Индия шпионит за правительствами Пакистана, Бангладеш и Шри-Ланки

Исследователи из компании Arctic Wolf, специализирующейся на кибербезопасности, сообщили о масштабной шпионской кампании, направленной против правительственных учреждений и операторов критической инфраструктуры в Пакистане, Бангладеш и Шри-Ланке. Эксперты связывают эту активность с индийским киберпреступником, известным под псевдонимом SloppyLemming. Источник: The Record

Данная кампания является расширением вредоносной деятельности, которую ранее, в сентябре 2024 года, уже фиксировала компания Cloudflare. Операция длилась целый год, начиная с января 2025 года, и включала в себя два основных метода воздействия. Первый тип атак заключался в распространении вредоносных PDF-файлов с программным обеспечением BurrowShell. Этот бэкдор позволяет хакерам делать снимки экрана и манипулировать файловой системой зараженного устройства. Второй метод основывался на отправке документов Excel, содержащих вредоносное ПО с функциями кейлоггера и возможностями для проведения глубокой разведки в системе.

Технический анализ выявил, что субъект угроз обладает средним уровнем квалификации. Несмотря на использование многоступенчатых цепочек выполнения, которые демонстрируют понимание методов обхода защиты и знание внутреннего устройства операционной системы Windows, злоумышленники допускали оперативные сбои. В частности, исследователи обнаружили уязвимости открытых каталогов, что указывает на недостаточно дисциплинированный подход к безопасности самих хакеров. Именно поэтому в названии группы присутствует слово «небрежный», отражающее исторически непоследовательную операционную безопасность преступников. Для обмана жертв злоумышленники использовали 112 доменов Cloudflare, зарегистрированных в прошлом году. Имена этих доменов имитировали официальные названия правительств Пакистана и Бангладеш.

Специалисты отметили, что атаки были нацелены на крайне чувствительные объекты, включая Пакистанское управление по ядерному регулированию, организации оборонной логистики и телекоммуникационную инфраструктуру. В Бангладеш целями стали энергетические компании и финансовые учреждения. Среди конкретных пострадавших организаций значатся Военно-морские силы Пакистана, Национальная логистическая корпорация, пакистанская компания DESCON и Power Grid Company из Бангладеш. Также под ударом оказались телекоммуникационные операторы Special Communications Organization и Pakistan Telecommunication Company. По данным экспертов, группа SloppyLemming ведет деятельность как минимум с 2021 года, преследуя цели, которые полностью соответствуют государственным интересам Индии.

Сами кампании обычно начинаются с методов социальной инженерии или фишинговых рассылок. При открытии вредоносного документа жертва видит размытое содержимое и сообщение о том, что программа для чтения PDF-файлов якобы отключена. Пользователю предлагается совершить определенные действия, которые в итоге открывают хакерам доступ к системе. Установленное ПО позволяет вести запись нажатий клавиш, сканировать сеть и обеспечивать постоянное присутствие в системе. Одно из таких писем было отправлено якобы от имени крупного финансового учреждения Бангладеш. Выводы Arctic Wolf частично совпали с данными компании Trellix за октябрь 2025 года. Ранее специалисты Cloudflare отмечали, что активность SloppyLemming началась еще в конце 2022 года и, помимо Пакистана, Шри-Ланки и Бангладеш, охватывала Непал, Индонезию и Китай. При этом компания Crowdstrike идентифицирует данного противника как Outrider Tiger, указывая на его прямую связь с Индией и поддержку в сборе разведывательной информации для индийских государственных структур.

Читайте также: Канада включила Индию в список киберугроз, обвинив ее шпионаже

# # # # #

Только главные новости в нашем Telegram, Facebook и GoogleNews!