- Pakistańskie wojsko padło ofiarą udanego ataku przeprowadzonego przez Sidewinder, hinduską grupę AP
- Do odkrycia doszło po odszyfrowaniu i analizie dwóch próbek złośliwego oprogramowania, które zawierały m.in. listę przejętych plików
- Część plików wskazywało na najwyższego rangą oficera pakistańskiej armii
Pakistańskie wojsko padło ofiarą udanego ataku przeprowadzonego przez Sidewinder, hinduską grupę APT – uważają eksperci Check Point Research. Materiały dowodowe wskazują na kradzież nawet 20 tys. dokumentów należących do głównej siedziby Sił Powietrznych Pakistanu.
W maju 2022 r. do Virus Total przesłano kilka próbek złośliwego oprogramowania i dwa zaszyfrowane pliki związane z atakiem. Po ich odszyfrowaniu analitycy Check Point Research zauważyli, że jednym z nich jest biblioteka DLL .NET powiązana z grupą APT o nazwie „Sidewinder”, która jest przypisywana jest Indiom i znana z atakowania celów w Pakistanie. Szkodliwe oprogramowanie wykorzystywane w tej operacji szpiegowskiej ma za cel przede wszystkim kradzieży informacji.
Drugi odszyfrowany plik okazał się bardzo znaczący. Został on stworzony przez złośliwe oprogramowanie wykradające informacje i zawierał listę istotnych plików na zainfekowanym komputerze. Patrząc na zebrane nazwy, eksperci Check Point Research zauważyli, że większość z plików związana jest z wojskiem i lotnictwem, a pozostała część z komunikacją, obiektami jądrowymi, szkolnictwem wyższym, historią wojen, architekturą i energetyką. Ponadto niektóre ścieżki plików wskazywały na dokumenty „Przewodniczącego Połączonego Komitetu Szefów Sztabów”, najwyższego rangą oficera w pakistańskiej armii. Ogólnie wykryto wiele ścieżek plików (około 20 000 nazw plików), przy czym waga 2 MB sugeruje, że zainfekowana maszyna była używana lub miała dostęp do dysku wspólnego dla wielu osób w organizacji.
Z nazw plików i katalogów uzyskano również nazwy użytkowników-ofiar, w tym AHQ-STRC3. AHQ najprawdopodobniej oznacza AirHeadquarters Pakistan– siedziba Sił Powietrznych Pakistanu. Istnieją również dokumenty, w których w nazwach plików wyraźnie wymienione jest dowództwo sił powietrznych, co wzmacnia związek między „AHQ” w nazwie użytkownika, a siłami powietrznymi Pakistanu. Podczas dochodzenia wykryto również nazwę użytkownika o nazwie „gnss”, która może przypuszczalnie donosić się „Globalnego systemu nawigacji satelitarnej”.
Chociaż analiza plików złośliwego oprogramowania przesłanych do Virus Total często ujawnia tożsamość celów kampanii ataku, rzadko zdarza się ujawnianie dowodów na to, że atak rzeczywiście się powiódł. W tym przypadku Check Point Research potwierdziło, że plik dziennika utworzony przez szkodliwe oprogramowanie ujawnił tożsamość ofiar, w tym nazwy wrażliwych dokumentów i systemów.
Prowadzi to do założenia, że włamanie zostało ostatecznie wykryte i przeanalizowane przez ofiarę lub analityków bezpieczeństwa działających w jej imieniu.
Za atakiem stoi SideWinder?
SideWinder to podejrzana indyjska grupa APT, która silnie koncentruje się na organizacjach rządowych w Pakistanie i Chinach. Pod koniec marca 2022 r. Check Point Research opublikował analizę szkodliwego dokumentu SideWinder, który wykorzystywał konflikt rosyjsko-ukraiński. Sądząc po treści, zamierzonymi celami ataku były podmioty pakistańskie. Przynęta miała zawierać dokument Narodowego Instytutu Gospodarki Morskiej Uniwersytetu Bahria w Islamabadzie, zatytułowany „Rozmowa fokusowa na temat wpływu konfliktu na Rosję na Ukrainie w Pakistanie”.
