Siber güvenlik şirketi SentinelOne’ın SentinelLABS birimi, Pakistan’ın çeşitli kolluk kuvvetlerine yönelik geniş çaplı bir siber casusluk operasyonunu gün ışığına çıkardı. Şubat 2024 ile Nisan 2026 arasında gerçekleşen saldırılarda, Çin ve Hindistan bağlantılı olduğu değerlendirilen tehdit aktörlerinin, Balochistan Polisi başta olmak üzere Khyber Pakhtunkhwa Polisi, İslamabad Polisi ve Pencap Güvenli Şehirler Otoritesi (PSCA) gibi kurumların ağ altyapılarını hedef aldığı belirlendi. Araştırmacılar, saldırganların özellikle biyometrik kayıtlar, otel ve kiracı bildirim sistemleri, ulusal kimlik kayıtları, ceza dosyaları ve personel verilerini yöneten web uygulamalarını barındıran sunuculara sızdığını tespit etti.
Balochistan Polisi’ne ait en kritik ihlallerden biri, departmanın akıllı polis merkezi dijitalleşme girişimi kapsamında kullanılan Şikayet Yönetim Sistemi (CMS) oldu. SentinelOne araştırmacısı Aleksandar Milenkoski’ye göre, Çin bağlantılı bir tehdit aktörü bu uygulamayı ele geçirerek portal güncellemesi kılığında özel bir implant yerleştirdi. “cms_plugin.exe” adlı bu kötü amaçlı yazılımın iki farklı varyantı tespit edildi: Birincisi, Rust programlama diliyle yazılmış bir stager olup 193.42.25[.]65 IP adresinden ikinci bir yük indiriyor; çalıştırıldığında “Güncelleme tamamlandı! Lütfen sayfayı yenileyin” mesajı göstererek kendini meşru bir CMS güncellemesi gibi gizliyor. İkinci varyant ise .NET tabanlı olup Qihoo 360 Total Security’nin meşru “360Safe.exe” dosyasını taklit ederek AsyncRAT istemcisini yansıtmalı olarak yüklüyor.
Saldırılarda kullanılan dört farklı tehdit kümesi, her biri farklı bir kötü amaçlı yazılım ailesini barındırıyor: PlugX, ShadowPad, Cobalt Strike ve Remcos RAT. Remcos RAT kullanımı Hindistan bağlantılı bir tehdit aktörüne atfedilirken, PlugX, ShadowPad ve Cobalt Strike kümeleri ortak veya ticari araç setleri üzerine inşa edilmiş ve her biri birden fazla operatör içerebiliyor. Özellikle PlugX ve onun halefi olarak kabul edilen ShadowPad’in kullanımı, geleneksel olarak Çin devlet destekli hacker gruplarıyla ilişkilendiriliyor. SentinelOne’ın gözlemlerine göre, PlugX’in 27 Şubat-28 Eylül 2024 ve ShadowPad’in 3 Ağustos-1 Aralık 2024 tarihleri arasındaki kurban profili, Pakistan kolluk kuvvetlerinin ötesinde Güney, Güneydoğu, Orta ve Doğu Asya, Arap Yarımadası ve Güneydoğu Avrupa’daki hükümet, dışişleri, savunma, sivil toplum ve araştırma kuruluşlarını kapsıyor.
Gelecekte Ne Bekleniyor?
Cobalt Strike aktivite kümesinin Çin bağlantılı tehdit aktörleriyle ilişkisi, saldırganların komuta ve kontrol (C2) sunucusu olan 142.171.183[.]8’e yapılan trafiğin Pakistan kolluk kuvvetleri dışında Güney, Doğu ve Güneydoğu Asya, Orta Doğu ve Güney Amerika’daki hükümet, akademik, telekomünikasyon ve sivil toplum kuruluşlarını da kapsamasına dayanıyor. Hedefler arasında Tayvan’daki Tibet Budist örgütleri de yer alıyor; bu gruplar uzun süredir Çin tarafından siber casusluk hedefi olarak biliniyor. Remcos RAT ile ilişkili sızma setinin ise Mysterious Elephant (APT-C-08, APT-K-47, TAG-179) olarak bilinen ve SideWinder, Confucius ve Bitter gibi Hindistan bağlantılı rakiplerle ortak özellikler taşıyan bir hacker grubuyla altyapı ve taktiksel örtüşmeler gösterdiği değerlendiriliyor.
Sistem Güvenliği
Saldırganların kullandığı yem dosyaları, Pakistan kolluk kuvvetleriyle ilgili içerikler taşıyor. Örneğin, Afgan Vatandaşlık Kartı (ACC) sahipleri de dahil olmak üzere yasadışı yabancıların ülkelerine geri gönderilmesine yönelik bir operasyonel plan içerdiği iddia edilen bir yem dosyası tespit edildi. Bu tür yemler, hedef kurumların günlük iş akışına uygun olduğu için çalışanların dikkatini çekme ve kötü amaçlı yazılımı çalıştırma olasılığını artırıyor. Balochistan Polisi’ne yönelik faaliyetlerin daha derinlemesine incelenmesi, 2 Haziran 2024 ile 9 Nisan 2026 arasında iki ağ cihazı, Smart Police Station dijitalleşme girişimiyle ilgili birden fazla web sunucusu ve bir Fortinet FortiMail cihazının (kurumun birincil gelen e-posta ağ geçidi) ele geçirildiğini ortaya koydu.
Bu siber casusluk kampanyalarının en dikkat çekici yönlerinden biri, aynı hedefe yönelik olarak hem Pakistan’ın partneri hem de rakibi olarak nitelendirilebilecek iki farklı jeopolitik kutbun aynı anda faaliyet göstermesi. SentinelOne araştırmacısı Milenkoski, “Birden fazla siber casusluk aktörünün tek bir devletin kolluk kuvvetlerine karşı faaliyet göstermesi, hedefin değerine işaret ediyor. Onları çeken şey, hükümetin iç güvenlik resmini, sınırları içindeki tehditler hakkında bildiklerini ve bunlara karşı nasıl hareket ettiklerini elinde tutan belirli bir kurum türü” diyor. Şikayet Yönetim Sistemi web uygulamasının ele geçirilmesi, tehdit aktörünün erişimini başlangıçtaki güvenliği ihlal edilmiş ortamın ötesine taşıyarak hem vatandaşların hem de kolluk kuvvetlerinin kullandığı bir portalı bir kötü amaçlı yazılım dağıtım mekanizmasına dönüştürüyor.
Bu gelişme, siber casusluğun artık yalnızca askeri veya diplomatik hedeflerle sınırlı olmadığını, kolluk kuvvetleri gibi sivil kurumların da jeopolitik çatışmaların bir parçası haline geldiğini gösteriyor. Pakistan polisinin kullandığı biyometrik veriler, suç kayıtları ve ulusal kimlik bilgileri gibi hassas bilgiler, rakip devletler için büyük istihbarat değeri taşıyor. Özellikle Çin ve Hindistan arasındaki bölgesel rekabet, bu tür siber operasyonların arkasındaki temel motivasyon olarak öne çıkıyor. Saldırıların 2026 yılına kadar sürmesi, tehdit aktörlerinin uzun vadeli ve sistematik bir yaklaşım benimsediğini ortaya koyuyor.
Önemli Gelişmeler
Siber güvenlik uzmanları, bu tür saldırılara karşı kurumların ağ segmentasyonu, düzenli güvenlik güncellemeleri, çok faktörlü kimlik doğrulama ve uç nokta tespit ve yanıt (EDR) çözümleri gibi temel önlemleri alması gerektiğini vurguluyor. Ayrıca, web uygulamalarının güvenlik açıklarının kapatılması ve üçüncü taraf eklentilerin sıkı denetimi de kritik önem taşıyor. Balochistan Polisi vakası, bir kurumun dijital dönüşüm sürecinde güvenlik önlemlerinin ihmal edilmesi durumunda karşılaşabileceği riskleri net bir şekilde ortaya koyuyor.
Kaynak: thehackernews.com