Хакеры охотились за полицейскими базами почти два года.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
Китайские и индийские хакеры почти два года атаковали полицейские структуры Пакистана и получили доступ к системам, где хранились уголовные дела, биометрические данные, сведения о сотрудниках и жалобы граждан.
По данным SentinelLABS, шпионская кампания продолжалась с февраля 2024 года по апрель 2026 года. Наибольшее число атак пришлось на полицию Белуджистана, однако заражённую инфраструктуру нашли и у полиции Исламабада и Хайбер-Пахтунхвы, а также в Управлении безопасных городов Пенджаба.
Злоумышленники использовали вредоносные программы PlugX , ShadowPad и Remcos, а также инструмент Cobalt Strike , который позволяет удалённо управлять заражёнными системами. Специалисты связывают часть атак с китайскими группировками, а другую часть – с индийской группировкой TAG-179, которая пересекается по инфраструктуре и методам с Mysterious Elephant и APT-C-08.
Атакующие проникали в сетевое оборудование, почтовые шлюзы и серверы полиции Белуджистана. На них работали государственные веб-системы, которые регистрировали преступления, хранили отпечатки пальцев, учитывали угнанные автомобили, принимали жалобы граждан и вели сведения о сотрудниках, жильцах и постояльцах гостиниц.
При доступе к базам данных хакеры могли получить подробную картину работы полиции, включая уголовные дела, кадровые записи, биометрические сведения, а также то, как перемещались подозреваемые и куда обращались граждане. В число затронутых устройств также вошёл почтовый шлюз Fortinet FortiMail, который оставался подключённым к сети и мог обрабатывать внутреннюю или исходящую почту.
Особое внимание злоумышленники уделили системе, которая принимала и обрабатывала жалобы. Портал используют как полицейские, так и жители провинции, которые проверяют статус своих заявлений. В конце 2024 года атакующие разместили на сервере два вредоносных файла под названием cms_plugin.exe и замаскировали их под обновление портала.
После того как жертва запускала файл, один из них загружал дополнительную программу с удалённого сервера, а второй устанавливал AsyncRAT. Вредонос показывал сообщение об успешном обновлении и просил перезагрузить страницу. Такая схема позволяла заражать компьютеры полицейских и граждан, посещавших портал.
В исходном коде специалисты нашли пути к файлам, китайские слова, записанные латиницей, и сообщения на упрощённом китайском языке. SentinelLABS считает, что вредоносные программы создал разработчик, говорящий по-китайски.
Китайские группировки, вероятно, искали сведения об угрозах гражданам Китая, которые работают в Пакистане в рамках Китайско-пакистанского экономического коридора. Индийских хакеров могла интересовать обстановка в Белуджистане, который остаётся одним из главных источников напряжённости между Индией и Пакистаном.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
Китайские и индийские хакеры почти два года атаковали полицейские структуры Пакистана и получили доступ к системам, где хранились уголовные дела, биометрические данные, сведения о сотрудниках и жалобы граждан.
По данным SentinelLABS, шпионская кампания продолжалась с февраля 2024 года по апрель 2026 года. Наибольшее число атак пришлось на полицию Белуджистана, однако заражённую инфраструктуру нашли и у полиции Исламабада и Хайбер-Пахтунхвы, а также в Управлении безопасных городов Пенджаба.
Злоумышленники использовали вредоносные программы PlugX , ShadowPad и Remcos, а также инструмент Cobalt Strike , который позволяет удалённо управлять заражёнными системами. Специалисты связывают часть атак с китайскими группировками, а другую часть – с индийской группировкой TAG-179, которая пересекается по инфраструктуре и методам с Mysterious Elephant и APT-C-08.
Атакующие проникали в сетевое оборудование, почтовые шлюзы и серверы полиции Белуджистана. На них работали государственные веб-системы, которые регистрировали преступления, хранили отпечатки пальцев, учитывали угнанные автомобили, принимали жалобы граждан и вели сведения о сотрудниках, жильцах и постояльцах гостиниц.
При доступе к базам данных хакеры могли получить подробную картину работы полиции, включая уголовные дела, кадровые записи, биометрические сведения, а также то, как перемещались подозреваемые и куда обращались граждане. В число затронутых устройств также вошёл почтовый шлюз Fortinet FortiMail, который оставался подключённым к сети и мог обрабатывать внутреннюю или исходящую почту.
Особое внимание злоумышленники уделили системе, которая принимала и обрабатывала жалобы. Портал используют как полицейские, так и жители провинции, которые проверяют статус своих заявлений. В конце 2024 года атакующие разместили на сервере два вредоносных файла под названием cms_plugin.exe и замаскировали их под обновление портала.
После того как жертва запускала файл, один из них загружал дополнительную программу с удалённого сервера, а второй устанавливал AsyncRAT. Вредонос показывал сообщение об успешном обновлении и просил перезагрузить страницу. Такая схема позволяла заражать компьютеры полицейских и граждан, посещавших портал.
В исходном коде специалисты нашли пути к файлам, китайские слова, записанные латиницей, и сообщения на упрощённом китайском языке. SentinelLABS считает, что вредоносные программы создал разработчик, говорящий по-китайски.
Китайские группировки, вероятно, искали сведения об угрозах гражданам Китая, которые работают в Пакистане в рамках Китайско-пакистанского экономического коридора. Индийских хакеров могла интересовать обстановка в Белуджистане, который остаётся одним из главных источников напряжённости между Индией и Пакистаном.
- Источник новости
- www.securitylab.ru