Çin ve Hindistan Casusluk Operasyonları Pakistan Polis Sistemlerini Hedef Aldı Yazılım

Çin ve Hindistan Casusluk Operasyonları Pakistan Polis Sistemlerini Hedef Aldı

İki rakip ulus-devlet siber casusluk operasyonu, aynı Pakistan polis gücünü hedef aldı. Çin ve Hindistan bağlantılı gruplar, Belucistan Polisi sisteml

SentinelOne'ın araştırma kolu SentinelLabs tarafından 9 Temmuz'da yayınlanan yeni bir analize göre, Çin ve Hindistan bağlantılı olduğu düşünülen iki siber casusluk operasyonu, Pakistan'ın aynı polis gücünü hedef aldı. Şubat 2024 ile Nisan 2026 arasında gerçekleşen saldırılarda, özellikle Belucistan Polisi'nin sistemlerine odaklanıldı. Saldırganlar, biyometrik kayıtlar, suç dosyaları ve ulusal kimlik verilerine bağlı kiracı kayıtları gibi hassas bilgileri barındıran sunuculara sızdı. Çin bağlantılı bir aktörün, polis memurları ve vatandaşlar tarafından kullanılan bir portala implant yerleştirdiği belirlendi.

SentinelLabs, gözlemlenen komuta ve kontrol (C2) faaliyetlerini dört kümeye ayırdı. PlugX, ShadowPad ve Cobalt Strike gibi araçlar Çin bağlantılı operatörlere işaret ederken; Remcos kümesi, Recorded Future tarafından TAG-179 olarak takip edilen ve diğer grupların Bitter olarak adlandırdığı Hindistan bağlantılı bir aktöre bağlandı. Bu durum, iki rakip ulus-devletin aynı hedef üzerinde rekabet ettiğini gösteriyor.

Analize göre, Çin'in bu operasyonlardaki motivasyonu, Çin-Pakistan Ekonomik Koridoru (CPEC) kapsamında ülkedeki vatandaşlarının güvenliğini sağlamaktı. Belucistan Kurtuluş Ordusu (BLA) gibi ayrılıkçı grupların saldırılarına maruz kalan Çin vatandaşlarının güvenliği için polis verilerine erişim, tehdidi bağımsız olarak değerlendirme imkanı sunuyor. Hindistan'ın motivasyonu ise daha çok Pakistan ile rekabetine dayanıyor; Belucistan, iki ülke arasında sık sık gerilim yaratan bir bölge. Pakistan, Hindistan'ı isyanı desteklemekle suçlarken, Hindistan bu iddiaları reddediyor.

Detaylar ve Etkileri

En dikkat çekici bulgu, polisin Şikayet Yönetim Sistemi'nin (CMS) ele geçirilmesi oldu. Hem memurlar hem de vatandaşlar tarafından kullanılan bu sisteme, cms_plugin.exe adlı iki farklı implant yüklendi. Rust tabanlı olan implant, çalıştırıldığında 'Güncelleme Tamamlandı! Lütfen sayfayı yenileyin' mesajı göstererek portal güncellemesi taklidi yapıyor. .NET tabanlı diğer varyant ise Çinli güvenlik yazılımı Qihoo 360'ın bir bileşeni gibi görünüp AsyncRAT istemcisini yüklüyor.

Önemli Gelişmeler

Bu saldırılar sonucunda polis personel ve maaş kayıtları, suç dosyaları ve parmak izi biyometrik verileri, çalıntı araç kayıtları, kimlik verilerine bağlı otel girişleri, ev sahibi ve kiracı kayıtları ile vatandaş şikayetleri (görevi kötüye kullanma raporları dahil) tehlikeye girdi. Bu tür sistemler, merkezi kayıtlar ve hizmetler sunarak istihbarat değerini yoğunlaştırdığı için polis altyapısı, her yetenekli düşman için bir hedef haline geliyor.

Siber güvenlik uzmanları, bu tür saldırıların önlenmesi için polis sistemlerinin düzenli güvenlik denetimlerinden geçirilmesi, çok faktörlü kimlik doğrulama kullanılması ve hassas verilere erişimin sıkı şekilde kontrol edilmesi gerektiğini vurguluyor. Ayrıca, çalışanların siber güvenlik farkındalığının artırılması ve güncel yazılım yamalarının düzenli uygulanması da kritik önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: