パキスタン警察システム、中国とインドによるスパイ活動の標的に

中国とインド、それぞれとつながりを持つ2つの敵対的な国家主導サイバースパイ活動が、パキスタンの同一警察組織に集中していたことが分かりました。

SentinelOneの研究部門であるSentinelLabsが7月9日に発表した新たな分析によると、中国系およびインド系とみられる攻撃者は2024年2月から2026年4月にかけて、パキスタンの複数の法執行機関に対して侵入キャンペーンを展開し、同国最大の州警察組織であるバロチスタン州警察に標的を集中させていたということです。

侵害を受けた資産には、生体認証記録、犯罪捜査ファイル、国民IDデータに紐づく賃借人登録といったアプリケーションをホストするサーバーが含まれていました。中国系とみられる攻撃者の一つは、警察官と市民の双方が利用するポータルにインプラントを仕込んでいたと報告されています。

SentinelLabsは、観測されたコマンド・アンド・コントロール(C2)活動を4つのクラスターに分類しました。PlugX、ShadowPad、Cobalt Strikeは中国系の攻撃者を示唆しています。一方、Remcosを用いたクラスターは、Recorded FutureがTAG-179として追跡するインド系とみられる攻撃者と関連づけられており、これは他のセキュリティ企業がBitterと呼ぶグループと重なっています。

中国のスパイ活動に関する関連記事: 中国のハッカー集団、欧州各国政府をスパイキャンペーンで標的に

目的が異なる2つの対抗勢力

SentinelLabsによると、中国側の動機として考えられるのは、中パ経済回廊(CPEC)に関連する自国民の安全確保だとみられます。

中国人はバロチスタン分離主義組織バロチスタン解放軍(BLA)が犯行声明を出したものも含め、繰り返し死者を伴う攻撃の標的となってきたとされています。警察データを入手できれば、中国は独自にその脅威を評価できるようになります。

一方、インド側の動機としては、パキスタンとの対立関係がより有力視されており、バロチスタンはその中でも繰り返し緊張が高まる火種となっています。

イスラマバードはニューデリーが反乱勢力を支援していると非難しており、インド側はこれを否定していますが、同警察組織はパキスタンが同州をどのように統治しているかを示す記録を保有しています。

利用者に牙をむいた市民向けポータル

今回の分析で特に注目すべき発見は、警察官と苦情を確認する市民の双方が利用する苦情管理システム(CMS)が侵害されていたことです。

cms_plugin.exeという名称のインプラントには2つの亜種があり、2024年後半にアップロードされました。一つはRustで書かれたもの、もう一つは.NETで書かれたものです。Rust版はステージャーであり、実行されるとポータルの更新を装って「Update Complete! Please refresh the page」(更新が完了しました。ページを更新してください)と表示します。

.NET版は中国のセキュリティソフトウェアベンダーQihoo 360の製品コンポーネントを装い、AsyncRATクライアントを読み込みました。共有されたコードや簡体字中国語の文字列から、中国語を母語とする開発者の関与がうかがえます。

これらのアプリケーションの背後にあるデータベースにアクセスできれば、以下の情報が流出する恐れがあります。

  • 警察職員および給与記録

  • 犯罪捜査ファイルおよび指紋生体認証データ

  • 盗難車両記録

  • 身元確認データに紐づくホテルチェックイン情報

  • 家主・賃借人登録情報

  • 職権乱用の報告を含む市民からの苦情

今回の事案は、デジタル化された警察活動が抱える構造的リスクを浮き彫りにしています。記録やサービスを一元化するシステムは、同時に諜報上の価値も集約することになり、能力を持つ敵対勢力にとって警察のインフラそのものが諜報活動の対象地となってしまうのです。

翻訳元: https://www.infosecurity-magazine.com/news/chinese-indian-espionage-pakistani/

ソース: infosecurity-magazine.com