وبلاگ
یک هدف، دو پرچم؛ همگرایی جاسوسی چین و هند علیه پلیس پاکستان
- نوع مطلب: مقاله
- تاریخ انتشار:
- بدون نظر
فهرست مطالب
خلاصه: گروههای جاسوسی سایبری منتسب به چین و هند، در فاصله فوریه ۲۰۲۴ تا آوریل ۲۰۲۶، چندین سازمان مجری قانون در پاکستان را هدف قرار دادهاند. نقطه همگرایی این عملیاتها پلیس بلوچستان بوده است؛ نهادی که دادههایی درباره امنیت داخلی، پروندههای کیفری، سوابق بیومتریک، کارکنان پلیس، ثبت هتلها و شکایتهای شهروندان در اختیار دارد.
بررسی SentinelLABS نشان میدهد این فعالیتها با زیرساختهای مرتبط با PlugX، ShadowPad، Cobalt Strike و Remcos انجام شدهاند. پژوهشگران تأکید میکنند که این خوشهبندی بر اساس ابزارهاست و الزاماً به معنای وجود تنها چهار عامل تهدید نیست.
چرا پلیس بلوچستان هدف جذابی است؟
بلوچستان همزمان محل حضور گسترده اتباع و پروژههای چینی و کانون مناقشه امنیتی میان هند و پاکستان است. برای چین، دادههای پلیس میتواند تصویری مستقل از تهدیدهای متوجه شهروندان و پروژههای مرتبط با کریدور اقتصادی چین و پاکستان ارائه کند؛ بهویژه در شرایطی که حملات مرگبار علیه اتباع چینی، اعتماد پکن به توان حفاظتی اسلامآباد را کاهش داده است.
برای هند، اطلاعات پلیس بلوچستان میتواند درباره نحوه مدیریت شورش بلوچ، وضعیت امنیتی استان و پروندههایی که در مرکز اتهامهای متقابل دهلینو و اسلامآباد قرار دارند، دید عملیاتی ایجاد کند.
دامنه سامانههای در معرض خطر
داراییهای آسیبدیده شامل تجهیزات شبکه، سرورهای وب و یک دستگاه FortiMail بودهاند. سرورها میزبان مجموعهای از سامانههای پلیس دیجیتال بودند، از جمله:
- سامانه ثبت و مدیریت گزارشهای اولیه جرم (FIR)
- سامانه مدیریت منابع انسانی و سوابق کارکنان پلیس
- سامانه ردیابی خودروهای سرقتی
- سامانه HotelEye برای ثبت ورود مهمانان و تطبیق با سوابق هویتی
- سامانه مدیریت سوابق کیفری با تطبیق اثر انگشت
- سامانه ثبت مستأجران و اتصال آن به سوابق کیفری
- سامانه مدیریت شکایتهای شهروندان
در صورت دسترسی مهاجمان به پایگاههای داده پشتیبان، مجموعه اطلاعات قابل دسترس میتوانسته از پروندههای کیفری و سوابق بیومتریک تا دادههای کارکنان، مهمانان هتل، مستأجران و شکایتهای عمومی را دربر بگیرد.
ترکیب ابزارهای چینی و هندی
استفاده از PlugX و ShadowPad، همراه با الگوی قربانیان در دولت، دفاع، روابط خارجی، پژوهش و سازمانهای غیردولتی در آسیا، با فعالیتهای جاسوسی همسو با چین سازگار است. دو سرور Cobalt Strike نیز با اطمینان متوسط به عوامل منتسب به چین نسبت داده شدهاند؛ یکی از این سرورها فقط با زیرساخت پلیس بلوچستان ارتباط داشته و برای مرحله بعدی حمله به سامانه مدیریت شکایتها استفاده شده است.
در سوی دیگر، زیرساخت Remcos با نشانی 89.31.121[.]220 به یک عامل منتسب به هند، که Recorded Future آن را TAG-179 مینامد، نسبت داده شده است. یکی از فایلهای طعمه این عملیات وانمود میکرد سندی درباره برنامه بازگرداندن اتباع غیرقانونی، از جمله دارندگان کارت شهروندی افغانستان، است. محتوای طعمه با همکاری پلیس، سازمان ثبت احوال و نهادهای اطلاعاتی پاکستان همخوانی داشت و برای هدفگیری کارکنان مجری قانون طراحی شده بود.
سازش سامانه مدیریت شکایتها
یکی از بخشهای مهم این عملیات، نفوذ به سامانه عمومی مدیریت شکایتهای پلیس بلوچستان بود؛ سامانهای که هم رابط ورود کارکنان پلیس و هم فرم جستوجوی عمومی برای شهروندان داشت. پژوهشگران معتقدند مهاجمان با ارتباط این سامانه با زیرساخت Cobalt Strike، هم کاربران سازمانی و هم شهروندانی را که برای پیگیری شکایتهای خود به آن مراجعه میکردند، در معرض خطر قرار دادهاند.
یافتشدن اعتبارنامههای سرقتشده با الگوی نامگذاری ایستگاههای پلیس، از جمله پیشوند ps- به همراه نام منطقه، نشان میدهد حسابهای محلی نیز بخشی از سطح حمله بودهاند.
جمعبندی و توصیههای دفاعی
همگرایی چند عامل جاسوسی روی یک سازمان پلیسی، نشانه روشنی از ارزش اطلاعاتی این هدف است. سازمانهای مجری قانون باید سامانههای عمومی و داخلی را از یکدیگر جدا کنند، تجهیزات قدیمی و در حال استفاده مانند درگاههای ایمیل را پایش و بازنشسته کنند، احراز هویت چندمرحلهای و مدیریت نشستها را برای حسابهای محلی فعال سازند و ارتباطات خروجی سرورها را بهصورت مستمر بررسی کنند.
همچنین، بررسی لاگهای وب، تغییرات غیرمنتظره در فایلهای برنامه، اعتبارنامههای افشاشده و ترافیک به زیرساختهای شناختهشده PlugX، ShadowPad، Cobalt Strike و Remcos باید در اولویت پاسخگویی قرار گیرد.