Der Austausch von Schüssen über die LoC spiegelt das steigende Volumen von Cyberangriffen in Indien wider; alle Anzeichen deuten auf staatlich unterstützte hybride Kriegsführung hin

Zwei Wochen nach dem Angriff in Pahalgam, der die Spannungen zwischen Indien und Pakistan verstärkte, sieht sich der indische Cyberraum und kritische Infrastruktur einer erhöhten Zielausrichtung durch Cyber-Proxys aus Pakistan gegenüber. Mit einer wachsenden Zahl von Proxy- und staatlich angeschlossenen APT-Akteuren, die in die Arena eintreten, wird erwartet, dass diese Angriffe sowohl in ihrem Umfang als auch in der Bandbreite der angepeilten Entitäten eskalieren.

Arten von Angriffen

Angriffe auf indische digitale Vermögenswerte von jenseits der Grenze können in 3 Kategorien eingeteilt werden, nämlich Aufklärungsangriffe, Angriffe auf Websites und Angriffe auf Verteidigungs- und kritische Informationsinfrastruktur. Sicherheitsüberwachungsdaten, die von den Netzwerken gesammelt wurden, die mit unserer Honeypot-Infrastruktur in Indien verbunden sind, zeigen einen Anstieg der eingehenden Angriffe durch pakistanische Cyber-Proxys um 750 Prozent. Während die meisten dieser Angriffe glaubwürdig mit solchen Proxys verknüpft werden können, haben wir auch einen Anstieg von Angriffen festgestellt, die von IP-Adressen ausgehen, die mit unsicheren digitalen Infrastrukturen in anderen Ländern verknüpft sind.

Cyberangriffe, die direkt mit Kämpfen über die LoC verbunden sind

Bei der Analyse der Cyberangriffslast im indischen Cyberraum wurde von unseren Forschern ein interessanter Datenpunkt/Korrelation festgestellt. Insgesamt gab es in den zwei Wochen seit dem Angriff 11 Tage der Eskalation in Bezug auf den Austausch von Feuer über die Kontrolllinie, die mehrere Waffenstillstandsverletzungen abdecken. Pakistan verstärkte am 27. April das schwere Artilleriefeuer, ein Datum, das auch in Bezug auf die beobachtete Anzahl von registrierten Cyber-Einbruchsversuchen auf unseren Honeypots von Bedeutung ist.

Um es kurz zu machen, können wir mit hoher Wahrscheinlichkeit spekulieren, dass die Führung, die hinter der zunehmenden Zahl von Waffenstillstandsverletzungen in Pakistan steht, die gleiche ist, die die pakistanischen Proxys leitet oder vielmehr in die Richtung lenkt, die indische Infrastruktur im Cyberraum anvisieren.

Erster Anstieg (24.–29. April 2025):

• Die Schusswechsel stiegen zwischen dem 24. April und dem 29. April von 3 auf 13.

• Die entsprechenden Cyber-Einbruchsversuche stiegen dramatisch von 988 auf 26.001.

• Dies weist auf eine gleichzeitige Eskalation sowohl der physischen als auch der Cyber-Aggression hin.

Höchststand am 29. April 2025:

• Die höchste Anzahl von Schusswechseln (13).

• Die Cyber-Einbrüche erreichten ebenfalls 26.001, was auf eine koordinierte Anstrengung hindeutet.

Rückgang am 1. Mai 2025:

• Die Schusswechsel fielen auf 6, und die Cyber-Einbrüche fielen erheblich auf 4.382.

• Dies weist auf eine momentane Deeskalation oder taktische Pause hin.

Erneute Aktivität (2.–4. Mai 2025):

• Die Schüsse stiegen am 3. Mai wieder auf 11.

• Die Cyber-Einbruchsversuche stiegen am 3. Mai stetig von 11.519 auf 17.103, mit einem leichten Rückgang auf 16.662 am 4. Mai.

• Die rote Linie zeigt Schusswechsel, während die blaue Linie Cyber-Einbruchsversuche zeigt.

• Beachten Sie, wie die Spitzen und Rückgänge in beiden Metriken eng miteinander korrelieren - insbesondere um den 29. April, als beide Metriken ihren Höhepunkt erreichen.

• Dies verstärkt die starke positive Korrelation (≈ 0,94), die in den Daten beobachtet wurde.

• Eine höhere Frequenz von grenzüberschreitenden Schüssen fällt mit größeren Wellen von Cyberangriffen zusammen.

• Dieses Muster deutet auf koordinierte hybride Kriegsführungstaktiken hin, die wahrscheinlich sowohl kinetische als auch Cyber-Operationen umfassen, die darauf abzielen, indische Verteidigungs- und Nachrichtendienstsysteme zu überwältigen.

Der Pearson-Korrelationskoeffizient zwischen Schusswechseln und Cyber-Einbruchsversuchen beträgt ungefähr 0,94.

Ein Korrelationskoeffizient von 0,94 deutet auf eine sehr starke positive lineare Beziehung zwischen zwei Variablen hin. Dies bedeutet, dass wenn eine Variable zunimmt, die andere ebenfalls tendenziell zunimmt, und die Beziehung stark ist, was auf einen hohen Grad der Assoziation hinweist. 

Betrachten wir dies etwas detaillierter: 

Größe:

Der Absolutwert des Korrelationskoeffizienten (0,9 in diesem Fall) gibt die Stärke der Beziehung an. Ein Wert näher an 1 (entweder positiv oder negativ) zeigt eine stärkere Beziehung an.

Richtung (Positiv oder Negativ):

Das Vorzeichen des Korrelationskoeffizienten (positiv in diesem Fall) gibt die Richtung der Beziehung an. Eine positive Korrelation bedeutet, dass wenn eine Variable zunimmt, die andere ebenfalls tendenziell zunimmt, während eine negative Korrelation bedeutet, dass wenn eine Variable zunimmt, die andere tendenziell abnimmt.

Linearität:

Korrelationen messen speziell lineare Beziehungen. Ein Korrelationskoeffizient von 0,9 legt eine starke lineare Beziehung nahe, was bedeutet, dass die Variablen dazu neigen, sich in einer geraden Linie zu bewegen.

Interpretation:

Dies zeigt eine sehr starke positive Korrelation, was bedeutet, dass mit zunehmenden grenzüberschreitenden Schusswechseln auch die Cyber-Einbruchsversuche erheblich zunehmen. Dies ist ein deutliches Zeichen für eine laufende hybride Kriegsführung.

Hintergrund zu pakistanischen Proxys

Nach unseren Recherchen sind pakistanische Proxys in drei Ringe gegliedert.

Der äußerste Ring besteht aus Gruppen wie Insane PK, ArchNMe und einigen obskuren Gruppen, die hinter den meisten Web-Defacements stehen, die hauptsächlich von lästigem Wert sind. Diese Gruppen haben die Aufgabe, einen Rauchbildschirm zu erstellen, um die Aufmerksamkeit von den tatsächlichen Zielen abzulenken.

Der mittlere Ring besteht aus Gruppen wie Pakdefn, Xploiter und anderen, die kritische Infrastrukturen angreifen, mit Ausnahme derjenigen, die mit Verteidigungs- und Luftfahrtsektoren verbunden sind.

Der innere Ring besteht aus Gruppen wie Transparent Tribe und deren Affiliates. Diese Gruppe berichtet an einen Zweig der pakistanischen Streitkräfte, der in Karachi ansässig ist. Transparent Tribe ist bekannt dafür, auf Golang-basierte Tools zurückzugreifen, um ein Multifehlwarenkit zur Datenexfiltration zu entwickeln. Diese Kits werden über Chat-Plattformen, Phishing-Kampagnen und betrügerische Websites bereitgestellt. Überraschenderweise wurde diese Gruppe 2024 von unseren Forschern in mindestens 17 Fällen leicht verfolgt. Die IP-Adresse bei mehreren Angriffen wurde auf Karachi zurückverfolgt, und mindestens 7 isolierte Kits, die von unseren Forschern identifiziert wurden, deuteten nicht nur auf eine regionale Zeitzone hin, sondern auch auf den Fingerabdruck dieses Bedrohungsakteurs. Darüber hinaus verlässt sich diese Gruppe auch auf die Vergiftung gängiger Dateiformate, um ihre Ausführungskits an das Opfer zu liefern.