Hacktivizm Değil, Devlet Destekli Casusluk: Belucistan Polis Portalı Çoklu Grupların Hedefinde Yazılım

Hacktivizm Değil, Devlet Destekli Casusluk: Belucistan Polis Portalı Çoklu Grupların Hedefinde

Belucistan Polisi portalı üzerinden yürütülen çok gruplu siber casusluk kampanyasında, Çin ve Hindistan bağlantılı aktörler PlugX, ShadowPad, Cobalt S

Siber güvenlik araştırmacıları, Şubat 2024 ile Nisan 2026 arasında Pakistan kolluk kuvvetlerine yönelik sürekli siber casusluk faaliyetlerini açıkladı. SentinelOne'ın raporuna göre, Belucistan Polisi'nin web uygulamalarını barındıran sunucuları hedef alan saldırılarda, suç ve biyometrik kayıtlar gibi hassas veriler çalındı. Saldırılar, hem Çin hem de Hindistan bağlantılı tehdit aktörleri tarafından gerçekleştirildi.

Araştırmacılar, Belucistan Polisi'nin yanı sıra Hayber Pahtunhva Polisi, İslamabad Polisi ve Pencap Güvenli Şehirler Otoritesi (PSCA) gibi diğer Pakistan kolluk kurumlarının da hedef alındığını tespit etti. Dört farklı tehdit kümesi belirlendi ve her biri farklı bir kötü amaçlı yazılım ailesi kullandı: PlugX, ShadowPad, Cobalt Strike ve Remcos RAT.

Özellikle Belucistan Polisi'nin Şikayet Yönetim Sistemi (CMS) adlı web uygulaması, saldırganlar tarafından portal güncellemesi gibi görünen özel bir implant dağıtmak için kullanıldı. Bu implant, hem polis personelini hem de vatandaşları hedef alarak saldırganların erişim alanını genişletti. İmplantın iki varyantı tespit edildi: biri Rust dilinde yazılmış bir stager, diğeri ise 360 Total Security'nin meşru bir ikili dosyasını taklit eden .NET tabanlı bir yürütülebilir dosya.

Detaylar ve Etkileri

Çin bağlantılı tehdit aktörleri, PlugX ve ShadowPad kullanarak Pakistan kolluk kuvvetlerinin yanı sıra Güney, Güneydoğu, Orta ve Doğu Asya, Arap Yarımadası ve Güneydoğu Avrupa'daki hükümet, dışişleri, savunma, sivil toplum ve araştırma kuruluşlarını da hedef aldı. Hindistan bağlantılı aktör ise Remcos RAT kullanarak Mysterious Elephant (APT-C-08, APT-K-47, TAG-179) grubuyla örtüşen altyapı ve taktikler sergiledi.

Uzmanların Görüşleri

Saldırı zincirlerinde, Pakistan kolluk kuvvetleriyle ilgili tuzak belgeler kullanıldı. Örneğin, yasa dışı yabancıların ülkelerine geri gönderilmesi operasyon planını içeren sahte bir belge, hedeflerin dikkatini çekmek için kullanıldı. Cobalt Strike aktivite kümesi ise Çin bağlantılı aktörlerle ilişkilendirildi ve hedefler arasında Tayvan'daki Tibet Budist örgütleri de yer aldı.

Teknik Analiz

Belucistan Polisi'ne yönelik faaliyetlerin daha detaylı incelemesi, 2 Haziran 2024 ile 9 Nisan 2026 arasında iki ağ cihazı, Akıllı Polis Karakolu dijitalleşme girişimiyle ilişkili web sunucuları ve bir Fortinet FortiMail e-posta ağ geçidinin tehlikeye atıldığını ortaya koydu. CMS uygulamasına yüklenen 'cms_plugin.exe' adlı implant, vatandaş şikayetlerini yönetmek için kullanılan portalı bir kötü amaçlı yazılım dağıtım mekanizmasına dönüştürdü.

Bu saldırı, Pakistan'ın hem bir ortağını hem de bir düşmanını aynı hedef üzerinde casusluk yaparken bir araya getirmesi açısından dikkat çekici. SentinelOne araştırmacısı Aleksandar Milenkoski'ye göre, 'Birden fazla siber casusluk aktörünün tek bir devletin kolluk kurumlarına karşı faaliyet göstermesi, hedefin değerine işaret ediyor. Onları çeken şey, hükümetin iç güvenlik resmini, sınırları içindeki tehditler hakkında bildiklerini ve bunlara karşı nasıl hareket ettiklerini barındıran bir kurum türü.'

Kaynak: thehackernews.com

Paylaş: