Geostrategik man’fador davlatlar allaqchon 15 million O‘zbekistonlikni kundalik xayotini kuzatuvga olgan.
Xakerlar omon qolishlari uchun imperyal davlatlar maxsus xizmatlari bilan aloqda bo‘lishadi.
Xakerlar maqsadi:
1) Siyosiy maqsadda biron moddiy talabsiz xizmat qilish.
2) Dasturlar ishlab chiquvchi kompanyalarning xatolarini topish va tuzatishlari uchun ilova dastur sotish.
3) Xaklangan davlat yoki tashkilotdan pul undirish.
Nega xakerlar aynan O‘zbekistonni tanlashdi?
O‘zbekistonga qilingan kiberxujumda uchunchi masalani xal qilish korrupsion pullar xarakatini kuzatuvga olishganini bildirish uchun xujum atayin qilindi.
Ikkinchi tamoni ma’lumotlarga qiziqadigan geopolitik davlatlar ko‘pligi xakerlar fosh qilinmasliklari ko‘proq kafolatlangan.
O‘zbekiston Xokimiyati vakili Shermatov o‘zbek xalqini aldashi mumkin. Xakerlar va ortida turgan kuchlarni alday olmaydi.
Endi nima bo‘ladi?
Shermatov xakerlarga qarata , mafya metodida taklif bergan.
-Senlarda ma’lumot borligiga ishonishimiz uchun barchasini bizga ko‘rsatlaring demoqda.
15 ming inson to‘la ma’lumotnomasini xakerlar beri. Bu ma’lumotnomani olib chiqish ketgan vaqt ko‘rsatilgan.
Xakerlar ochgan teshik bir kun ochiq turgan. Bu vaqt maboynida 15 million malumotnomadan nusxa olingan.
Quyida xakerlar tamonidan davlat.uz ximoyalangan tuzimi qanday teshib o‘tilganligi xaqidagi xujjat berilmoqda.
Inqilobiy xarakat bu masala tadqiqotini o‘z zimmasiga olmaydi.
16.02.2026
Ўзбекистон ахолисининг 15 миллионига оид мухим маълумотлар хакерлар қўлида қолмоқда.
Геостратегик манъфадор давлатлар аллақчон 15 миллион Ўзбекистонликни кундалик хаётини кузатувга олган.
Хакерлар омон қолишлари учун имперял давлатлар махсус хизматлари билан алоқда бўлишади.
Хакерлар мақсади:
1) Сиёсий мақсадда бирон моддий талабсиз хизмат қилиш.
2) Дастурлар ишлаб чиқувчи компаняларнинг хатоларини топиш ва тузатишлари учун илова дастур сотиш.
3) Хакланган давлат ёки ташкилотдан пул ундириш.
Нега хакерлар айнан Ўзбекистонни танлашди?
Ўзбекистонга қилинган киберхужумда учунчи масалани хал қилиш коррупсион пуллар харакатини кузатувга олишганини билдириш учун хужум атайин қилинди.
Иккинчи тамони маълумотларга қизиқадиган геополитик давлатлар кўплиги хакерлар фош қилинмасликлари кўпроқ кафолатланган.
Ўзбекистон Хокимияти вакили Шерматов ўзбек халқини алдаши мумкин. Хакерлар ва ортида турган кучларни алдай олмайди.
Энди нима бўлади?
Шерматов хакерларга қарата , мафя методида таклиф берган.
-Сенларда маълумот борлигига ишонишимиз учун барчасини бизга кўрсатларинг демоқда.
15 минг инсон тўла маълумотномасини хакерлар бери. Бу маълумотномани олиб чиқиш кетган вақт кўрсатилган.
Хакерлар очган тешик бир кун очиқ турган. Бу вақт мабойнида 15 миллион малумотномадан нусха олинган.
Қуйида хакерлар тамонидан давлат.уз химояланган тузими қандай тешиб ўтилганлиги хақидаги хужжат берилмоқда.
Инқилобий харакат бу масала тадқиқотини ўз зиммасига олмайди.
Инқилобий харакат матбуот маркази.
16.02.2026
1. Dastlabki kirish vektori: Log4Shell (CVE-2021-44228)
LOG4SHELL.png rasmiga asoslangan
Bu hujumning texnik asosidir. Xaker so'nggi yillardagi eng muhim zaifliklardan birini - Java jurnal kutubxonasi log4j dagi Log4Shell dan foydalangan.
Mexanizm: Skrinshotda zararli HTTP sarlavhasini yuborayotgan curl buyrug'i ko'rsatilgan (bu holda, Accept).
Yuklama: ${jndi:rmi://...}. Bu JNDI in'ektsiyasi.
Server (ehtimol report-tiek.ihma.uz) bu sarlavhani qayd qiladi, log4j kutubxonasi satrni sharhlaydi, hujumchi bilan RMI protokoli orqali bog'lanadi va zararli Java klassini yuklaydi.
Natija: Hujumchi RCE (Masofaviy kodni bajarish) - ixtiyoriy kodni bajarish qobiliyatini oladi. Skrinshotda server ustidan to'liq nazoratni ta'minlaydigan muvaffaqiyatli teskari qobiq ko'rsatilgan.
Ichki kengayish: Xuddi shu skrinshotda ko'rsatilganidek, ommaviy serverni buzib kirgandan so'ng, tajovuzkor ichki tarmoqni (192.168.100.10) skanerlashni boshlagan va internetdan to'g'ridan-to'g'ri kirish mumkin bo'lmagan Log4Shellga zaif bo'lgan boshqa ichki xostlarni topgan.
2. Razvedka
Rasmga asoslangan: DOCUMENTATION.png
Tajovuzkor shunchaki serverlarni buzib kirmadi, balki davlat tizimlarining ishlash mantig'ini ham chuqur o'rgandi.
Nishon: Yagona kirish (SSO) tizimi — sso.egov.uz va OAuth mexanizmlari.
Harakat: Xaker ichki hujjatlarga (texnik spetsifikatsiyalar yoki API spetsifikatsiyalari) kirish huquqini qo'lga kiritdi.
Kirish tokenlari qanday uzatilishini va redirect_uris qanday ishlashini tushunish markaziy autentifikatsiya tuguniga hujum qilish imkonini berdi. SSOni buzish har bir saytni alohida buzmasdan, barcha tegishli davlat xizmatlariga bir vaqtning o'zida kirish imkonini beradi.
3. Lateral Harakat va Botnet Yaratish
MULTIPLE_ACCESSES.png rasmiga asoslanib
Kirish huquqini qo'lga kiritgandan so'ng, xaker Lateral Harakat va Davomiylik bosqichlariga o'tdi.
Botnet: "Haqiqiy botnet ishlayapti" iborasi va sessiyalar ro'yxati (HANDICAPPED_SOLITAIRE kabi nomlar bilan) C2 (Buyruq va Boshqarish) tizimidan foydalanishni ko'rsatadi. Bu, ehtimol, Sliver, Cobalt Strike yoki shunga o'xshash ekspluatatsiyadan keyingi vositadir.
Miqyosi: Hujumchi tarmoq ichidagi bir nechta serverlarni yuqtirgan ("dashtlarni to'ldirib"), ularni boshqariladigan tugunlarga aylantirgan. Bu ularga tashqi xavfsizlik devorlarini chetlab o'tib, tarmoqni ichkaridan skanerlash imkonini berdi.
4. Ma'lumotlarni chiqarish va boshqaruvni egallab olish
TAKEOVER.png rasmiga asoslanib
Bu hujumning yakuniy bosqichi - zararni aniqlash.
PII (Shaxsiy identifikatsiya qilinadigan ma'lumotlar) oqish: Burp Suite-dan olingan skrinshotda API so'rovi (GET /api/v2/personal) ko'rsatilgan bo'lib, u shaxsning to'liq ma'lumotlarini qaytaradi: to'liq ism, pasport ma'lumotlari, PIN-kod va yashash manzili. Bu shaxsiy ma'lumotlarning jiddiy oqishidir.
Ma'muriy paneldagi kelishmovchilik: Ma'muriy panellarga (Django Admin) va monitoring tizimlariga kirish ko'rsatilgan.
Ta'minot zanjiri: "Janob Astanov" va domen assotsiatsiyalarining tilga olinishi shuni ko'rsatadiki, xaker administrator yoki ishlab chiquvchi akkauntiga kirish orqali butun resurslar klasteriga (Soliq, Statistika, Ichki ishlar vazirligi va boshqalar) kirish huquqini qo'lga kiritgan.
Hujum turi haqida qisqacha ma'lumot
Bu zaifliklar zanjiri yordamida muhim axborot infratuzilmasiga (CRI) qaratilgan maqsadli hujumdir:
Ekspluatatsiya: Perimetrni buzish uchun Java Deserialization (Log4Shell).
Ekspluatatsiyadan keyingi: Ichki botnet yaratish uchun C2 agentlarini joylashtirish.
Biznes mantig'ini suiiste'mol qilish: SSO/OAuth mexanizmlariga hujum uchun hujjatlarni ko'rib chiqish.
Ma'lumotlarni chiqarib tashlash: Noqonuniy kirish imkoni olingan qonuniy APIlar orqali fuqarolar ma'lumotlar bazalarini ajratib olish.
Tahdid darajasi: Kritik. Skrinshotlarga qaraganda, tajovuzkor elektron hukumatning muhim segmenti ustidan deyarli to'liq nazoratni qo'lga kiritdi (To'liq domen buzilishi).
Важная информация о 15 миллионах жителей Узбекистана остается в руках хакеров.
Страны, имеющие геостратегическое значение, уже начали следить за повседневной жизнью 15 миллионов узбеков.
Хакеры поддерживают связь со спецслужбами имперских стран, чтобы выжить.
Цели хакеров:
1) Служить политическим целям без каких-либо финансовых затрат.
2) Продавать приложения компаниям-разработчикам программного обеспечения для поиска и исправления ошибок.
3) Вымогать деньги у взломанной страны или организации.
Почему хакеры выбрали Узбекистан?
Атака была преднамеренно проведена для решения третьей проблемы кибератаки на Узбекистан — чтобы показать, что они отслеживают движение коррупционных денег.
Во-вторых, большое количество геополитически заинтересованных стран означает, что хакерам гарантированно не удастся раскрыть свою личность.
Представитель узбекского хокимията Шерматов может обмануть узбекский народ. Хакеры и стоящие за ними силы не смогут его обмануть.
Что произойдет дальше?
Шерматов сделал хакерам предложение в стиле мафии.
— Он говорит: «Покажите нам всё, чтобы мы поверили, что у вас есть информация».
Хакеры предоставили полные данные 15 тысяч человек. Показано время, затраченное на извлечение этих данных.
Открытая хакерами уязвимость оставалась открытой в течение суток. За это время было скопировано 15 миллионов данных.
Ниже приведён документ о том, как хакеры взломали защищённую систему davlat.uz.
Революционное движение не берётся расследовать этот вопрос.
16.02.2026
Основано на изображении LOG4SHELL.png
Это техническая основа атаки. Хакер использовал одну из самых критичных уязвимостей последних лет — Log4Shell в библиотеке логирования Java log4j.
Механизм: На скриншоте видна команда curl, отправляющая вредоносный HTTP-заголовок (в данном случае Accept).
Пейлоад: ${jndi:rmi://...}. Это JNDI-инъекция.
Сервер (вероятно, report-tiek.ihma.uz) логирует этот заголовок, библиотека log4j интерпретирует строку, обращается к злоумышленнику по протоколу RMI и загружает вредоносный Java-класс.
Результат: Атакующий получает RCE (Remote Code Execution) — возможность выполнения произвольного кода. На скриншоте виден успешный «reverse shell» (обратная оболочка), дающая полный контроль над сервером.
Внутренняя экспансия: На том же скриншоте видно, что после взлома публичного сервера атакующий начал сканировать внутреннюю сеть (192.168.100.10) и нашел другие уязвимые к Log4Shell внутренние хосты, которые не были доступны из интернета напрямую.
2. Разведка и изучение архитектуры (Reconnaissance)
Основано на изображении DOCUMENTATION.png
Атакующий не просто «ломал» сервера, но и глубоко изучал логику работы государственных систем.
Цель: Система единого входа (SSO) — sso.egov.uz и механизмы OAuth.
Действие: Хакер получил доступ к внутренней документации (техническому заданию или спецификации API).
Смысл: Понимание того, как передаются токены авторизации (access_token) и как работают redirect_uri, позволило спланировать атаку на центральный узел аутентификации. Компрометация SSO открывает доступ ко всем связанным госуслугам сразу, без необходимости взламывать каждый сайт по отдельности.
3. Горизонтальное перемещение и создание ботнета
Основано на изображении MULTIPLE_ACCESSES.png
После получения доступа хакер перешел к этапу Lateral Movement (горизонтальное перемещение) и Persistence (закрепление).
Ботнет: Фраза "real botnet running" и список сессий (с именами вроде HANDICAPPED_SOLITAIRE) указывают на использование C2-фреймворка (Command and Control). Скорее всего, это Sliver, Cobalt Strike или аналогичный инструмент пост-эксплуатации.
Масштаб: Атакующий заразил множество серверов внутри сети («swarming the steppes»), превратив их в подконтрольные узлы. Это позволило ему сканировать сеть изнутри, обходя внешние фаерволы.
4. Эксфильтрация данных и захват управления
Основано на изображении TAKEOVER.png
Это финальная стадия атаки — реализация ущерба.
Утечка PII (Personal Identifiable Information): Скриншот из Burp Suite показывает запрос к API (GET /api/v2/personal), который возвращает полные данные гражданина: ФИО, паспортные данные, ПИНФЛ, адрес прописки. Это критическая утечка персональных данных.
Компрометация админок: Показан доступ к административным панелям (Django Admin) и системам мониторинга.
Supply Chain (Цепочка поставок): Упоминание "mr Astanov" и связи доменов предполагает, что, скомпрометировав учетную запись администратора или разработчика, хакер получил доступ к целому кустеру ресурсов (Налоговая, Статистика, МВД и т.д.).
Резюме типа атаки
Это целевая атака на критическую информационную инфраструктуру (Critical Infrastructure Attack) с использованием цепочки уязвимостей:
Exploit: Java Deserialization (Log4Shell) для пробива периметра.
Post-Exploitation: Развертывание C2-агентов для создания внутренней сети ботов.
Business Logic Abuse: Изучение документации для атаки на механизмы SSO/OAuth.
Data Exfiltration: Выгрузка баз данных граждан через легитимные API, к которым был получен нелегитимный доступ.
Уровень угрозы: Критический. Судя по скриншотам, атакующий получил практически полный контроль (Full Domain Compromise) над значительным сегментом электронного правительства.
Important information about 15 million of Uzbekistan's population remains in the hands of hackers.
Geostrategically interested countries have already started monitoring the daily lives of 15 million Uzbeks.
Hackers are in contact with the special services of imperial countries to survive.
Hackers' goals:
1) To serve political purposes without any financial demands.
2) To sell applications for software development companies to find and fix bugs.
3) To extort money from the hacked country or organization.
Why did hackers choose Uzbekistan?
The attack was deliberately carried out to solve the third problem in the cyberattack on Uzbekistan - to make it clear that they were monitoring the movement of corrupt money.
Secondly, the large number of geopolitical countries interested in information means that hackers are more guaranteed not to be exposed.
The representative of the Uzbek Khokimiyat Shermatov can deceive the Uzbek people. Hackers and the forces behind them cannot deceive him.
What will happen now?
Shermatov made a mafia-style offer to hackers.
- He says, show us everything so that we believe that you have information.
The hackers gave the full data of 15 thousand people. The time it took to extract this data is shown.
The hole opened by the hackers remained open for a day. During this time, 15 million data were copied.
Below is a document on how the protected system of davlat.uz was breached by hackers.
The Revolutionary Movement does not undertake to investigate this issue.
The Revolutionary Movement Press Center.
16.02.2026
1. Initial Penetration Vector: Log4Shell (CVE-2021-44228)
Based on the image LOG4SHELL.png
This is the technical basis of the attack. The hacker exploited one of the most critical vulnerabilities of recent years—Log4Shell in the Java logging library log4j.
Mechanism: The screenshot shows a curl command sending a malicious HTTP header (in this case, Accept).
Payload: ${jndi:rmi://...}. This is a JNDI injection.
The server (probably report-tiek.ihma.uz) logs this header, the log4j library interprets the string, contacts the attacker via the RMI protocol, and loads a malicious Java class.
Result: The attacker receives RCE (Remote Code Execution)—the ability to execute arbitrary code. The screenshot shows a successful reverse shell, giving complete control over the server.
Internal Expansion: The same screenshot shows that after hacking the public server, the attacker began scanning the internal network (192.168.100.10) and found other internal hosts vulnerable to Log4Shell that were not directly accessible from the internet.
2. Reconnaissance
Based on image: DOCUMENTATION.png
The attacker didn't simply hack servers, but also deeply studied the operating logic of government systems.
Target: Single Sign-On (SSO) system — sso.egov.uz and OAuth mechanisms.
Action: The hacker gained access to internal documentation (technical specifications or API specifications).
Understanding how access tokens are transmitted and how redirect_uris work allowed for an attack on the central authentication node. Compromising SSO allows access to all related government services at once, without having to hack each site individually.
3. Lateral Movement and Botnet Creation
Based on image MULTIPLE_ACCESSES.png
After gaining access, the hacker moved on to the Lateral Movement and Persistence phases.
Botnet: The phrase "real botnet running" and the list of sessions (with names like HANDICAPPED_SOLITAIRE) indicate the use of a C2 (Command and Control) framework. This is most likely Sliver, Cobalt Strike, or a similar post-exploitation tool.
Scale: The attacker infected multiple servers within the network ("swarming the steppes"), turning them into controlled nodes. This allowed them to scan the network from the inside, bypassing external firewalls.
4. Data Exfiltration and Control Takeover
Based on image TAKEOVER.png
This is the final stage of the attack—damage realization.
PII (Personal Identifiable Information) Leak: A screenshot from Burp Suite shows an API request (GET /api/v2/personal), which returns the full details of the individual: full name, passport information, PIN, and residence address. This is a critical personal data leak.
Administrative Panel Compromise: Access to administrative panels (Django Admin) and monitoring systems is demonstrated.
Supply Chain: The mention of "Mr. Astanov" and the domain associations suggest that by compromising an administrator or developer account, the hacker gained access to a whole cluster of resources (Tax, Statistics, Ministry of Internal Affairs, etc.).
Attack Type Summary
This is a targeted attack on critical information infrastructure (CRI) using a chain of vulnerabilities:
Exploit: Java Deserialization (Log4Shell) to breach the perimeter.
Post-Exploitation: Deployment of C2 agents to create an internal botnet.
Business Logic Abuse: Documentation review for an attack on SSO/OAuth mechanisms.
Data Exfiltration: Extraction of citizen databases through legitimate APIs to which illegitimate access was obtained.
Threat Level: Critical. Judging by the screenshots, the attacker gained almost complete control (Full Domain Compromise) over a significant segment of the e-government.
Комментариев нет:
Отправить комментарий
Примечание. Отправлять комментарии могут только участники этого блога.