Cyberkonflikt indyjsko-pakistański. New Delhi wystawiło grupę do zadań specjalnych?

Działania jak i oprogramowanie zostały przypisane grupie Confucius, która, jak wskazują eksperci, jest dobrze znana z podszywania się pod legalne służby, aby zatrzeć ślady i zmylić swoje ofiary. Według mediów i specjalistów zajmujących się działalnością tej siatki, grupa jest powiązana z rządem oraz posiada charakter proindyjski . Co więcej, jest ona wykorzystywana w zdobywaniu przewagi nad przeciwnikiem w ramach konfliktu Pakistan-Indie. 

Narzędzia, które zostały wykryte przez ekspertów Lookout – Hornbill i SunBird – wykorzystywane są, jak twierdzą badacze, do prowadzenia działań wymierzonych w personel powiązany z pakistańskimi władzami wojskowymi, członkami administracji związanej z badaniami nuklearnymi oraz indyjskimi urzędnikami wyborczymi w Kaszmirze.

Hornbill i SunBird – posiadają wyrafinowane możliwości pozyskiwania danych –eksfiltracji SMS-ów, gromadzenia zaszyfrowanych treści z aplikacji korespondencyjnych oraz geolokalizacji urządzenia, a także pobierania innych rodzajów poufnych informacji z zainfekowanego sprzętu. Co więcej, eksperci odkryli, że SunBird jest umieszczany na urządzeniu poprzez instalację aplikacji skierowanych głównie do muzułmanów i określonej lokalizacji (np. Kashmir News) - co wskazywać może na motywy prowadzenia działań oraz grupę osób, która pozostaje w obszarze zainteresowań atakujących.

Oprócz wyżej wymienionych funkcjonalności, pomimo że narzędzia różnią się pod względem sposobów działania na zainfekowanym urządzeniu, oba są w stanie pozyskiwać szeroką gamę informacji z urządzenia ofiary, jak dzienniki połączeń, listy kontaktów, metadane urządzenia, w tym numer IMEI/Android ID czy wersja zainstalowanego oprogramowania oraz model urządzenia.

Oprogramowanie jest w stanie przejmować również bazy przechowywane w pamięci zewnętrznej oraz posiada dostęp do notatek WhatsApp. Co więcej, może prosić o dostęp administratora urządzenia, robić screenshoty i rejestrować tym samym wszystko, co ofiara robi na swoim urządzeniu. Posiada również możliwość robienia zdjęć za pomocą aparatu oraz nagrywać otoczenie i rozmowy. Nie trudno sobie wyobrazić, w jaki sposób zdobyte za pomocą tych narzędzi informacje umożliwiają infiltrację wybranych środowisk. 

Poddane analizie 18 GB danych pozyskanych przez te narzędzia, które zostały ujawnione z szczęściu niezabezpieczonych serwerów, wskazują na cały wachlarz atakowanych osób. Ujawnione informacje pozwoliły ocenić, że hakerzy byli zainteresowani urządzeniami należącymi m.in.  do osoby, która ubiegała się o stanowisko w Pakistańskiej Komisji Energii Atomowej, osoby z licznymi kontaktami w Pakistańskich Siłach Powietrznych (PAF), a także oficerów odpowiedzialnych za listy wyborcze w dystrykcie Pulwama w Kaszmirze.

Narzędzia, jak wskazują eksperci Lookout po przeprowadzonej analizie próbki danych, były bardzo skuteczne. Z badania wynika, że cyberprzestępcom udało się zainfekować urządzenia z Europy, Stanów Zjednoczonych i Azji. Eksperci sądzą, że SunBird został stworzony przez indyjskich programistów, którzy podejrzewani są również o wyprodukowanie także innego komercyjnego produktu szpiegowskiego, który został nazwany BuzzOut.   

Badana próbka wskazuje również na jeszcze jeden interesujący element - czas pozyskiwania informacji z zainfekowanych urządzeń, który jest zastanawiający. Dane były regularnie pobierane do końca 2018 roku, po czym nastąpiła przerwa (z jednym wyjątkiem) aż do 11 kwietnia następnego roku. Data ta jest o tyle nie przypadkowa, że w tym dniu odbywały się wybory parlamentarne w Indiach. 

Pomimo, że, jak wskazują eksperci, w tym wypadku mamy do czynienia prawdopodobnie z działalnością prorządowych grup prowadzących działania w sieci, to jednak sama indyjska administracja jest świadoma możliwości prowadzenia podobnej działalności przez inne państwa. 

Na przestrzeni ostatnich miesięcy zdecydowano się zbanować ponad 170 chińskich aplikacji – od gier wideo, poprzez popularne serwisy randkowe aż po aplikacje gigantów sprzedażowych jak AliExpress. W oficjalnym komunikacie podstawą do podjęcia działań była m.in. dbałość o suwerenność, bezpieczeństwo państwa oraz zachowanie porządku publicznego. 

Jedną z pierwszych decyzji było polecenie odinstalowania 89 aplikacji ze smartfonów, które otrzymali oficerowie i żołnierze w lipcu 2020. Na liście znajdowały  się zarówno amerykańskie jak i chińskie platformy, w tym również te najpopularniejsze - Facebook, Instagram, Tik Tok i Tinder. Times of India, który pozyskał anonimowo komentarz wskazał wtedy, że „Dyrektywa została wydana, ponieważ gwałtownie wzrosła liczba personelu wojskowego atakowanego przez agencje wywiadowcze Pakistanu i Chin”.   

Indyjskie media wskazywały również, że decyzja rządu może mieć bezpośrednie powiązanie z odnotowanymi w przeciągu ostatnich lat przypadkami, kiedy pakistański wywiad, podszywając się pod kobiety, próbował zdobyć poufne informacje.