Siber güvenlik dünyasında nadir görülen bir durum yaşanıyor: Birbirine rakip iki ulus-devlet siber casusluk grubu, aynı hedefe – Pakistan polis sistemlerine – saldırdı. SentinelOne'ın araştırma birimi SentinelLabs'ın 9 Temmuz'da yayımladığı analize göre, Çin ve Hindistan bağlantılı aktörler, Şubat 2024 ile Nisan 2026 arasında Pakistan'daki birçok kolluk kuvvetine sızma kampanyaları düzenledi. Saldırıların odağında özellikle Belucistan eyaletinin ana polis gücü olan Belucistan Polisi yer alıyor. Hedef alınan varlıklar arasında biyometrik kayıtlar, suç dosyaları ve ulusal kimlik verilerine bağlı kiracı kayıtlarını barındıran sunucular bulunuyor.
SentinelLabs, tespit edilen komuta ve kontrol (C2) faaliyetlerini dört kümeye ayırdı. PlugX, ShadowPad ve Cobalt Strike gibi araçlar Çin bağlantılı operatörlere işaret ederken; Remcos kullanımı, Recorded Future tarafından TAG-179 olarak izlenen ve Bitter grubuyla örtüşen Hindistan bağlantılı bir aktöre atfedildi. Bu iki rakip grubun aynı polis ağına sızması, dijital polislik sistemlerinin nasıl bir istihbarat savaşı alanına dönüştüğünü gösteriyor.
Çin'in bu saldırıdaki motivasyonu, SentinelLabs'a göre, Çin-Pakistan Ekonomik Koridoru (CPEC) ile bağlantılı olarak vatandaşlarının güvenliğini sağlamak. Belucistan'da faaliyet gösteren ayrılıkçı grup Belucistan Kurtuluş Ordusu (BLA), Çinli işçilere yönelik ölümcül saldırılar düzenlemişti. Polis verilerine erişerek Çin, bu tehdidi bağımsız olarak değerlendirme imkanı buluyor. Hindistan'ın motivasyonu ise Pakistan ile olan rekabeti; Belucistan, iki ülke arasında sık sık gerginlik yaratan bir bölge. Pakistan, Hindistan'ı isyanı desteklemekle suçlarken, Hindistan bu iddiaları reddediyor. Polis kayıtları, Pakistan'ın bölgede nasıl bir güvenlik politikası izlediğini ortaya koyuyor.
Analizin en dikkat çekici bulgusu, polisin Şikayet Yönetim Sistemi'nin (CMS) ele geçirilmesi oldu. Bu sistem hem polis memurları hem de şikayetlerini takip eden vatandaşlar tarafından kullanılıyor. 2024'ün sonlarında, cms_plugin.exe adlı iki farklı implant yüklendi: biri Rust dilinde, diğeri .NET ile yazılmıştı. Rust varyantı, çalıştırıldığında 'Güncelleme Tamamlandı! Lütfen sayfayı yenileyin' mesajı göstererek bir portal güncellemesi gibi davranıyor. .NET varyantı ise Çinli güvenlik yazılımı şirketi Qihoo 360'ın bir bileşeni gibi görünüp AsyncRAT istemcisi yüklüyordu. Paylaşılan kod ve basitleştirilmiş Çince dizeler, geliştiricinin Çince konuşan biri olduğunu gösteriyor.
Bu saldırıların arkasındaki veri tabanlarına erişim, son derece hassas bilgileri ortaya çıkarabilir: polis personel ve maaş kayıtları, suç dosyaları ve parmak izi biyometrileri, çalıntı araç kayıtları, kimlik verilerine bağlı otel girişleri, ev sahibi ve kiracı kayıtları ile polis hakkındaki şikayetler de dahil vatandaş şikayetleri. Bu veriler, hem Çin'in CPEC güvenliğini değerlendirmesi hem de Hindistan'ın Pakistan'ın iç işlerine dair istihbarat toplaması için altın değerinde.
Bu olay, dijital polislik sistemlerinin yapısal bir riskini gözler önüne seriyor: Kayıtları ve hizmetleri merkezileştiren sistemler, aynı zamanda istihbarat değerini de yoğunlaştırıyor. Polis altyapısı, herhangi bir yetenekli düşman için bir istihbarat savaş alanına dönüşüyor. Pakistan'ın bu saldırılara karşı alacağı önlemler, sadece kendi ulusal güvenliği için değil, aynı zamanda CPEC gibi büyük projelerin devamlılığı için de kritik önem taşıyor. Kullanıcılar ve kurumlar için pratik çıkarım ise şu: Hassas verileri barındıran sistemler, en az geleneksel askeri hedefler kadar dikkatli korunmalı; çok faktörlü kimlik doğrulama, düzenli güvenlik denetimleri ve ağ segmentasyonu gibi önlemler hayati önemde.
Kaynak: infosecurity-magazine.com