行政总结 2026年1月底,乌兹别克斯坦的三个政府信息系统在四天(1月27日至30日)期间遭到网络攻击,导致大约6万个独特的数据记录被曝光。 在社交媒体和Reddit上流传的最初声明表明,多达1500万公民的记录通过电子政府(E-Gov)平台的中央OAuth服务器的破坏而受到威胁。 然而,在正式调查后,数字技术部长谢尔佐德·谢尔马托夫2月12日证实,实际范围明显较小。 . [15] [1][3] 15] 乌兹别克斯坦政府迅速作出回应,通过其网络安全中心开展调查,并成立了行动性工作组。 在初步披露后的几天里,网上微型信贷的发行作为预防措施被暂时暂停,银行加强了安全立场。 . [1][2] [9] 这一事件发生在网络威胁升级的背景下,2024年预防了700多万次网络威胁,2025年预防了1亿7千7千7千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5千5 (也被追踪为 )已对包括乌兹别克斯坦在内的整个中亚国家的政府机构和金融机构进行有针对性的行动。 虽然没有直接归因于“血狼”和这一特定漏洞,但集团对该地区的持续关注强调了乌兹别克斯坦数字基础设施面临的日益复杂的威胁环境。 Bloody Wolf Stan Ghouls [4][5] 1、发生了什么事 在2026年1月27日至30日之间,乌兹别克斯坦三家政府机构的信息系统遭到网络攻击,在2月1日至2月1日左右,包括黑暗网络平台在内的几个资源的链接在社交媒体上被分享,Reddit声称乌兹别克斯坦政府信息系统的数据已被发布到网上。 数据据称来自政府信息系统,电子政府(E-Gov)平台的中央OAuth身份验证服务器被确定为潜在的妥协点 . [1] [1][3] OAuth服务器作为一个值得信赖的单一登录网关,允许公民和机构在广泛的政府和非政府服务中进行身份验证。 确认范围(2月12日更新) 根据2026年2月12日的数字技术部长谢尔佐德·谢尔马托夫的新闻发布会上说: 暴露了大约6万个独特的数据记录(单个数据单位,而不是6万名公民) 1500万公民记录的最初声称被拒绝为不准确 C7网络安全专家证实,攻击者的样本仅包含5522份记录,包括内政部员工24张照片,国家社会保护局医务人员15874份记录,抵押贷款再融资公司446份抵押贷款记录。 进一步阻止未经授权的访问尝试,加强技术安全措施 在统一识别系统(OneID)中实施了额外的保护措施 被确定为潜在影响的系统 基于多家乌兹别克斯坦新闻媒体的报道,包括Gazeta.uz,UzDaily.uz和Zamin.uz : [1][2][3] 国家社会保护局(IHMA.UZ) - 医疗记录和社会保护数据 国家统计委员会(STAT.UZ) - 人口和人口普查相关数据 抵押贷款再融资公司(UZMRC.UZ) - 财务和住房记录 内政部系统 — 与执法相关的公民数据 大学和教育机构门户 — 学生和教师记录 银行和商业组织门户 — 财务身份验证数据 潜在曝光的数据类型 Data Category Details Personal Identifiers Full name, date of birth, internal user ID Contact Information Phone number, email address, residential address Identity Documents Passport number and related details Authentication Data Logins, passwords, user photographs Sensitive Records Workplace details, medical histories, government service records 个人身份证 姓名、出生日期、内部用户 ID 联系信息 电话号码、电子邮件地址、居住地址 身份证件 护照号码及相关细节 身份验证数据 登录、密码、用户照片 敏感记录 工作场所细节,医疗史,政府服务记录 2、如何发生 虽然乌兹别克斯坦网络安全中心的官方调查仍在进行中,但网络安全专家已经提供了可能的攻击引擎的初步评估。 中央 OAuth 服务器作为单一入口点 电子政府 OAuth 服务器作为数十个相互连接服务的身份验证支柱。 OAuth 2.0 是一个在世界各地广泛使用的行业标准授权框架,然而,正如全球安全研究人员所指出的那样,OAuth 实现在不连续审计和硬化的情况下本质上容易被错误配置。 供应链攻击假设 企业网络安全公司ONESEC的负责人Dmitry Paleyev表示,这可能不是单一的孤立漏洞,而是供应链攻击。 在这种情况下,在连接基础设施中的一个组件受到威胁可以为同一网络中的其他系统提供侧面访问,这是全球先进威胁参与者使用的有记录的策略。 [1] 背景中的贡献因素 乌兹别克斯坦正在经历快速的数字化转型,在电子政府服务方面进行重大投资,该国旨在将70%的公共服务数字化,并在2030年乌兹别克斯坦2030战略的一部分,将其IT服务出口扩大到50亿美元。 760多个公共服务已经被数字化,每年大约有1000万公民使用数字平台。 该事件突出了一个普遍的挑战:网络安全成熟度需要随着数字化采用而扩大。 [17]. [18] 专家观点:“实际威胁可能被大大夸大,可能与现实不符,经验表明,这些数据往往被大大夸大,并从各种来源中汇总,包括从各种系统中收集的旧数据和数据。 专家观点:“实际威胁可能被大大夸大,可能与现实不符,经验表明,这些数据往往被大大夸大,并从各种来源中汇总,包括从各种系统中收集的旧数据和数据。 专家视角: 3、政府反应 乌兹别克斯坦政府表现出积极和有组织的反应,多家机构迅速采取行动,解决公众的担忧,启动调查,向公民提供指导。 . [1][2] 响应时间表 Date Action Jan 27–30 Three government information systems targeted by cyberattacks [15] Feb 1–2 Links to darknet resources shared on Reddit and social media [1] Feb 3 Cybersecurity Center confirmed investigation launch; issued public guidance [1] Feb 3 National Social Protection Agency confirmed cyberattack on archival database; task force established [2] Feb 3 Statistics Committee confirmed census data stored encrypted on separate servers [1] Feb 3–4 Tax Committee and Interior Ministry denied breaches; systems functioning normally [1] Feb 5–6 Online microcredit issuance suspended; Central Bank reinforced oversight [9] Feb 12 Minister Shermatov confirmed ~60,000 records exposed; additional OneID safeguards [15] 十七、三十 网络攻击的三种政府信息系统(15) 周一 1 - 2 链接到在Reddit和社交媒体上共享的黑暗网络资源 [1] 法三 网络安全中心确认启动调查;发布公共指南 [1] 法三 国家社会保护局确认对档案数据库的网络攻击;成立工作组 [2] 法三 统计委员会证实,存储在单独服务器上加密的普查数据 [1] 周三 3 - 4 税务委员会和内政部否认违规行为;系统正常运作 [1] 周五 5 - 6 网络微信发行暂停;中央银行加强监督 [9] 二月12日 谢尔马托夫部长证实曝光了60,000个记录;额外的OneID保护措施 四、对金融部门的影响 微型信贷暂停 乌兹别克斯坦暂时暂停在线微型贷款发行,因为有报道称受损的公民数据可能被用来欺诈性地获得微型贷款 这种行动虽然具有破坏性,但反映了保护公民免受二次剥削的负责任方法。 [9] 银行部门的反应 多个银行加强了其身份验证和监控系统,中央银行坚持认为核心银行基础设施没有直接受到影响。 志愿性信用禁令服务 乌兹别克斯坦于2025年6月引入了自愿的信用禁令服务,允许公民在未经个人授权的情况下禁止发放贷款(ZRU1043号法)。 到2025年10月,大约有15万名公民登记 到2026年1月1日,报名人数已经上升到超过43万8000人。 该违规预计将进一步加速收养。 [19] [20] [21] 网络犯罪发展背景 根据内政部网络犯罪中心的数据,乌兹别克斯坦在2019年至2024年间的网络犯罪数量增加了68倍,从18个类别的863起犯罪增加到62个类别的58,800起。 在2021年至2024年间,网络犯罪导致从公民那里窃取超过19万亿美元的索姆(14890万美元) . [16] [16] 活跃威胁景观:血腥狼 独立于这一漏洞,来自领先的网络安全公司发表的研究记录了针对该地区的持续威胁活动。 威胁演员概览 一个威胁组被追踪为 也被卡巴斯基认定为 自2023年底以来,该集团主要针对政府机构、金融机构和IT公司。 根据卡巴斯基的说法,主要动机似乎是财务收益,尽管他们的方法也暗示网络间谍能力。 . Bloody Wolf Stan Ghouls [5] [4] [5] 活动时间表 Period Activity Late 2023 Group first identified, targeting Kazakhstan and Russia [5] May 2025 Kaspersky first flags NetSupport RAT config [5] Jun 2025 Campaign in Kyrgyzstan targeting government, financial, IT sectors [4] Oct 2025 Operations expand to Uzbekistan [4] Nov 2025 Group-IB / UKUK publish joint advisory [4] Feb 5, 2026 Kaspersky identifies ~50 victims in Uzbekistan, 60+ total [5] 早在2023年 第一批确认,针对哈萨克斯坦和俄罗斯 [5] 2025年5月 卡巴斯基首个旗帜 NetSupport RAT 配置 [5] 六月2025 针对政府、金融和IT部门的吉尔吉斯斯坦运动 [4] 第2025章 行动扩大到乌兹别克斯坦 [4] 新2025年 集团-IB / UKUK 发布联合咨询报告 [4] 周五, 2026 卡巴斯基在乌兹别克斯坦识别了约50名受害者,共计60多人。 关键发现 记录了血狼持续的运动,针对吉尔吉斯斯坦和乌兹别克斯坦的政府结构和金融系统,使用复杂的社会工程和假装政府部门 . Group-IB / UKUK (November 2025): [4][3] 在乌兹别克斯坦,在制造业、金融和IT领域已识别出约50个受损的组织,俄罗斯的约10个设备也受到了影响,该组织使用了俄语和乌兹别克语的钓鱼电子邮件,基础设施也在托管Mirai IoT恶意软件,这表明可能扩展工具包(以低信心评估) . Kaspersky Securelist (February 5, 2026): [5] 由The Hacker News报道的活动 信息安全杂志 SC媒体和网络新闻。 Media Coverage: [6] [7], 關於分配的重要注意事項 然而,该集团对乌兹别克斯坦政府系统的有记录的针对性说明了该国数字基础设施面临的威胁的先进和持续性。 6、先前的网络安全事件 Date Incident Source 2023 Over 11.2 million cyberattacks on web resources [22] 2024 Over 7 million cyber threats prevented [15] 2025 Over 107 million cyber threats prevented [15] Jul 2025 Hacker forum listing: 21M citizen records for sale [10] Aug 2025 Uzbekistan Airways data breach — passports, system credentials [10] 2023 超过1120万次网络攻击网络资源 (二) 2024 超过700万网络威胁被预防 (十五) 2025 10700多万网络威胁被阻止 (十五) 圣诞节2025 黑客论坛列表:2100万公民记录出售 (十一) 第2025章 乌兹别克斯坦航空数据泄露 - 护照,系统凭证 (十一) 7、法律和监管框架 个人数据法(ZRU-547号):2019年10月生效,规定个人数据的处理和保护 网络安全法(ZRU-764):2022年4月制定,建立国家网络安全框架 信用信息交换法(《信用信息交换法》第1043号):2025年3月签署,实行自愿信用禁服务 总统令PP-153(2025年4月):强制性侵权通知和数据事件的法律责任 八、修复框架 基于NIST CSF 2.0、ISO 27001:2022和CIS控制 v8 : [11] 步骤一:立即控制 隔离和审计 OAuth 服务器 - 包括代币发行日志、会话记录、API 访问模式在内的完整法医审计 强制性身份重置 - 执行密码重置;无效所有 OAuth 代币和会话cookie 启用MFA - 在所有政府门户和依赖党的应用程序中 撤销和旋转所有 API 密钥 - OAuth 生态系统中的所有共享秘密和客户端秘密 黑暗网络监控 - 使用威胁情报服务来追踪受到威胁的数据分布 第二阶段:结构硬化 零信任架构 - 验证每个访问请求;实施微分区 部署SIEM和EDR - 持续监控和快速威胁检测 特权访问管理 - 控制和审计特权访问身份验证基础设施 网络细分 - 将关键身份验证系统与一般流量隔离 定期渗透测试 - 针对政府系统的定期红色团队演习 第三阶段:长期抵抗力 国家网络安全劳动力发展 事故响应计划 – 开发并定期测试综合的 IR 计划 供应链安全审计 - 第三方供应商的持续评估 公众宣传活动 - 教育公民密码卫生,钓鱼,数据保护 9、向公民建议的行动 根据网络安全中心和数字技术部的指导 [1][15]: 立即更改所有密码,特别是对于政府服务 在所有帐户上启用双重身份验证 不要将个人信息与未知的方分享 避免通过电子邮件或消息接收可疑的网站和链接 为政府和金融服务使用强有力的独特密码 监控财务账户 - 考虑通过 my.gov.uz 激活自愿信用禁令 向网络安全中心和执法部门报告可疑活动 警惕社交工程 - 攻击者可能成为银行员工,并引用已知的个人信息,以要求SMS代码 [15] 10、来源和参考 [1]Gazeta.uz — “乌兹别克斯坦调查公民在黑暗网络上的个人数据泄露” (二月四日,2026)https://www.gazeta.uz/en/2026/02/04/darknet/ [2]UzDaily.uz — “乌兹别克斯坦国家社会保护局确认对档案数据的网络攻击” (二月2026)https://www.uzdaily.uz/en/uzbekistans-national-social-protection-agency-confirms-cyberattack-on-archival-data/ [3]Zamin.uz — “据说有1500万公民的数据被泄露” (二月三,2026)https://zamin.uz/en/society/185508 [4]Group-IB / UKUK — 关于吉尔吉斯斯坦和乌兹别克斯坦的血狼APT业务的联合咨询(2025年11月) [5]卡巴斯基安全列表 — “俄罗斯和乌兹别克斯坦的Stan Ghouls攻击:NetSupport RAT和潜在的物联网兴趣” (二月五日,2026)https://securelist.com/stan-ghouls-in-uzbekistan/118738/ [6] 黑客新闻 — “血狼瞄准乌兹别克斯坦,俄罗斯使用NetSupport RAT” (二月2026)https://thehackernews.com/2026/02/bloody-wolf-targets-uzbekistan-russia.html [7]Infosecurity杂志 — “血狼威胁演员在整个中亚扩展活动”(2025年12月) [9]Pressa.uz — 银行部门的响应和微型信贷暂停报告(2026年2月) [10]Brinztech — “21百万乌兹别克斯坦公民出售的数据泄露”(2025年7月31日); “乌兹别克斯坦航空公司的大规模数据泄露”(2025年8月20日)brinztech.com — 21M列表 · brinztech.com — 航空公司泄露 [11]NIST网络安全框架(CSF) 2.0,ISO 27001:2022,CIS控制 v8 乌兹别克斯坦《个人数据法》(ZRU-547号,2019年10月) 乌兹别克斯坦网络安全法(ZRU-764号,2022年4月) 总统法令第PP-153号(2025年4月) [15]Gazeta.uz — “乌兹别克斯坦网络攻击暴露了6万份记录,而不是1500万公民的数据” (二月十三日,2026)https://www.gazeta.uz/en/2026/02/13/data-leak/ [16]Gazeta.uz — “乌兹别克斯坦的网络犯罪在五年内增加了68倍”(2025年5月31日),引用内政部网络犯罪中心https://www.gazeta.uz/en/2025/05/31/cybercrime/ [17]UzDaily.uz — 乌兹别克斯坦–2030 战略, $5B IT 出口目标 (二月二,2026)https://www.uzdaily.uz/en/uzbekistan-plans-to-increase-international-internet-capacity... [18]Euronews — “乌兹别克斯坦的ICT周2025” (2025年9月26日)https://www.euronews.com/next/2025/09/26/uzbekistans-ict-week-2025... [19]信用信息交换法(ZRU-1043,2025年3月4日)yuz.uz — 信用禁令法 [20]乌兹别克斯坦新闻 — 截至2025年10月1日的150K信用禁令登记https://newslineuz.com/article/1220891/ [21]Yuz.uz — 438K信用禁登记截至1月1日,2026yuz.uz — 440K登记 [22]UzDaily.uz — “在乌兹别克斯坦针对网络资源发动了超过1120万次网络攻击”(2024年)https://www.uzdaily.uz/en/over-112-million-cyber-attacks...
