Chińskie cyberataki na infrastrukturę krytyczną Tajwanu: średnio 2,63 mln prób dziennie w 2025 r. — co wiemy i jak się bronić

Wprowadzenie do problemu / definicja luki

Nie mówimy tu o pojedynczej „luce” (CVE), tylko o długotrwałej kampanii wymierzonej w infrastrukturę krytyczną (CI) — czyli systemy i usługi, których zakłócenie realnie uderza w państwo i obywateli (energia, łączność, transport, szpitale, finanse itd.). Tajwańskie służby wskazują, iż skala działań przypisywanych Chinom osiągnęła w 2025 r. średnio 2,63 mln prób naruszeń dziennie, a część aktywności miała być zsynchronizowana z presją militarną.

W skrócie

• 2,63 mln: średnia dzienna liczba prób ataków na CI Tajwanu w 2025 r. (+6% r/r).
• Największe wzrosty wg raportu: energetyka (ok. 10× względem 2024) oraz ratownictwo/szpitale (+54%).
• Dominujące techniki: eksploatacja podatności (57%), DDoS (21%), socjotechnika (18%), supply chain (4%).
• Wskazane grupy/klastry m.in.: BlackTech, Flax Typhoon, Mustang Panda, APT41, UNC3886.
• Cel strategiczny (z perspektywy Tajwanu): paraliż usług + rozpoznanie/utrzymanie dostępu + kradzież technologii (w tym ekosystem parków naukowych/łańcuch półprzewodników).

Kontekst / historia / powiązania

Tajwański National Security Bureau publikuje dane porównawcze co najmniej od 2023 r.; w ujęciu CI widać skok: 1,23 mln/dzień (2023) → 2,46 mln/dzień (2024) → 2,63 mln/dzień (2025).

Wątek „hybrydowy” jest kluczowy: Reuters relacjonuje, iż część operacji cyber miała iść w parze z presją wojskową i polityczną (m.in. okresowe skoki aktywności podczas wrażliwych wydarzeń).

Analiza techniczna / szczegóły kampanii

Z perspektywy obrony najważniejsze jest to, jak atakowano — bo to bezpośrednio przekłada się na priorytety zabezpieczeń:

1) Eksploatacja podatności (57%)

Największy udział mają ataki na niezałatane lub „łatwe” do zautomatyzowania podatności w sprzęcie i oprogramowaniu — w tym na styku ICT/OT i w środowiskach, które często mają długie cykle aktualizacji.
W tle pasuje to do znanych wzorców: np. UNC3886 to aktor kojarzony z koncentracją na urządzeniach brzegowych (edge), takich jak routery, gdzie bywa mniej telemetrii i trudniej o EDR.

2) DDoS (21%)

W raporcie opisano użycie botnetów do zalewania usług CI ruchem w celu opóźnienia lub czasowego paraliżu (wpływ na codzienne funkcjonowanie).

3) Socjotechnika (18%)

Klasyczny phishing, podszywanie się pod kontakty biznesowe, a także wskazana została technika ClickFix (scenariusze z „fałszywymi błędami/aktualizacjami”, które skłaniają ofiarę do wykonania działań zwiększających uprawnienia atakującego).

4) Supply chain (4%)

Mniejszy udział procentowy nie oznacza mniejszego ryzyka: kompromitacja dostawcy/partnera bywa „multiplikatorem” zasięgu (jeden dostęp → wielu odbiorców).

5) „Cicha” obecność i utrzymanie dostępu

W kontekście grup takich jak Flax Typhoon, Microsoft opisywał model działań, w którym do utrzymania dostępu używa się w dużej mierze legalnych narzędzi i funkcji systemu (living-off-the-land), minimalizując „głośne” malware. To utrudnia detekcję opartą wyłącznie o sygnatury.

Praktyczne konsekwencje / ryzyko

Dla operatorów CI i podmiotów wspierających (telekomy, dostawcy ICT, integratorzy OT) taki obraz oznacza kilka realnych scenariuszy:

• Ryzyko zakłóceń usług (availability): zwłaszcza przy DDoS i atakach na wąskie gardła (DNS, łącza, portale dostępu, zdalne bramy).
• Ryzyko niejawnej infiltracji (espionage/pre-positioning): eksploatacja podatności + utrzymanie dostępu na edge/virtualization to przepis na długą obecność i „gotowość” na eskalację.
• Ryzyko dla zdrowia i bezpieczeństwa publicznego: raport wskazuje na wyraźny wzrost w sektorze ratownictwa i szpitali.
• Ryzyko kradzieży technologii: Reuters opisuje zainteresowanie parkami naukowymi i łańcuchem półprzewodników jako celami o wysokiej wartości strategicznej.

Rekomendacje operacyjne / co zrobić teraz

Checklistę warto ułożyć pod cztery dominujące wektory (podatności, DDoS, phishing, supply chain):

1. Zarządzanie podatnościami „na ostro” (edge/remote access/OT gateways)

• priorytetyzacja: urządzenia brzegowe, VPN, firewalle, routery, hypervisory, vCenter/konsole zarządzania
• zasada: „internet-facing = patch fast”, z kontrolą ekspozycji i kompensacją (WAF, ACL, geofencing) tam, gdzie patch nie wchodzi od razu

2. Segmentacja i kontrola uprawnień

• separacja IT/OT, mikrosegmentacja krytycznych usług, silne MFA (zwłaszcza dla administracji i dostępu zdalnego)
• PAM dla kont uprzywilejowanych i „just-in-time admin”

3. Odporność na DDoS

• playbook z operatorem/clean-pipe/scrubbing, testy w oknach utrzymaniowych
• redundancja (DNS, reverse proxy, CDN), monitoring anomalii wolumetrycznych i aplikacyjnych

4. Higiena poczty i socjotechniki

• SPF/DKIM/DMARC, sandboxing załączników, blokady makr, szkolenia pod scenariusze „ClickFix”/fałszywe alerty IT
• szybki kanał zgłaszania phishingu + automatyzacja reakcji (SOAR)

5. Supply chain: wymuszanie standardu bezpieczeństwa

• minimalne wymagania: SBOM tam, gdzie możliwe, SLA na łatki, wymóg MFA, logowanie i retencja, audyt dostępu serwisowego
• ocena ryzyka dostawców mających dostęp do systemów CI (zdalny serwis, integratorzy)

6. Detekcja pod „low-noise” (living-off-the-land)

• korelacja logów (IdP, VPN, urządzenia sieciowe), detekcje behawioralne, telemetryka z edge (NetFlow, syslog)
• polowanie na: nietypowe konta admin, nowe reguły tuneli, zmiany konfiguracji, anomalie w harmonogramach zadań

Różnice / porównania z innymi przypadkami

Najbardziej czytelne porównanie to dynamika skali i „zmiana ciężaru” na sektory:

• W ujęciu CI: 2023 → 2024 to niemal podwojenie, a 2025 utrzymuje bardzo wysoki wolumen (2,63 mln/dzień) z dalszym wzrostem r/r.
• Najmocniej „wystrzeliła” energetyka (ok. 10× r/r), co jest spójne z logiką presji na usługi o krytycznym znaczeniu dla funkcjonowania państwa.
• Na poziomie TTP widać klasyczną mieszankę: podatności + utrzymanie dostępu + zakłócanie usług + social engineering + łańcuch dostaw — czyli zestaw, który trudno „załatać” jednym produktem; wymaga odporności procesowej.

Podsumowanie / najważniejsze wnioski

• Skala (2,63 mln/dzień) to sygnał, iż mówimy o ciągłym bombardowaniu i próbach uzyskania przewagi informacyjnej oraz operacyjnej, nie o incydentach punktowych.
• Największy ciężar obrony powinien iść w redukcję ekspozycji, szybkie łatanie internet-facing, telemetrię z edge, odporność na DDoS i ochronę przed phishingiem.
• Kampanie „ciche” (legitne narzędzia, minimalny malware) podnoszą znaczenie detekcji behawioralnej i korelacji logów, nie tylko AV/IOC.

Źródła / bibliografia

1. Reuters — raport o skali cyberataków na CI Tajwanu i wątku „hybrydowym”. (Reuters)
2. Taipei Times — szczegóły raportu NSB (sektory, procenty TTP, wzrosty r/r, lista grup). (Taipei Times)
3. National Security Bureau (Taiwan) — „Analysis on China’s Cyberattack Techniques in 2024” (tło trendów i technik). (nsb.gov.tw)
4. Microsoft Security Blog — opis działań Flax Typhoon przeciw organizacjom na Tajwanie (model „low-noise”). (Microsoft)
5. Google Cloud / Mandiant — UNC3886 i ataki na urządzenia sieciowe (Juniper), znaczenie edge. (Google Cloud)