SentinelOne'ın son araştırmasına göre, hem Çin hem de Hindistan bağlantılı siber casusluk grupları, iki yılı aşkın bir süre boyunca Pakistan kolluk kuvvetlerinin ağlarına sessizce sızdı. Belucistan Polisi, bölgesel rekabetlerin her iki tarafından da saldırıya uğrayarak dikkat çekici bir hedef haline geldi.
Güvenlik firmasının SentinelLabs tehdit istihbaratı birimi, saldırıların Şubat 2024'ten Nisan 2026'ya kadar sürdüğünü ve birçok Pakistan polis teşkilatını hedef aldığını, en yoğun faaliyetin ise Belucistan Polisi üzerinde gerçekleştiğini belirtiyor. Saldırganlar, biyometrik veri tabanlarına, ceza dosyalarına, personel kayıtlarına ve vatandaş odaklı sistemlere erişim sağladı.
Araştırmacılar, saldırıları kullanılan kötü amaçlı yazılım ve altyapıya göre dört kümeye ayırdı: PlugX, ShadowPad, Cobalt Strike ve Remcos. Remcos etkinliği tek bir takip edilen aktöre bağlanırken, diğer kümelerin ortak veya ticari kötü amaçlı yazılım kullanması nedeniyle her birinin birden fazla operatör içerebileceği uyarısı yapıldı.
En dikkat çekici nokta, Çin bağlantılı siber casusların, Pekin'in en yakın bölgesel ortaklarından birine ait bir polis gücünde tespit edilmesi. SentinelLabs, olası motivasyonu çıkar odaklı olarak değerlendiriyor. Özellikle, Pakistan'da Kuşak ve Yol projelerinde çalışan Çin vatandaşları, Beluc ayrılıkçı militanlarıyla bağlantılı saldırılarda defalarca hedef alındı ve Çinli yetkililer, İslamabad'ın onları koruma becerisini açıkça eleştirdi. Pakistan polis verilerine doğrudan erişim, Pekin'in tehdidi kendi başına değerlendirmesine olanak tanıyacaktır.
Öte yandan, Hindistan bağlantılı faaliyet, İslamabad ve Yeni Delhi arasında yıllardır süren bir anlaşmazlıkla örtüşüyor. Pakistan uzun süredir Hindistan'ı Beluc militanlarını desteklemekle suçluyor, Hindistan ise bunu reddediyor. Yeni Delhi'nin, Belucistan Polisi ağlarının İslamabad'ın bu isyanı ele alışı hakkında ortaya çıkaracağı verilere kendi çıkarı var.
Gelecekte Ne Bekleniyor?
Araştırmacılar ayrıca, Belucistan Polisi'nin halka açık Şikayet Yönetim Sistemi'ne doğrudan yazılım güncellemesi kılığında kötü amaçlı dosyalar yerleştirildiğini tespit etti. Siteyi kullanan memurlar ve sıradan vatandaşlar da dahil olmak üzere herkes sahte güncelleme istemiyle karşılaşmış olabilir. SentinelLabs, ilgili kötü amaçlı yazılım örneklerinde bulunan ortak kod kalıpları ve yapılara dayanarak bu sızmayı Çince konuşan bir geliştiriciye bağladı.
Kaynak: securityweek.com