Pakisztáni haditengerészet elleni kiberkémkedési kampány
2024. szeptember elején a BlackBerry Threat Research and Intelligence csapata az indiai szubkontinensen zajló kibertevékenységek folyamatos nyomon követése keretében egy érdekes PDF csalira bukkant, amely első pillantásra a pakisztáni haditengerészet belső informatikai kommunikációjának tűnik. A Blackberry csapata követte a digitális nyomokat, egymáshoz kapcsolódó infrastruktúrákra, különböző fájltípusú nyomokat tartalmazó hálózatra bukkantak, amelyek kémkedési témájúnak tűntek, és amelyek célja végső soron az volt, hogy egy lopakodó infostealer-t juttassanak el a kiszemelt áldozatokhoz.
A kampány kezdeti csalija egy PDF dokumentum, amelyet úgy terveztek, hogy úgy nézzen ki, mint a pakisztáni haditengerészet belső informatikai feljegyzése, amely az Axigen Thunderbird biztonságos e-mail kommunikációra történő integrációjára vonatkozó utasításokat tartalmaz. Ez a csali dokumentum tartalmaz egy beágyazott URL-t, amely a szükséges fájlok megszerzésére szolgál, és a felhasználókat a letöltésre és telepítésre irányítja. Első pillantásra úgy tűnik, hogy a letöltési link megfelel a Pakisztáni Haditengerészet legitim URL-jének, mivel biztonságos protokollt és „paknavy” domainnevet használ. Ebben az esetben azonban a kiberszereplő egy rosszindulatú keresőmotor-optimalizálási (SEO) poisoning technikát, az úgynevezett typo-squattingot használt, mivel a pakisztáni haditengerészet törvényes URL-címei megfelelnek a „paknavy.gov.pk” mintának. Az eredeti URL a https://www.naknavy.gov.pk, a hamis URL pedig a https://www[.]paknavy[.]rf[.]gd/. A hamis URL oldalának vizsgálatakor kiderült, hogy az olyan kódot tartalmaz, amelynek célja annak ellenőrzése, hogy a célkörnyezetben engedélyezve van-e a JavaScript.
Ahogy a kutatók mélyebbre merültek ebben a kampányban, azt találták, hogy a taktikák, technikák és eljárások (TTP-k) közül több átfedést mutatott azokkal, amelyeket korábban két másik prominens kiberszereplő használt, azonban úgy érezték a Blackberry-nél, hogy nincs elég bizonyíték az megalapozott azonosításhoz. A Blackberry kutatói blogjukban részletezik ennek az ismeretlen kiberszereplőnek a teljes támadási láncát, és ajánlásokat adnak a a fenyegetés elhárításához.
