Каждые 0,03 секунды – новая атака. Как Тайвань выживает под гнетом 2,4 млн ударов в день

Геополитика все сильнее влияет на кибератаки, и это уже не теория, а рабочая реальность для служб информационной безопасности. Специалисты Intel 471 отмечают, что действия государств и громкие политические решения сегодня напрямую отражаются на том, какие хакерские группы активизируются и какие цели они выбирают. Вместо ожидания отчётов о новых кампаниях, которые часто выходят спустя месяцы, защитникам предлагают смотреть на поведение атакующих и их приёмы уже сейчас.

Отчёт объясняет, как использовать геополитическую обстановку для проактивного поиска атак. Специалисты советуют отслеживать не только сами инциденты, но и политические события, санкции, торговые ограничения и военные заявления. Такие сигналы часто заранее показывают, какие отрасли и регионы попадут под удар. На практике это позволяет строить сценарии атак и заранее запускать целевой поиск подозрительной активности в инфраструктуре.

Отдельное внимание уделено китайским государственным хакерским группам. По наблюдениям, на фоне роста напряжённости между Пекином и Вашингтоном кибероперации стали тесно связаны с задачами национальной безопасности. Китайские структуры наращивают наступательные возможности и закрепляют это на уровне стратегических документов. В результате атаки чаще совпадают по времени с политическими кризисами, торговыми мерами и конфликтами вокруг Тайваня и Южно-Китайского моря.

На Тайване это уже выразилось в резком росте нагрузки. В 2024 году там фиксировали в среднем 2,4 млн кибератак в день, что примерно в 2 раза больше показателей предыдущего года. Особенно сильно выросло давление на телекоммуникации, где число атак увеличилось на 650%. Транспорт и оборонный сектор получили рост на 70% и 57%. При этом интерес к энергетике и водным ресурсам снизился. Аналитики считают, что такой сдвиг отражает стратегические приоритеты и подготовку к возможным кризисным сценариям.

Многие китайские группы действуют скрытно и стараются закрепиться в сетях надолго. Их цель не быстрый эффект, а скрытое присутствие с возможностью нарушить работу инфраструктуры в нужный момент. Для этого используются легальные системные инструменты, встроенные в операционные системы. Такой подход помогает маскировать активность под обычную административную работу. Также активно применяются уязвимости нулевого дня в сетевом оборудовании, доступном из интернета. По оценкам исследователей, около 85% таких уязвимостей, которые эксплуатировали китайские государственные группы с 2021 года, относились именно к пограничным сетевым устройствам.

Ещё один заметный тренд – это распределённые сети промежуточных узлов. Они строятся из арендованных серверов и взломанных маршрутизаторов и позволяют прятать реальный источник атакующего трафика. Через такие цепочки ведётся разведка и кража данных, а также управление вредоносными операциями.

Специалисты по поиску угроз делают ставку не на отдельные признаки взлома, которые быстро устаревают, а на повторяющиеся приёмы и техники. Например, запуск команд через зашифрованные параметры оболочки, удалённый запуск процессов через системные механизмы управления, попытки выгрузки базы каталога домена или получение дампа процесса аутентификации. По отдельности такие действия могут быть легитимны, но их сочетание и контекст позволяют выявлять именно целевые операции.

Специалисты ожидают, что в ближайшие 6–12 месяцев активность китайских групп продолжит расти. Помимо кражи данных, прогнозируется усиление диверсионных атак и информационных операций, в том числе с применением систем искусственного интеллекта для распространения дезинформации. При этом атакующие будут масштабировать кампании и пытаться охватить как можно больше организаций в каждой выбранной отрасли. Это подталкивает компании к более раннему поиску скрытого присутствия противника и к постоянной проверке инфраструктуры на признаки характерного поведения атакующих.