Wprowadzenie do problemu / definicja luki
Nie mówimy tu o pojedynczej „luce” (CVE), tylko o długotrwałej kampanii wymierzonej w infrastrukturę krytyczną (CI) — czyli systemy i usługi, których zakłócenie realnie uderza w państwo i obywateli (energia, łączność, transport, szpitale, finanse itd.). Tajwańskie służby wskazują, że skala działań przypisywanych Chinom osiągnęła w 2025 r. średnio 2,63 mln prób naruszeń dziennie, a część aktywności miała być zsynchronizowana z presją militarną.
W skrócie
- 2,63 mln: średnia dzienna liczba prób ataków na CI Tajwanu w 2025 r. (+6% r/r).
- Największe wzrosty wg raportu: energetyka (ok. 10× względem 2024) oraz ratownictwo/szpitale (+54%).
- Dominujące techniki: eksploatacja podatności (57%), DDoS (21%), socjotechnika (18%), supply chain (4%).
- Wskazane grupy/klastry m.in.: BlackTech, Flax Typhoon, Mustang Panda, APT41, UNC3886.
- Cel strategiczny (z perspektywy Tajwanu): paraliż usług + rozpoznanie/utrzymanie dostępu + kradzież technologii (w tym ekosystem parków naukowych/łańcuch półprzewodników).
Kontekst / historia / powiązania
Tajwański National Security Bureau publikuje dane porównawcze co najmniej od 2023 r.; w ujęciu CI widać skok: 1,23 mln/dzień (2023) → 2,46 mln/dzień (2024) → 2,63 mln/dzień (2025).
Wątek „hybrydowy” jest kluczowy: Reuters relacjonuje, że część operacji cyber miała iść w parze z presją wojskową i polityczną (m.in. okresowe skoki aktywności podczas wrażliwych wydarzeń).
Analiza techniczna / szczegóły kampanii
Z perspektywy obrony najważniejsze jest to, jak atakowano — bo to bezpośrednio przekłada się na priorytety zabezpieczeń:
1) Eksploatacja podatności (57%)
Największy udział mają ataki na niezałatane lub „łatwe” do zautomatyzowania podatności w sprzęcie i oprogramowaniu — w tym na styku ICT/OT i w środowiskach, które często mają długie cykle aktualizacji.
W tle pasuje to do znanych wzorców: np. UNC3886 to aktor kojarzony z koncentracją na urządzeniach brzegowych (edge), takich jak routery, gdzie bywa mniej telemetrii i trudniej o EDR.
2) DDoS (21%)
W raporcie opisano użycie botnetów do zalewania usług CI ruchem w celu opóźnienia lub czasowego paraliżu (wpływ na codzienne funkcjonowanie).
3) Socjotechnika (18%)
Klasyczny phishing, podszywanie się pod kontakty biznesowe, a także wskazana została technika ClickFix (scenariusze z „fałszywymi błędami/aktualizacjami”, które skłaniają ofiarę do wykonania działań zwiększających uprawnienia atakującego).
4) Supply chain (4%)
Mniejszy udział procentowy nie oznacza mniejszego ryzyka: kompromitacja dostawcy/partnera bywa „multiplikatorem” zasięgu (jeden dostęp → wielu odbiorców).
5) „Cicha” obecność i utrzymanie dostępu
W kontekście grup takich jak Flax Typhoon, Microsoft opisywał model działań, w którym do utrzymania dostępu używa się w dużej mierze legalnych narzędzi i funkcji systemu (living-off-the-land), minimalizując „głośne” malware. To utrudnia detekcję opartą wyłącznie o sygnatury.
Praktyczne konsekwencje / ryzyko
Dla operatorów CI i podmiotów wspierających (telekomy, dostawcy ICT, integratorzy OT) taki obraz oznacza kilka realnych scenariuszy:
- Ryzyko zakłóceń usług (availability): zwłaszcza przy DDoS i atakach na wąskie gardła (DNS, łącza, portale dostępu, zdalne bramy).
- Ryzyko niejawnej infiltracji (espionage/pre-positioning): eksploatacja podatności + utrzymanie dostępu na edge/virtualization to przepis na długą obecność i „gotowość” na eskalację.
- Ryzyko dla zdrowia i bezpieczeństwa publicznego: raport wskazuje na wyraźny wzrost w sektorze ratownictwa i szpitali.
- Ryzyko kradzieży technologii: Reuters opisuje zainteresowanie parkami naukowymi i łańcuchem półprzewodników jako celami o wysokiej wartości strategicznej.
Rekomendacje operacyjne / co zrobić teraz
Checklistę warto ułożyć pod cztery dominujące wektory (podatności, DDoS, phishing, supply chain):
- Zarządzanie podatnościami „na ostro” (edge/remote access/OT gateways)
- priorytetyzacja: urządzenia brzegowe, VPN, firewalle, routery, hypervisory, vCenter/konsole zarządzania
- zasada: „internet-facing = patch fast”, z kontrolą ekspozycji i kompensacją (WAF, ACL, geofencing) tam, gdzie patch nie wchodzi od razu
- Segmentacja i kontrola uprawnień
- separacja IT/OT, mikrosegmentacja krytycznych usług, silne MFA (zwłaszcza dla administracji i dostępu zdalnego)
- PAM dla kont uprzywilejowanych i „just-in-time admin”
- Odporność na DDoS
- playbook z operatorem/clean-pipe/scrubbing, testy w oknach utrzymaniowych
- redundancja (DNS, reverse proxy, CDN), monitoring anomalii wolumetrycznych i aplikacyjnych
- Higiena poczty i socjotechniki
- SPF/DKIM/DMARC, sandboxing załączników, blokady makr, szkolenia pod scenariusze „ClickFix”/fałszywe alerty IT
- szybki kanał zgłaszania phishingu + automatyzacja reakcji (SOAR)
- Supply chain: wymuszanie standardu bezpieczeństwa
- minimalne wymagania: SBOM tam, gdzie możliwe, SLA na łatki, wymóg MFA, logowanie i retencja, audyt dostępu serwisowego
- ocena ryzyka dostawców mających dostęp do systemów CI (zdalny serwis, integratorzy)
- Detekcja pod „low-noise” (living-off-the-land)
- korelacja logów (IdP, VPN, urządzenia sieciowe), detekcje behawioralne, telemetryka z edge (NetFlow, syslog)
- polowanie na: nietypowe konta admin, nowe reguły tuneli, zmiany konfiguracji, anomalie w harmonogramach zadań
Różnice / porównania z innymi przypadkami
Najbardziej czytelne porównanie to dynamika skali i „zmiana ciężaru” na sektory:
- W ujęciu CI: 2023 → 2024 to niemal podwojenie, a 2025 utrzymuje bardzo wysoki wolumen (2,63 mln/dzień) z dalszym wzrostem r/r.
- Najmocniej „wystrzeliła” energetyka (ok. 10× r/r), co jest spójne z logiką presji na usługi o krytycznym znaczeniu dla funkcjonowania państwa.
- Na poziomie TTP widać klasyczną mieszankę: podatności + utrzymanie dostępu + zakłócanie usług + social engineering + łańcuch dostaw — czyli zestaw, który trudno „załatać” jednym produktem; wymaga odporności procesowej.
Podsumowanie / kluczowe wnioski
- Skala (2,63 mln/dzień) to sygnał, że mówimy o ciągłym bombardowaniu i próbach uzyskania przewagi informacyjnej oraz operacyjnej, nie o incydentach punktowych.
- Największy ciężar obrony powinien iść w redukcję ekspozycji, szybkie łatanie internet-facing, telemetrię z edge, odporność na DDoS i ochronę przed phishingiem.
- Kampanie „ciche” (legitne narzędzia, minimalny malware) podnoszą znaczenie detekcji behawioralnej i korelacji logów, nie tylko AV/IOC.
Źródła / bibliografia
- Reuters — raport o skali cyberataków na CI Tajwanu i wątku „hybrydowym”. (Reuters)
- Taipei Times — szczegóły raportu NSB (sektory, procenty TTP, wzrosty r/r, lista grup). (Taipei Times)
- National Security Bureau (Taiwan) — „Analysis on China’s Cyberattack Techniques in 2024” (tło trendów i technik). (nsb.gov.tw)
- Microsoft Security Blog — opis działań Flax Typhoon przeciw organizacjom na Tajwanie (model „low-noise”). (Microsoft)
- Google Cloud / Mandiant — UNC3886 i ataki na urządzenia sieciowe (Juniper), znaczenie edge. (Google Cloud)