień wszystkie hasła natychmiast, szczególnie w przypadku usług rządowych Umożliwienie uwierzytelniania dwóch czynników na wszystkich kontach Nie udostępniaj danych osobowych nieznanym osobom Unikaj podejrzanych stron internetowych i linków otrzymywanych za pośrednictwem poczty e-mail lub wiadomości Używaj silnych, unikalnych haseł dla rządowych i finansowych usług Monitorowanie rachunków finansowych – rozważ aktywację dobrowolnego zakazu kredytu za pośrednictwem my.gov.uz Zgłoś podejrzaną działalność Centrum Bezpieczeństwa Cybernetycznego i organom ścigania Bądź czujny wobec inżynierii społecznej – atakujący mogą prezentować się jako pracownicy banków i cytować znane dane osobowe, aby zażądać kodów SMS [15] 10 Źródła i odniesienia [1]Gazeta.uz — „Uzbekistan bada rzekomą wyciek danych osobowych obywateli na darknet” (Feb 4, 2026)https://www.gazeta.uz/en/2026/02/04/darknet/ [2]UzDaily.uz — "Narodowa Agencja Ochrony Społecznej Uzbekistanu potwierdza cyberatak na dane archiwalne" (Feb 2026)https://www.uzdaily.uz/en/uzbekistans-national-social-protection-agency-confirms-cyberattack-on-archival-data/ [3]Zamin.uz — „Mówi się, że dane 15 milionów obywateli zostały wyciekły” (Feb 3, 2026)https://zamin.uz/en/society/185508 [4]Group-IB / UKUK — Wspólne doradztwo w sprawie operacji Bloody Wolf APT w Kirgistanie i Uzbekistanie (listopad 2025) [5] Kaspersky Securelist — „Ataki Stan Ghouls w Rosji i Uzbekistanie: NetSupport RAT i potencjalne zainteresowanie IoT” (Feb 5, 2026)https://securelist.com/stan-ghouls-in-Uzbekistan/118738/ [6]The Hacker News — "Bloody Wolf Targets Uzbekistan, Rosja Using NetSupport RAT" (Luty 2026)https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html [7] Magazyn Infosecurity — „Bloody Wolf Threat Actor Rozszerza działalność w Azji Środkowej” (grudzień 2025) [9]Pressa.uz — Odpowiedź sektora bankowego i sprawozdanie z zawieszenia mikrokredytów (czerwiec 2026) [10]Brinztech — „Data Leak of 21+ Million Uzbekistan Citizens on Sale” (31 lipca 2025); „Massive Data Breach at Uzbekistan Airways” (20 sierpnia 2025)brinztech.com — 21M listing · brinztech.com — Airways breach [11]NIST Cybersecurity Framework (CSF) 2.0, ISO 27001:2022, CIS Controls v8 [12]Uzbekistan Ustawa o danych osobowych (nr ZRU-547, październik 2019) [13] Ustawa o cyberbezpieczeństwie w Uzbekistanie (nr ZRU-764, Apr 2022) [14]Rozporządzenie prezydenckie nr PP-153 (kwiecień 2025) [15]Gazeta.uz — "Uzbekistan cyberatak ujawnił 60 000 rekordów, nie dane 15 milionów obywateli" (Feb 13, 2026)https://www.gazeta.uz/en/2026/02/13/data-leak/ [16]Gazeta.uz — „Cyberprzestępczość w Uzbekistanie wzrosła 68-krotnie w ciągu pięciu lat” (maj 31, 2025), cytując Ministerstwo Spraw Wewnętrznych Centrum Cyberprzestępczościhttps://www.gazeta.uz/en/2025/05/31/cyberprzestępczość/ [17]UzDaily.uz — Uzbekistan–2030 Strategia, $5B cel eksportu IT (Jan 2, 2026)https://www.uzdaily.uz/en/uzbekistan-plans-to-increase-international-internet-capacity... [18]Euronews — „Tydzień ICT w Uzbekistanie 2025” (September 26, 2025)https://www.euronews.com/next/2025/09/26/uzbekistans-ict-week-2025... Ustawa o wymianie informacji kredytowych (nr ZRU-1043, 4 marca 2025 r.)yuz.uz – ustawa o zakazie kredytowania [20]Newsline Uzbekistan — 150K zakaz kredytowy rejestracji w dniu 1 października 2025https://newslineuz.com/article/1220891/ [21]Yuz.uz — 438K zakaz rejestracji kredytowej od 1 stycznia 2026yuz.uz — 440K rejestracja [22]UzDaily.uz — „Ponad 11,2 mln ataków cybernetycznych zostało przeprowadzonych na zasoby internetowe w Uzbekistanie” (2024)https://www.uzdaily.uz/en/over-112-million-cyber-attacks...
