Взлом полиции Белуджистана: шпионские сети Китая и Индии действовали два года

security

Специалисты SentinelLABS зафиксировали продолжительную кампанию кибершпионажа против нескольких правоохранительных организаций Пакистана. Согласно опубликованным данным, активность предположительно связанных с Китаем и Индией угроз продолжалась с февраля 2024 года по апрель 2026 года. Основной целью стала полиция Белуджистана - провинции, где действуют сепаратистские группировки и пересекаются интересы региональных держав. Затронутыми объектами оказались сетевые устройства и серверы, на которых работали веб-приложения, управляющие данными о гражданах и сотрудниках: биометрическими записями, регистрацией отелей и арендаторов, уголовными делами и кадровыми документами.

Описание

Особое внимание привлекла система управления жалобами (Complaint Management System, CMS) полиции Белуджистана. Вредоносные файлы под названием cms_plugin.exe были загружены в каталог /client%20scripts/ этого портала. Один из образцов, написанный на Rust, загружал следующую стадию полезной нагрузки с сервера 193.42.25[.]65. Второй вариант, выполненный как .NET-сборка, маскировался под компонент антивируса Qihoo 360 Safe Guard и разворачивал на заражённом устройстве клиент AsyncRAT. При выполнении оба образца выводили сообщение "Update Complete! Please refresh the page", имитируя обновление портала. Такая маскировка позволяет предположить, что атакующие нацеливались на две группы пользователей портала: сотрудников полиции и граждан, проверяющих статус своих жалоб.

Предоставленный анализ сетевого трафика показал, что все четыре кластера командных серверов (C2) были активны против полиции Белуджистана в разные периоды. Инфраструктура PlugX и ShadowPad (предположительно китайские группы) работала с февраля по ноябрь 2024 года. Серверы Cobalt Strike использовались с октября 2024 года по декабрь 2025 года, а Remcos-инфраструктура, связанная с индийской группой TAG-179, наблюдалась с января по апрель 2026 года. География пострадавших не ограничилась Белуджистаном: под удар попали также полиция Хайбер-Пахтунхвы, Исламабада и Управление безопасных городов Пенджаба. Вне Пакистана жертвами стали правительственные, оборонные и научно-исследовательские организации Южной, Юго-Восточной, Центральной и Восточной Азии, Аравийского полуострова и Юго-Восточной Европы.

Мотивы атакующих, по оценке экспертов, определяются стратегическими интересами их государств. Китайские группы, вероятнее всего, стремятся самостоятельно оценить угрозы для китайских граждан, работающих в рамках китайско-пакистанского экономического коридора (CPEC). Повторяющиеся теракты против китайских специалистов, в том числе взрыв в Карачи в октябре 2024 года, вызвали открытое недовольство Пекина неспособностью Пакистана обеспечить безопасность. Полицейские базы данных содержат оперативную информацию о состоянии внутренней безопасности, что позволяет Китаю проверять данные независимо от официальных отчётов Исламабада. Для индийской стороны приоритетом выступает соперничество с Пакистаном, в котором Белуджистан является постоянным яблоком раздора. Исламабар обвиняет Дели в поддержке белуджских сепаратистов, Нью-Дели зеркально отвечает обвинениями в поддержке боевиков в Кашмире. Доступ к полицейским данным даёт Индии сведения о том, как Пакистан управляет безопасностью в стратегически важной провинции.

Скомпрометированные веб-приложения входили в программу Smart Police Station - инициативу по цифровизации полиции Белуджистана, поддержанную ЕС. Атакующим удалось получить доступ к серверам, на которых работают семь ключевых систем: регистрация жалоб и заявлений (FIR), управление кадровыми записями (HRMIS), учёт угнанных автомобилей (AVLS), проверка гостей отелей (HotelEye), база отпечатков пальцев (CRMS), регистрация арендаторов (TRS) и уже упомянутая CMS. В случае полного доступа к этим данным злоумышленники могли получить досье на сотрудников полиции, уголовные дела, биометрические шаблоны, записи о перемещениях граждан и их обращения. Особую опасность представляет компрометация почтового шлюза FortiMail - хотя на момент атаки он не был основным, он продолжал обрабатывать внутренний и исходящий трафик, что могло привести к утечке электронной переписки.

Использование портала CMS как механизма доставки вредоносного кода превратило инструмент, созданный для упрощения взаимодействия граждан с полицией, в ловушку. Если атакованный устройство принадлежало полицейскому, злоумышленник получал выход на внутренние сети и доступ к оперативным данным. Если жертвой становился гражданин, подавший жалобу, атакующие могли проводить слежку за заявителями. Разработчик вредоносного кода, судя по путям PDB, содержащим китайские слова в пиньине и сообщения на упрощённом китайском, вероятнее всего, является носителем китайского языка. Это косвенно подтверждает связь с группами, работающими на китайские спецслужбы.

Столкновение интересов двух держав на инфраструктуре одной полицейской службы - не случайность. Цифровизация правоохранительных органов, объединяя в одной среде операционные, кадровые и гражданские данные, создаёт концентрацию разведывательной ценности. Для государств, чьи приоритеты безопасности пересекаются с теми угрозами, которые отслеживает пакистанская полиция, такие системы становятся полем разведывательной деятельности. Вмешательство в работу портала для граждан и сотрудников расширяет поверхность поражения за пределы серверов: под угрозой оказываются все пользователи платформы. Эта ситуация демонстрирует, как технологическое развитие правоприменительных органов может открывать новые каналы для целенаправленного кибершпионажа, выходящего далеко за рамки традиционных целей.

Индикаторы компрометации

IPv4

  • 142.171.183.8
  • 172.111.233.105
  • 172.111.233.12
  • 172.111.233.26
  • 172.111.233.36
  • 172.111.233.96
  • 172.94.9.19
  • 172.94.9.43
  • 172.94.9.49
  • 193.42.25.65
  • 41.216.188.140
  • 45.125.32.218
  • 45.74.6.17
  • 89.31.121.220

URL

  • https://cms.balochistanpolice.gov.pk/client%20scripts/cms_plugin.exe

SHA1

  • 000fad96a85dd6933c22d3dbec9aed47b7f1f066
  • 08570471f39bb6725f07b8cddbea99ed48c22686
  • 23f4766c011d193f076dfc735dc460e2a41ead79
  • 23f6781919a50b118d8d4e6a7e9ae63b71ecc885
  • 2bab40c55637398f0497cff9c8cbea564d595c7f
  • 4039454c9189e64285e93fc075a30b93f814b5b5
  • 47f8cb0c2dcf62702f58cfc1603d6325755f6820
  • 539bd79fbb684edea94eb37518134b97e94b9dd8
  • 58cb2d95063b9df807b7aa8dc106b74ce988a491
  • 5d60ff36ff519c2e13e7f66cfa0bb46be79592a7
  • 63b88d00331de88af696dfb7a896935d830e485f
  • 6fe2e74d009abbd56de01fd7404a1245e9b47c79
  • 71757adba833b46f961e840d0f055bcce0b529c4
  • 8c329db96e093fa25268e078405a33c518dbb5c9
  • c6c197e61079a0a33108c2c87b5e3c7056a138ec
  • d66ab0cd2e44dc8389c111b7ed34c7bcb0b35311

Комментарии: 0