Зачем сразу несколько разведок взломали портал полиции Белуджистана?

Портал для жалоб граждан на полицию Белуджистана — обычно скучная бюрократическая штука — на деле оказался проходным двором для кибершпионов минимум четырёх разных группировок. С февраля 2024 по апрель 2026 года систему и связанные с ней ведомства методично вскрывали хакеры, предположительно связанные с Китаем и Индией. Причём работали они параллельно, друг о друге, скорее всего, не зная. Об этом рассказал Александар Миленкоски, ведущий исследователь угроз в SentinelOne SentinelLABS.
Зачем сразу несколько разведок взломали портал полиции Белуджистана?
Изображение носит иллюстративный характер

Список жертв не ограничивается одним Белуджистаном. В орбиту атак попали полиция Хайбер-Пахтунхвы, полиция Исламабада и Управление безопасных городов Пенджаба (PSCA). Но именно белуджистанский случай изучен детальнее всего — там злоумышленники добрались до серверов, на которых крутятся веб-приложения с криминальными записями, биометрией, данными о регистрации в отелях и у арендодателей (привязанными к национальным ID-номерам), а также личными делами сотрудников.
Ключевая точка входа — система управления жалобами, CMS. Она регистрирует обращения граждан, отслеживает их статус и должна помогать полиции реагировать быстрее. Пользуются ею и полицейские, и обычные жители. Атакующие встроили в неё вредонос под видом «обновления портала» — файл cms_plugin.exe, который существует в двух вариантах.
Первый вариант написан на Rust и работает как загрузчик: он скачивает дополнительную полезную нагрузку с адреса 193.42.25.65, а пользователю показывает поддельное сообщение «Обновление завершено! Пожалуйста, обновите страницу» — маскировка под легитимное уведомление CMS. Что именно скачивается дальше, пока не установлено. Второй вариант — исполняемый файл , замаскированный под 360Safe.exe, легитимный бинарник антивируса Qihoo 360 Total Security. На деле он рефлективно загружает сборку с клиентом AsyncRAT.
Помимо этой истории с CMS, исследователи выделили четыре отдельных кластера активности со своими наборами инструментов. PlugX работал с 27 февраля по 28 сентября 2024 года и привязывается к Китаю. ShadowPad — его преемник, тоже китайский, активничал с 3 августа по 1 декабря 2024-го. Отдельно фиксируется применение Cobalt Strike, также с китайским следом. И четвёртый — Remcos RAT, который связывают уже с Индией. Первые три кластера используют во многом схожие или коммерчески доступные инструменты, и не исключено, что за каждым стоит не одна, а несколько операторских групп.
Что указывает на Китай? География жертв PlugX и ShadowPad выходит далеко за пределы Пакистана — под удар попадали правительственные структуры, министерства иностранных дел, оборонные ведомства, НКО и исследовательские организации в Южной, Юго-Восточной, Центральной и Восточной Азии, на Аравийском полуострове и в Юго-Восточной Европе. Сервер управления Cobalt Strike с адресом 142.171.183.8 обслуживал трафик от госструктур, университетов, телеком-операторов и НКО в Южной, Восточной и Юго-Восточной Азии, на Ближнем Востоке и в Южной Америке. Среди целей — тибетские буддийские организации на Тайване, давняя мишень китайских спецслужб.
Индийский след связывают с группировкой, известной под несколькими именами — Mysterious Elephant, она же APT-C-08, APT-K-47 или TAG-179. Кластер Remcos RAT пересекается по инфраструктуре и тактикам с другими индийскими группами — SideWinder, Confucius и Bitter, что довольно типично для этой экосистемы: группы часто делят инструментарий и серверы.
Приманки для жертв подбирались прицельно под пакистанский контекст. Например, использовался поддельный «оперативный план» по депортации нелегальных иностранцев, включая держателей афганской карты гражданина (ACC) — документ, который выглядит как рутинная внутренняя переписка силовых структур, но на деле открывает вредоносный файл.
Миленкоски формулирует ключевой вывод так: «Когда несколько кибершпионских группировок одновременно работают против правоохранительных структур одного государства, само это совпадение — сигнал о ценности цели». По сути, за одними и теми же организациями охотятся и партнёр Пакистана, и его геополитический соперник — интерес представляет то, что знает пакистанская полиция о внутренних угрозах и как реагирует на них государство в целом.
Компрометация CMS добавляет истории второе измерение. Инструмент, созданный для подотчётности полиции перед гражданами, превратился в канал доставки вредоносного кода — причём одновременно и для рядовых пользователей портала, и для самих сотрудников правоохранительных органов.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка