Hakerzy uzbroili portal policji Beludżystanu w wieloletniej kampanii cyberszpiegowskiej - Security Bez Tabu

Hakerzy uzbroili portal policji Beludżystanu w wieloletniej kampanii cyberszpiegowskiej

Cybersecurity news

Wprowadzenie do problemu / definicja

Kompromitacja publicznych portali administracyjnych należy do najgroźniejszych incydentów cyberbezpieczeństwa, ponieważ legalna usługa państwowa może zostać zamieniona w kanał dostarczania złośliwego oprogramowania. W opisywanym przypadku atakujący mieli wykorzystać portal skarg policji Beludżystanu nie tylko do utrzymania dostępu do infrastruktury, ale również do infekowania użytkowników, którzy ufali oficjalnemu serwisowi.

Taki model działania łączy klasyczne włamanie do środowiska rządowego z techniką watering hole oraz nadużyciem zaufanej aplikacji webowej. To szczególnie niebezpieczne w sektorze publicznym, gdzie jeden system może jednocześnie obsługiwać pracowników instytucji i obywateli.

W skrócie

  • Kampania była wymierzona w pakistańskie organy ścigania i instytucje bezpieczeństwa.
  • Badacze powiązali aktywność z kilkoma klastrami APT działającymi w horyzoncie od lutego 2024 r. do kwietnia 2026 r.
  • W atakach wykorzystywano m.in. PlugX, ShadowPad, Cobalt Strike, Remcos RAT oraz komponenty związane z AsyncRAT.
  • Szczególnie istotna była kompromitacja aplikacji Complaint Management System, w której umieszczono złośliwe pliki podszywające się pod aktualizację portalu.
  • Intruzja objęła również urządzenia sieciowe i bramę pocztową, co wskazuje na wielowarstwowy charakter operacji.

Kontekst / historia

Ujawniona kampania pokazuje, że pakistańskie instytucje bezpieczeństwa pozostają atrakcyjnym celem dla zaawansowanych operacji wywiadowczych. Atakowane środowiska przetwarzały dane o wysokiej wartości operacyjnej, w tym rekordy kryminalne, dane biometryczne, informacje o najemcach i hotelach powiązane z identyfikatorami krajowymi, dokumentację spraw oraz dane kadrowe.

Znaczenie incydentu wynika również z tego, że aktywność przypisano kilku odrębnym klastrom zagrożeń. To sugeruje, że celem nie była pojedyncza akcja sabotażowa, lecz długotrwałe pozyskiwanie dostępu do informacji istotnych z perspektywy wywiadowczej i strategicznej. Sam fakt równoległego zainteresowania tym samym sektorem przez kilka grup podnosi ocenę wartości wywiadowczej zaatakowanych systemów.

Analiza techniczna

W kampanii zaobserwowano cztery klastry aktywności korzystające z odmiennych narzędzi i technik. Wśród użytego arsenału znalazły się rodziny malware kojarzone z zaawansowanymi operacjami cyberszpiegowskimi, takie jak PlugX i ShadowPad, a także Cobalt Strike wykorzystywany po uzyskaniu dostępu do środowiska oraz Remcos RAT służący do zdalnej kontroli systemów.

Najciekawszym elementem incydentu była kompromitacja aplikacji Complaint Management System. Portal służył do obsługi zgłoszeń obywateli, dlatego jego przejęcie dawało napastnikom możliwość ukrycia złośliwej aktywności w legalnym i zaufanym procesie biznesowym. Po przejęciu systemu w aplikacji miały zostać umieszczone dwa warianty pliku podszywającego się pod komponent aktualizacji.

Pierwszy wariant pełnił rolę stagera napisanego w Rust. Jego zadaniem było pobranie kolejnego ładunku z serwera zewnętrznego i uruchomienie go na urządzeniu ofiary. Dodatkowo plik wyświetlał komunikat sugerujący pomyślne zakończenie aktualizacji portalu, co miało zwiększyć wiarygodność i ograniczyć podejrzenia użytkownika.

Drugi wariant był komponentem .NET podszywającym się pod legalne narzędzie bezpieczeństwa. Mechanizm działania opierał się na refleksyjnym ładowaniu assembly zawierającego klienta AsyncRAT. Tego typu wykonanie w pamięci utrudnia detekcję opartą wyłącznie na monitorowaniu plików i prostych sygnaturach, a sam RAT może umożliwiać zdalne wydawanie poleceń, eksfiltrację danych i dalszy ruch boczny.

Raport wskazuje również, że kompromitacja wykraczała poza samą aplikację webową. Atak objął urządzenia sieciowe oraz appliance Fortinet FortiMail pełniący rolę głównej bramy poczty przychodzącej. Oznacza to, że operatorzy działali wielowarstwowo — od brzegu sieci, przez warstwę pocztową, po systemy aplikacyjne i interakcję z użytkownikiem końcowym.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takiej operacji jest utrata poufności danych operacyjnych i osobowych. W przypadku organów ścigania mogą to być informacje o prowadzonych sprawach, osobach monitorowanych, strukturze organizacyjnej, zasobach kadrowych oraz stosowanych procedurach bezpieczeństwa. Dla przeciwnika państwowego lub grupy realizującej cele polityczne taki zasób ma ogromną wartość.

Drugim wymiarem ryzyka jest przekształcenie zaufanej aplikacji administracyjnej w punkt dystrybucji malware. Użytkownik nie musi otwierać wiadomości phishingowej ani odwiedzać podejrzanej witryny — wystarczy skorzystanie z legalnego portalu instytucji publicznej. To znacząco zwiększa skuteczność infekcji i podważa zaufanie do usług cyfrowych państwa.

Trzecim problemem jest trwałość dostępu i złożoność reagowania. Obecność wielu rodzin malware oraz kilku klastrów aktywności sugeruje możliwość wielokrotnej kompromitacji, różnych mechanizmów persistence i niezależnych kanałów komunikacji z infrastrukturą C2. W praktyce usunięcie jednego implantu nie musi oznaczać odzyskania pełnej kontroli nad środowiskiem.

Rekomendacje

Instytucje publiczne powinny traktować portale dostępne dla obywateli jako systemy o podwyższonej krytyczności. Ochrona takich usług nie może ograniczać się do dostępności i utrzymania, lecz powinna obejmować ciągłe monitorowanie integralności, kontrolę zmian w katalogach aplikacji oraz analizę procesów uruchamianych z kontekstu serwera WWW.

  • wdrożenie monitoringu integralności plików i alertowania o nieautoryzowanych zmianach,
  • podpisywanie komponentów i ścisłą kontrolę procesu publikacji aktualizacji,
  • separację środowisk developerskich, testowych i produkcyjnych,
  • detekcję procesów potomnych uruchamianych przez usługi webowe,
  • monitorowanie pobierania ładunków z nietypowych adresów zewnętrznych,
  • wykrywanie technik reflective loading oraz zachowań charakterystycznych dla RAT-ów,
  • segmentację sieci i ograniczenie komunikacji między systemami aplikacyjnymi, pocztowymi i bazodanowymi,
  • wymuszenie MFA dla dostępu administracyjnego oraz pełne logowanie uprzywilejowanych działań.

Z perspektywy response należy zakładać, że środowisko mogło zostać naruszone przez więcej niż jednego operatora. Dochodzenie powinno więc obejmować pełne threat hunting, analizę osi czasu, badanie artefaktów na hostach i urządzeniach brzegowych oraz przegląd wszystkich publikowanych aplikacji, którym użytkownicy przypisują wysoki poziom zaufania.

Podsumowanie

Incydent związany z policją Beludżystanu pokazuje rosnącą dojrzałość współczesnych kampanii cyberszpiegowskich. Atakujący nie ograniczyli się do naruszenia infrastruktury, lecz wykorzystali legalny portal jako narzędzie dalszej infekcji i utrzymania dostępu do wrażliwego ekosystemu państwowego.

Dla administracji publicznej to ważne ostrzeżenie: bezpieczeństwo aplikacji webowych nie jest już wyłącznie zadaniem operacyjnym działów IT, ale elementem odporności państwa. Każdy portal obsługujący obywateli powinien być traktowany jak potencjalny cel wysokowartościowy, wymagający kontroli integralności, segmentacji oraz stałej analizy zagrożeń.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/07/hackers-weaponize-balochistan-police.html
  2. SentinelOne SentinelLABS — https://www.sentinelone.com/