Dzisiaj w Internecie nie chodzi jedynie o zwykłe wirusy i kradzież pieniędzy. Toczy się globalna gra szpiegowska państw, której większość ludzi nie dostrzega, mimo że stawką jest bezpieczeństwo całych krajów. Kraje takie jak Chiny i Rosja nie tylko śledzą swoich obywateli, ale aktywnie szpiegują inne państwa, atakując infrastrukturę wojskową, urzędy i firmy. To nie jest kilka przypadkowych włamań hakerów, tylko ciągłe działania zorganizowanych grup wywiadowczych, wspieranych przez państwa.

KONTEKST

• Salt Typhoon (Chiny): sieć ~45 fałszywych domen aktywnych od 2020 r., infiltracja systemów telekomunikacyjnych i infrastruktury krytycznej.

• APT28 (Rosja): ataki na Microsoft Outlook, operacje dezinformacyjne i polityczne.

• Fileless malware: nowe techniki (EggStreme, NotDoor) działające w pamięci komputera (trudne do wykrycia przez antywirusy).

• Reakcje Zachodu: NASA odcina chińskich kontraktorów; Czechy ostrzegają przed chińską technologią; Ukraina zatrzymuje agentów FSB.

ANALIZA

APT (Advanced Persistent Threat) to nazwa dla grup hakerskich wspieranych przez państwa. Ich znakiem rozpoznawczym jest to, że działają latami, po cichu i nie chcą zostać zauważeni. Zakładają fałszywe strony, serwery i konta, żeby stale mieć dostęp do cudzych sieci. Wojna w cyberprzestrzeni nie ma bowiem huku bomb ani wybuchów, ale jej skutki mogą być równie poważne. Dwie grupy hakerskie (rosyjska APT28 i chińska Salt Typhoon) od lat stanowią filary cyfrowego wywiadu swoich państw. Choć obie są niezwykle groźne, ich metody i cele różnią się niemal tak samo, jak style polityki Rosji i Chin.

• Rosja (APT28): cyber–sabotaż i destabilizacja polityczna; szybkie, głośne operacje („specnaz w cyberprzestrzeni”).

• Chiny (Salt Typhoon): długofalowe szpiegostwo technologiczne; ciche, systematyczne osadzenie w krytycznych systemach („wampiry w cyberprzestrzeni”).

• Trend technologiczny: przejście od wirusów plikowych do fileless malware → trudniejsze wykrywanie, dłuższa infiltracja.

• Obraz strategiczny: cyberprzestrzeń to równoległy i trwały teatr działań, wspierający politykę zagraniczną i wojskową.

DANE: APT28

Znana także jako Fancy Bear. Narzędzie rosyjskiego wywiadu wojskowego GRU. Jej specjalność to uderzenia szybkie, głośne i widowiskowe: włamania na skrzynki e-mail, wycieki danych polityków, kampanie dezinformacyjne. To ludzie APT28 byli powiązani z głośnym włamaniem do Partii Demokratycznej w USA podczas wyborów w 2016 roku. Działają agresywnie, łącząc hakerstwo z tworzeniem chaosu informacyjnego. Ich celem jest destabilizacja Zachodu w polityce, wojsku i mediach. To odpowiednik rosyjskiego specnazu w cyberprzestrzeni walki.

APT28 pozostaje jednym z najgroźniejszych graczy w rosyjskim arsenale informacyjnym. Łączy działania czysto techniczne (np. backdoory w Outlooku) z szeroko zakrojoną dezinformacją (fałszywe mapy, narracje o „nazistowskich przodkach” polityków). Ich cyberatak nigdy nie jest celem samym w sobie – to narzędzie destabilizacji politycznej.

DANE: SALT TYPHOON

Grupa działa pod egidą chińskiego Ministerstwa Bezpieczeństwa Państwowego (MSS) i przypomina raczej cierpliwych szpiegów niż sabotażystów. Ich metoda polega na cichym, długotrwałym podłączaniu się do strategicznych systemów – sieci telekomunikacyjnych, administracji, infrastruktury krytycznej. Odkryto, że już od 2020 roku korzystali z sieci dziesiątek fałszywych domen, by pozyskiwać dane. Słyną też z używania nowoczesnych metod, np. malware „fileless”, które działa w pamięci komputera i jest prawie niewykrywalne. Celem Salt Typhoon nie jest rozgłos, lecz pełzające szpiegostwo technologiczne i strategiczne.

Salt Typhoon ilustruje metodyczne podejście Chin do cyberwojny. Tworzenie fałszywych domen od lat 2020–2021 pokazuje, że ich celem nie są szybkie „zyski”, ale budowa długofalowych przyczółków szpiegowskich. To strategia „cierpliwego wampira”, który podłącza się do krwiobiegu systemu na lata.

DANE PORÓWNAWCZE

Rosjanie więc atakują głośno i politycznie, Chińczycy zaś cicho i systematycznie. Razem jednak reprezentują dwa skrzydła tej samej wojny: rosyjski cyber–sabotaż i chińskie cyber–szpiegostwo. I choć większość z nas tego nie widzi, skutki ich działań dotykają całego świata – od USA i Europy po Ukrainę i Filipiny.

KONSEKWENCJE

Przejście na fileless malware (EggStreme, NotDoor) to odpowiedź na coraz skuteczniejsze antywirusy. Operacje tego typu pokazują, że wojna cybernetyczna ewoluuje szybciej niż obrona. Oznacza to, że organizacje muszą patrzeć na zachowania systemów, a nie tylko na pliki czy wirusy.

WNIOSKI

Krótki termin

• Audyty logów DNS i poczty elektronicznej (szczególnie Outlook).

• Natychmiastowe wyłączenie makr i znanych furtek w systemach administracji i firm krytycznych.

Średni termin

• UE i NATO → wspólna lista „wysokiego ryzyka” dostawców technologii.

• Implementacja zasady „zero zaufania”: brak dopuszczenia sprzętu/oprogramowania z krajów autorytarnych do systemów strategicznych.

Długofalowo

• Budowa zunifikowanej tarczy cyberobrony obejmującej: monitoring transgraniczny, wymianę wywiadu, wspólne ćwiczenia.

• Konsekwencje regionalne: Europa (energetyka i telekomunikacja); USA (polityka i instytucje rządowe); Azja Płd.-Wsch. (wojsko i infrastruktura).

PODSUMOWANIE

Rosja i Chiny eskalują cyberwojnę różnymi metodami (sabotaż vs szpiegostwo), ale efekt jest wspólny: strategiczne osłabienie Zachodu. Skuteczna odpowiedź wymaga koordynacji międzynarodowej i wdrożenia zasady pełnego „zero zaufania” w cyberinfrastrukturze.