Siber güvenlik araştırmacıları, Pakistan'ın kolluk kuvvetlerine yönelik süregelen siber casusluk faaliyetlerini gün yüzüne çıkardı. SentinelOne araştırmacıları, Şubat 2024 ile Nisan 2026 arasında, Çin ve Hindistan bağlantılı olduğu değerlendirilen tehdit aktörlerinin, Belucistan Polisi başta olmak üzere birçok Pakistanlı kolluk kurumunun ağ cihazlarını ve web uygulamalarını hedef aldığını tespit etti. Bu saldırılarda biyometrik kayıtlar, otel ve kiracı kayıtları, ulusal kimlik bağlantılı veriler, ceza dosyaları ve personel bilgileri gibi hassas veriler hedeflendi.
Araştırmacı Aleksandar Milenkoski'ye göre, Belucistan Polisi'nin tehlikeye atılan varlıkları arasında, polis ve vatandaş verilerini yöneten web uygulamalarını barındıran sunucular yer alıyor. Özellikle Şikayet Yönetim Sistemi (Complaint Management System - CMS) adlı uygulama, saldırganlar tarafından özel bir implant yerleştirerek portal güncellemesi kılığına sokuldu. Bu sayede hem polis personeli hem de vatandaşların verilerine erişim sağlandı.
SentinelOne, saldırıların yalnızca Belucistan Polisi ile sınırlı kalmadığını; Hayber-Pahtunhva Polisi, İslamabad Polisi ve Pencap Güvenli Şehirler Otoritesi (PSCA) gibi diğer kolluk kurumlarının da hedef alındığını belirtti. Toplam dört farklı tehdit kümesi tespit edildi ve her biri farklı bir kötü amaçlı yazılım ailesini (PlugX, ShadowPad, Cobalt Strike ve Remcos RAT) kullandı. Remcos RAT, Hindistan bağlantılı bir tehdit aktörüyle ilişkilendirilirken; PlugX, ShadowPad ve Cobalt Strike kümeleri, ortak araçlarla inşa edilmiş olup birden fazla operatörü içerebiliyor.
PlugX ve ShadowPad'in kullanımı geleneksel olarak Çin devlet destekli hacker gruplarıyla ilişkilendiriliyor. SentinelOne'ın analizine göre, PlugX ve ShadowPad'in kurban profili yalnızca Pakistan kolluk kuvvetleriyle sınırlı değil; Güney, Güneydoğu, Orta ve Doğu Asya, Arap Yarımadası ve Güneydoğu Avrupa'daki hükümet, dışişleri, savunma, sivil toplum ve araştırma kuruluşlarını da kapsıyor. Bu profili, Çin yanlısı veri toplama faaliyetleriyle uyumlu olarak değerlendiriliyor.
Detaylar ve Etkileri
Remcos RAT ile ilişkili saldırıların, Mysterious Elephant (APT-C-08, APT-K-47, TAG-179) olarak bilinen bir hack grubuyla altyapı ve taktiksel örtüşmeler gösterdiği belirtiliyor. Bu grup, SideWinder, Confucius ve Bitter gibi Hindistan bağlantılı rakiplerle ortak özellikler taşıyor. Saldırı zincirlerinde, Pakistan kolluk kuvvetleriyle ilgili tuzak belgeler kullanıldığı; örneğin, yasa dışı yabancıların geri gönderilmesi için operasyonel plan içeren sahte bir belgenin kurbanlara gösterildiği tespit edildi.
Teknik Analiz
Cobalt Strike aktivite kümesinin Çin bağlantılı tehdit aktörleriyle bağlantısı, saldırganın komuta-kontrol sunucusuna (142.171.183[.]8) yapılan trafiğin Pakistan kolluk kuvvetlerinin ötesine geçerek Güney, Doğu ve Güneydoğu Asya, Orta Doğu ve Güney Amerika'daki hükümet, akademik, telekomünikasyon ve sivil toplum kuruluşlarını hedef almasına dayanıyor. Özellikle Tayvan'daki Tibet Budist örgütlerinin hedef alınması, Çin'in siber casusluk faaliyetlerindeki uzun süreli ilgisini yansıtıyor.
Belucistan Polisi'ne yönelik faaliyetlerin daha derinlemesine incelenmesi, 2 Haziran 2024 ile 9 Nisan 2026 arasında gerçekleşen çok sayıda güvenlik ihlalini ortaya çıkardı. Bunlar arasında iki ağ cihazı, Akıllı Polis Karakolu dijitalleştirme girişimiyle ilişkili web sunucuları ve bir Fortinet FortiMail cihazı (kurumun birincil gelen e-posta ağ geçidi) yer alıyor. En dikkat çekici ihlal, Şikayet Yönetim Sistemi'ne (cms.balochistanpolice.gov[.]pk) yüklenen iki farklı implant varyantı oldu: Bir Rust stager (193.42.25[.]65'ten ek yük indiriyor) ve bir .NET yürütülebilir dosyası (360Safe.exe kılığında AsyncRAT istemcisini yansıtmalı olarak yüklüyor).
Önemli Gelişmeler
Bu faaliyet, hem Pakistan'ın ortağı hem de rakibi olan aktörlerin aynı hedefe yönelmesiyle jeopolitik motivasyonları gözler önüne seriyor. Milenkoski, 'Birden fazla siber casusluk aktörünün tek bir devletin kolluk kuvvetlerine karşı faaliyet göstermesi, hedefin değerine işaret ediyor. Bu kurumlar, hükümetin iç güvenlik resmini, sınırları içindeki tehditlere ilişkin bilgilerini ve bunlara karşı nasıl hareket ettiğini barındırıyor.' dedi. Şikayet Yönetim Sistemi'nin tehlikeye atılması, tehdit aktörünün erişimini başlangıçtaki ortamın ötesine taşıyarak, polislik hizmetini daha erişilebilir kılmak için tasarlanmış bir aracı kötü amaçlı yazılım dağıtım mekanizmasına dönüştürdü.
Kaynak: thehackernews.com