Chińskie i indyjskie kampanie cyberwywiadowcze uderzyły w pakistańskie organy ścigania - Security Bez Tabu

Chińskie i indyjskie kampanie cyberwywiadowcze uderzyły w pakistańskie organy ścigania

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberwywiad wymierzony w instytucje odpowiedzialne za bezpieczeństwo publiczne należy do najpoważniejszych kategorii zagrożeń APT. Gdy celem stają się policyjne systemy informacyjne, atakujący mogą uzyskać dostęp do danych operacyjnych, akt postępowań, informacji o funkcjonariuszach, danych biometrycznych oraz zgłoszeń przekazywanych przez obywateli. Najnowsze ustalenia badaczy wskazują, że pakistańskie organy ścigania były przedmiotem długotrwałych, równoległych kampanii cyberwywiadowczych prowadzonych przez podmioty łączone z Chinami i Indiami.

W skrócie

  • Kampanie trwały od lutego 2024 r. do kwietnia 2026 r.
  • Szczególnie intensywnie atakowano struktury policyjne w Beludżystanie.
  • Aktywność przypisano odrębnym podmiotom powiązanym z Chinami i Indiami.
  • W operacjach wykorzystywano m.in. PlugX, ShadowPad, Cobalt Strike oraz Remcos.
  • Celem były systemy zawierające dane śledcze, kadrowe, biometryczne i zgłoszeniowe.

Kontekst / historia

Pakistańskie organy ścigania działają w środowisku podwyższonego ryzyka, wynikającego zarówno z napięć geopolitycznych, jak i z wewnętrznych zagrożeń bezpieczeństwa. Szczególne znaczenie ma Beludżystan, region o dużej wartości strategicznej, związany z niestabilnością wewnętrzną, aktywnością separatystyczną oraz ochroną infrastruktury państwowej i zagranicznych inwestycji.

Z perspektywy geopolitycznej motywacje obu stron mogą być odmienne. Aktywność przypisywana podmiotom chińskim bywa interpretowana jako próba niezależnego pozyskiwania informacji o lokalnych zagrożeniach, zwłaszcza w kontekście bezpieczeństwa chińskich obywateli i projektów infrastrukturalnych realizowanych w Pakistanie. Z kolei działania wiązane z Indiami wpisują się w długotrwałą rywalizację regionalną oraz zainteresowanie sytuacją bezpieczeństwa w obszarach zapalnych.

Kluczowe jest jednak to, że zbieżność celów nie musi oznaczać współpracy między napastnikami. Analizowany przypadek wskazuje raczej na niezależne operacje różnych aktorów państwowych, którzy uznali te same zasoby policyjne za cenne źródło danych wywiadowczych.

Analiza techniczna

Z dostępnych ustaleń wynika, że kampanie miały charakter długofalowy i obejmowały kilka odrębnych klastrów aktywności. Atakujący koncentrowali się na wielu jednostkach pakistańskiego aparatu policyjnego, przy czym największą intensywność działań zaobserwowano wobec struktur w Beludżystanie.

Technicznie były to operacje klasycznego cyberwywiadu nastawione na długotrwałe utrzymanie dostępu, skryte zbieranie danych oraz elastyczne wykorzystanie narzędzi post-exploitation. W raportowanych kampaniach pojawiły się zarówno znane backdoory wykorzystywane historycznie przez grupy APT, jak i frameworki powszechnie nadużywane po uzyskaniu wstępnego dostępu.

PlugX i ShadowPad to rodziny złośliwego oprogramowania często kojarzone z operacjami o charakterze państwowym. Ich użycie sugeruje nacisk na ukrycie komunikacji, zdalne wykonywanie poleceń i rozwijanie dostępu w środowisku ofiary. Cobalt Strike, choć legalnie stosowany w testach bezpieczeństwa, pozostaje jednym z najczęściej nadużywanych narzędzi do poruszania się po sieci, eskalacji uprawnień i utrwalania obecności. Remcos wskazuje natomiast na wykorzystanie zdalnej administracji do kontroli stacji roboczych i selektywnego pozyskiwania danych.

Szczególnie alarmującym elementem tej sprawy jest wykorzystanie policyjnego portalu zgłoszeniowego jako mechanizmu dostarczania malware. Taki wektor ataku oznacza kompromitację zaufanej usługi i potencjalnie umożliwia infekowanie zarówno użytkowników wewnętrznych, jak i osób korzystających z systemu. Z punktu widzenia obrony jest to scenariusz wyjątkowo trudny, ponieważ podważa zaufanie do oficjalnych kanałów kontaktu z administracją publiczną.

Zakres potencjalnie dostępnych danych miał wysoką wartość operacyjną. Obejmował informacje o sprawach karnych, rejestry personelu, dane biometryczne oraz dane pochodzące z portali zgłoszeniowych. Taki zestaw zasobów pozwala budować precyzyjny obraz sytuacji bezpieczeństwa, identyfikować osoby zainteresowania, analizować zdolności operacyjne służb oraz profilować funkcjonariuszy i obywateli.

Konsekwencje / ryzyko

Skutki kompromitacji systemów policyjnych są wielowymiarowe. W pierwszej kolejności zagrożone są operacje śledcze i kontrterrorystyczne, ponieważ ujawnienie akt spraw, źródeł informacji lub danych operacyjnych może zakłócić prowadzone działania i ujawnić priorytety służb.

Drugim obszarem ryzyka jest bezpieczeństwo osobowe. Dane funkcjonariuszy, informatorów, świadków i obywateli składających zgłoszenia mogą zostać wykorzystane do szantażu, obserwacji, deanonimizacji albo działań odwetowych. W przypadku danych biometrycznych skutki są szczególnie poważne, ponieważ ich wyciek ma charakter długoterminowy i praktycznie nieodwracalny.

Trzecim aspektem pozostaje wpływ strategiczny. Jeżeli kilka rywalizujących podmiotów państwowych niezależnie atakuje te same systemy, oznacza to, że dane gromadzone przez organy ścigania mają znaczenie wykraczające poza lokalny kontekst kryminalny. Tego typu incydenty pokazują, że infrastruktura policyjna staje się źródłem wiedzy o bezpieczeństwie państwa, napięciach społecznych, aktywności bojowników i zdolnościach reagowania kryzysowego.

Istnieje również ryzyko wtórne. Jeśli skompromitowany portal mógł zostać wykorzystany do dystrybucji złośliwego oprogramowania, incydent wykracza poza sam wyciek danych i przechodzi w aktywne oddziaływanie na użytkowników końcowych oraz potencjalne rozszerzanie zasięgu infekcji.

Rekomendacje

Organizacje publiczne, zwłaszcza służby mundurowe i podmioty administracji krytycznej, powinny traktować portale obywatelskie, systemy zgłoszeniowe i aplikacje webowe jako zasoby o podwyższonym profilu ryzyka. Konieczne jest objęcie ich ciągłym monitoringiem integralności, analizą zmian w kodzie oraz kontrolą procesu wdrożeniowego.

  • segmentacja sieci i ścisłe oddzielenie systemów publicznych od środowisk zawierających dane śledcze i kadrowe,
  • wdrożenie EDR/XDR z regułami detekcji pod kątem narzędzi takich jak Cobalt Strike, PlugX, ShadowPad i Remcos,
  • kontrola uprawnień uprzywilejowanych oraz stosowanie zasady najmniejszych uprawnień,
  • regularna rotacja poświadczeń i przegląd kont serwisowych,
  • inspekcja ruchu wychodzącego pod kątem nietypowej komunikacji C2,
  • stosowanie restrykcyjnych polityk aplikacyjnych, w tym allowlistingu dla krytycznych stacji roboczych.

Nie mniej ważne są działania organizacyjne i procesowe.

  • klasyfikacja danych policyjnych i biometrycznych jako zasobów najwyższej wrażliwości,
  • przygotowanie scenariuszy reagowania na incydenty obejmujących kompromitację portali obywatelskich,
  • prowadzenie threat huntingu w oparciu o TTP znanych grup APT,
  • retencja logów umożliwiająca analizę długookresową,
  • niezależne audyty bezpieczeństwa aplikacji webowych oraz testy red team ukierunkowane na nadużycie zaufanych usług.

W organizacjach przetwarzających dane biometryczne konieczne jest dodatkowo wdrożenie silnych mechanizmów szyfrowania, separacji repozytoriów danych oraz minimalizacji zakresu przechowywanych informacji. Kompromitacja takich zasobów powinna być traktowana jako incydent o znaczeniu strategicznym.

Podsumowanie

Opisane kampanie pokazują, że policyjne systemy informacyjne są celem o bardzo wysokiej wartości wywiadowczej. Równoległe operacje przypisywane podmiotom powiązanym z Chinami i Indiami przeciwko pakistańskim organom ścigania potwierdzają, że dane operacyjne, biometryczne i obywatelskie stanowią atrakcyjny zasób dla aktorów państwowych. Z perspektywy obrony najważniejszy wniosek jest jednoznaczny: systemy publiczne, zwłaszcza łączące funkcje administracyjne i bezpieczeństwa, powinny być chronione z rygorem właściwym dla infrastruktury krytycznej.

Źródła

  1. Pakistani Police Systems Hit by Chinese and Indian Espionage — https://www.infosecurity-magazine.com/news/chinese-indian-espionage-pakistani/
  2. One Target, Two Flags | Rival Espionage Actors Converge On Pakistani Law Enforcement — https://www.sentinelone.com/labs/one-target-china-india-espionage-converge-on-pakistani-law-enforcement/
  3. China, India-Linked Hackers Both Targeted Same Pakistani Police Force — https://www.securityweek.com/china-india-linked-hackers-both-targeted-same-pakistani-police-force/
  4. China, India-linked hacking groups targeted Pakistani law enforcement, report says — https://theprint.in/world/china-india-linked-hacking-groups-targeted-pakistani-law-enforcement-report-says/2982227/
  5. Suspected Chinese State-Linked Hackers Spying On 'All-Weather Friend’ Pakistan — https://www.ndtv.com/world-news/suspected-chinese-state-linked-hackers-spying-on-all-weather-friend-pakistan-11755620