كشف باحثو الأمن السيبراني عن تفاصيل نشاط التجسس السيبراني المستمر ضد العديد من منظمات إنفاذ القانون الباكستانية التي قامت بها جهات فاعلة مشتبه بها متحالفة مع الصين والهند بين فبراير 2024 وأبريل 2026.

وقال ألكسندر ميلينكوسكي، الباحث الرئيسي في التهديدات في شركة SentinelOne SentinelLABS، في تقرير نُشر هذا الأسبوع: “في شرطة بلوشستان، تضمنت الأصول المخترقة خوادم تستضيف تطبيقات الويب التي تدير بيانات الشرطة والمواطنين، مثل السجلات الجنائية والقياسات الحيوية”.

استهدف النشاط أجهزة الشبكة والخوادم التي تستضيف تطبيقات الويب التي تدير السجلات البيومترية، وتسجيلات الفنادق والمستأجرين المرتبطة بسجلات الهوية الوطنية، وملفات القضايا الجنائية، وسجلات الموظفين.

ويقال أيضًا إن جهة التهديد الصينية قد قامت باختراق أحد تطبيقات الويب هذه لنشر غرسة مخصصة تتنكر في شكل تحديث للبوابة. التطبيق المعني، المسمى نظام إدارة الشكاوى (CMS)، يخدم موظفي الشرطة والمواطنين، وبالتالي يضع كلا الفئتين من المستخدمين في فلك المهاجم.

وقالت SentinelOne إنها اكتشفت بنية تحتية معرضة للخطر مرتبطة بالعديد من منظمات إنفاذ القانون الباكستانية الأخرى، بما في ذلك شرطة خيبر بختونخوا، وشرطة إسلام أباد، وهيئة المدن الآمنة في البنجاب (PSCA).

تم تحديد أربع مجموعات مختلفة من التهديدات، تنشر كل منها عائلة فريدة من البرامج الضارة: PlugX، وShadowPad، وCobalt Strike، وRemcos RAT. تم ربط استخدام Remcos RAT بممثل تهديد للرابطة الهندية، في حين أن مجموعات PlugX وShadowPad وCobalt Strike مبنية على أدوات مشتركة أو أدوات سلعية وقد تتضمن كل منها أكثر من مشغل واحد.

ومع ذلك، فإن نشر كل من PlugX وShadowPad، والذي يعتبر الأخير خلفًا لـ PlugX، يرتبط تقليديًا بمجموعات القرصنة التابعة للدولة القومية الصينية.

وقالت شركة الأمن السيبراني: “إن الضحايا الذين لاحظناهم لـ PlugX (بين 27 فبراير و28 سبتمبر 2024) وShadowPad (بين 3 أغسطس و1 ديسمبر 2024) يعزز هذا التقييم”.

“بعيدًا عن تطبيق القانون الباكستاني، يشمل علم ضحايا PlugX وShadowPad الكيانات الحكومية والخارجية والدفاعية وغير الحكومية والبحثية في جنوب وجنوب شرق ووسط وشرق آسيا وشبه الجزيرة العربية وجنوب شرق أوروبا، بما يتوافق مع المجموعة المتحالفة مع الصين.”

تم تقييم مجموعة التطفل ذات الصلة بـ Remcos لمشاركة البنية التحتية والتداخلات التكتيكية مع مجموعة القرصنة المعروفة باسم Mysterious Elephant (المعروفة أيضًا باسم APT-C-08 وAPT-K-47 وTAG-179)، والتي بدورها لديها قواسم مشتركة مع خصوم الهند مثل SideWinder وConfucius وBitter.

تم اكتشاف أن سلاسل الهجمات تستخدم إغراءات تتعلق بإنفاذ القانون الباكستاني، وتعرض وثيقة خادعة تزعم أنها تحتوي على خطة تشغيلية لإعادة الأجانب غير الشرعيين إلى وطنهم، بما في ذلك حاملي بطاقة المواطن الأفغاني (ACC).

تعتمد علاقات مجموعة أنشطة Cobalt Strike مع الجهات الفاعلة في مجال التهديد الصيني على حقيقة أن حركة المرور إلى خادم القيادة والتحكم (C2) الذي يتحكم فيه المهاجم (“142.171.183”)[.]8″) يمتد إلى ما هو أبعد من تطبيق القانون الباكستاني ليشمل الكيانات الحكومية والأكاديمية وجهات الاتصالات السلكية واللاسلكية وغير الحكومية في جميع أنحاء جنوب وشرق وجنوب شرق آسيا والشرق الأوسط وأمريكا الجنوبية – وهو ملف تعريف الضحايا الذي يتوافق مع المتسللين المتحالفين مع الصين.

ومن بين المنظمات المستهدفة المنظمات البوذية التبتية في تايوان، والتي استهدفتها الصين منذ فترة طويلة بالتجسس الإلكتروني.

كشف الفحص الإضافي للنشاط الذي يستهدف شرطة بلوشستان عن اختراق الأصول التالية التي حدثت في الفترة ما بين 2 يونيو 2024 و9 أبريل 2026 –

  • جهازين للشبكة
  • خوادم الويب التي تستضيف العديد من تطبيقات الويب الخاصة بشرطة بلوشستان المرتبطة بمبادرة رقمنة مركز الشرطة الذكية
  • جهاز Fortinet FortiMail الذي كان بمثابة بوابة البريد الإلكتروني الرئيسية للوكالة

أحد التطبيقات المصابة هو نظام إدارة الشكاوى (cms.balochistanpolice.gov[.]pk”)، والذي يُستخدم لتسجيل شكاوى المواطنين وتتبعها وحلها. وقد تم تحميل نوعين مختلفين من البرنامج المزروع الذي يسمى “cms_plugin.exe” إلى الموقع فيما يتعلق بالعملية –

  • جهاز Rust الذي تم تصميمه لتنزيل حمولة إضافية من “193.42.25[.]65” وقم بتنفيذها. الطبيعة الدقيقة للمرحلة التالية غير معروفة، لكن العينات تعرض رسالة “اكتمل التحديث! يرجى تحديث الصفحة” عند التنفيذ، لمحاكاة تحديث بوابة CMS.
  • ملف .NET قابل للتنفيذ يتنكر على أنه “360Safe.exe”، وهو ملف ثنائي شرعي يستخدمه Qihoo 360 Total Security، لتحميل تجميع ينفذ عميل AsyncRAT بشكل عكسي.

وهذا النشاط جدير بالملاحظة لأنه اجتذب “شريكًا وخصمًا لباكستان” لنفس الضحية بسبب جمع المعلومات الاستخبارية، والذي من المحتمل أن يكون مدفوعًا بدوافع جيوسياسية.

وأوضح ميلينكوسكي: “عندما تعمل عدة جهات فاعلة في مجال التجسس الإلكتروني ضد مؤسسات إنفاذ القانون في دولة واحدة، فإن التقارب في حد ذاته يعد إشارة إلى القيمة المستهدفة”. “ما يجذبهم هو نوع معين من المؤسسات: تلك التي تحمل الصورة الأمنية الداخلية للحكومة، وما تعرفه عن التهديدات داخل حدودها، وكيف تعمل ضدها”.

“يضيف اختراق تطبيق الويب لنظام إدارة الشكاوى بُعدًا ثانيًا للنشاط ضد شرطة بلوشستان، مما يوسع نطاق جهة التهديد إلى ما هو أبعد من البيئة التي تم اختراقها في البداية. ومن خلال استضافة عمليات زرع في بوابة يستخدمها كل من المواطنين وموظفي إنفاذ القانون، قام جهة التهديد بتحويل أداة مصممة لجعل الشرطة في باكستان أكثر سهولة ومساءلة أمام الجمهور إلى آلية توصيل البرامج الضارة.”

شاركها.
اترك تعليقاً