یک هدف، دو پرچم؛ جاسوسی سایبری علیه پلیس پاکستان

یک هدف، دو پرچم؛ همگرایی جاسوسی چین و هند علیه پلیس پاکستان

فهرست مطالب

خلاصه: گروه‌های جاسوسی سایبری منتسب به چین و هند، در فاصله فوریه ۲۰۲۴ تا آوریل ۲۰۲۶، چندین سازمان مجری قانون در پاکستان را هدف قرار داده‌اند. نقطه همگرایی این عملیات‌ها پلیس بلوچستان بوده است؛ نهادی که داده‌هایی درباره امنیت داخلی، پرونده‌های کیفری، سوابق بیومتریک، کارکنان پلیس، ثبت هتل‌ها و شکایت‌های شهروندان در اختیار دارد.

بررسی SentinelLABS نشان می‌دهد این فعالیت‌ها با زیرساخت‌های مرتبط با PlugX، ShadowPad، Cobalt Strike و Remcos انجام شده‌اند. پژوهشگران تأکید می‌کنند که این خوشه‌بندی بر اساس ابزارهاست و الزاماً به معنای وجود تنها چهار عامل تهدید نیست.

چرا پلیس بلوچستان هدف جذابی است؟

بلوچستان هم‌زمان محل حضور گسترده اتباع و پروژه‌های چینی و کانون مناقشه امنیتی میان هند و پاکستان است. برای چین، داده‌های پلیس می‌تواند تصویری مستقل از تهدیدهای متوجه شهروندان و پروژه‌های مرتبط با کریدور اقتصادی چین و پاکستان ارائه کند؛ به‌ویژه در شرایطی که حملات مرگبار علیه اتباع چینی، اعتماد پکن به توان حفاظتی اسلام‌آباد را کاهش داده است.

برای هند، اطلاعات پلیس بلوچستان می‌تواند درباره نحوه مدیریت شورش بلوچ، وضعیت امنیتی استان و پرونده‌هایی که در مرکز اتهام‌های متقابل دهلی‌نو و اسلام‌آباد قرار دارند، دید عملیاتی ایجاد کند.

دامنه سامانه‌های در معرض خطر

دارایی‌های آسیب‌دیده شامل تجهیزات شبکه، سرورهای وب و یک دستگاه FortiMail بوده‌اند. سرورها میزبان مجموعه‌ای از سامانه‌های پلیس دیجیتال بودند، از جمله:

  • سامانه ثبت و مدیریت گزارش‌های اولیه جرم (FIR)
  • سامانه مدیریت منابع انسانی و سوابق کارکنان پلیس
  • سامانه ردیابی خودروهای سرقتی
  • سامانه HotelEye برای ثبت ورود مهمانان و تطبیق با سوابق هویتی
  • سامانه مدیریت سوابق کیفری با تطبیق اثر انگشت
  • سامانه ثبت مستأجران و اتصال آن به سوابق کیفری
  • سامانه مدیریت شکایت‌های شهروندان

در صورت دسترسی مهاجمان به پایگاه‌های داده پشتیبان، مجموعه اطلاعات قابل دسترس می‌توانسته از پرونده‌های کیفری و سوابق بیومتریک تا داده‌های کارکنان، مهمانان هتل، مستأجران و شکایت‌های عمومی را دربر بگیرد.

ترکیب ابزارهای چینی و هندی

استفاده از PlugX و ShadowPad، همراه با الگوی قربانیان در دولت، دفاع، روابط خارجی، پژوهش و سازمان‌های غیردولتی در آسیا، با فعالیت‌های جاسوسی همسو با چین سازگار است. دو سرور Cobalt Strike نیز با اطمینان متوسط به عوامل منتسب به چین نسبت داده شده‌اند؛ یکی از این سرورها فقط با زیرساخت پلیس بلوچستان ارتباط داشته و برای مرحله بعدی حمله به سامانه مدیریت شکایت‌ها استفاده شده است.

در سوی دیگر، زیرساخت Remcos با نشانی 89.31.121[.]220 به یک عامل منتسب به هند، که Recorded Future آن را TAG-179 می‌نامد، نسبت داده شده است. یکی از فایل‌های طعمه این عملیات وانمود می‌کرد سندی درباره برنامه بازگرداندن اتباع غیرقانونی، از جمله دارندگان کارت شهروندی افغانستان، است. محتوای طعمه با همکاری پلیس، سازمان ثبت احوال و نهادهای اطلاعاتی پاکستان همخوانی داشت و برای هدف‌گیری کارکنان مجری قانون طراحی شده بود.

سازش سامانه مدیریت شکایت‌ها

یکی از بخش‌های مهم این عملیات، نفوذ به سامانه عمومی مدیریت شکایت‌های پلیس بلوچستان بود؛ سامانه‌ای که هم رابط ورود کارکنان پلیس و هم فرم جست‌وجوی عمومی برای شهروندان داشت. پژوهشگران معتقدند مهاجمان با ارتباط این سامانه با زیرساخت Cobalt Strike، هم کاربران سازمانی و هم شهروندانی را که برای پیگیری شکایت‌های خود به آن مراجعه می‌کردند، در معرض خطر قرار داده‌اند.

یافت‌شدن اعتبارنامه‌های سرقت‌شده با الگوی نام‌گذاری ایستگاه‌های پلیس، از جمله پیشوند ps- به همراه نام منطقه، نشان می‌دهد حساب‌های محلی نیز بخشی از سطح حمله بوده‌اند.

جمع‌بندی و توصیه‌های دفاعی

همگرایی چند عامل جاسوسی روی یک سازمان پلیسی، نشانه روشنی از ارزش اطلاعاتی این هدف است. سازمان‌های مجری قانون باید سامانه‌های عمومی و داخلی را از یکدیگر جدا کنند، تجهیزات قدیمی و در حال استفاده مانند درگاه‌های ایمیل را پایش و بازنشسته کنند، احراز هویت چندمرحله‌ای و مدیریت نشست‌ها را برای حساب‌های محلی فعال سازند و ارتباطات خروجی سرورها را به‌صورت مستمر بررسی کنند.

همچنین، بررسی لاگ‌های وب، تغییرات غیرمنتظره در فایل‌های برنامه، اعتبارنامه‌های افشاشده و ترافیک به زیرساخت‌های شناخته‌شده PlugX، ShadowPad، Cobalt Strike و Remcos باید در اولویت پاسخ‌گویی قرار گیرد.

منبع: SentinelOne / SentinelLABS

مطالب مرتبط:

دیدگاهتان را بنویسید

آخرین مقالات

یک هدف، دو پرچم؛ همگرایی جاسوسی چین و هند علیه پلیس پاکستان

14 ساعت پیش

Kaspersky Next چیست؟ راهنمای آنتی‌ویروس تحت شبکه کسپرسکی

17 ساعت پیش

آشنایی با آنتی ویروس تحت شبکه بیت دیفندر GravityZone

18 ساعت پیش

آیا SOC کاملاً خودران شدنی است؟ چالش‌ها و راهکارهای ۲۰۲۶

3 هفته پیش

۱۰ آسیب‌پذیری که دنیای امنیت سایبری را تکان دادند؛ از Log4Shell تا MOVEit

6 ماه پیش

حرکت جانبی (Lateral Movement) چیست و چرا خطرناک‌ترین مرحله حملات سایبری است؟

6 ماه پیش

آخرین اطلاعیه‌ها

هیچ داده ای یافت نشد