UE nakłada sankcje na podmioty z Chin i Iranu za cyberataki na infrastrukturę krytyczną

securitybeztabu.pl 4 godzin temu

Wprowadzenie do problemu / definicja

Unia Europejska rozszerzyła reżim sankcyjny wobec podmiotów powiązanych z ofensywną działalnością w cyberprzestrzeni, obejmując nim firmy i osoby z Chin oraz Iranu. Decyzja dotyczy operacji wymierzonych w państwa członkowskie UE, partnerów międzynarodowych oraz infrastrukturę krytyczną, czyli systemy i usługi, których zakłócenie może bezpośrednio przełożyć się na bezpieczeństwo publiczne, ciągłość działania administracji i odporność gospodarki.

To kolejny sygnał, iż cyberataki na sieci publiczne, telekomunikację, usługi komunikacyjne i zasoby obywateli są dziś traktowane nie wyłącznie jako incydenty techniczne, ale jako element presji strategicznej i działań hybrydowych.

W skrócie

Rada Unii Europejskiej objęła sankcjami trzy podmioty i dwie osoby fizyczne odpowiedzialne za cyberataki skierowane przeciwko państwom UE i partnerom Unii. Na liście znalazły się chińskie firmy Integrity Technology Group oraz Anxun Information Technology, a także irańska spółka Emennet Pasargad.

  • sankcje obejmują zamrożenie aktywów oraz zakaz udostępniania środków i zasobów gospodarczych,
  • wobec osób fizycznych zastosowano także zakazy wjazdu,
  • działania przypisywane wskazanym podmiotom obejmowały masowe włamania, usługi typu hack-for-hire oraz operacje łączące ataki techniczne z dezinformacją i zakłócaniem usług.

Kontekst / historia

Decyzja wpisuje się w rozwijany od 2017 roku unijny mechanizm reagowania dyplomatycznego na złośliwe działania w cyberprzestrzeni, określany jako cyber diplomacy toolbox. Celem tego instrumentu było wypracowanie wspólnej odpowiedzi państw członkowskich na incydenty naruszające integralność i stabilność cyfrową Unii.

W 2019 roku UE przyjęła formalne ramy sankcyjne umożliwiające nakładanie środków ograniczających na osoby i organizacje odpowiedzialne za cyberataki stanowiące zewnętrzne zagrożenie dla Unii lub jej państw członkowskich. Najnowsze restrykcje pokazują, iż mechanizm ten obejmuje już nie tylko klasyczne kampanie szpiegowskie, ale także działania hybrydowe łączące włamania, wpływ informacyjny, sabotaż i zakłócanie usług publicznych.

Analiza techniczna

Z perspektywy technicznej szczególnie istotny jest przypadek Integrity Technology Group. Według ustaleń unijnych firma miała dostarczać rozwiązania wykorzystywane do przejmowania dostępu do urządzeń na terenie Europy i poza nią. Skala wskazywana przez UE, obejmująca ponad 65 tysięcy zhakowanych urządzeń w sześciu państwach członkowskich w latach 2022–2023, sugeruje zastosowanie infrastruktury zdolnej do masowej kompromitacji, utrzymania dostępu i zdalnego zarządzania dużą liczbą systemów.

Drugi przypadek dotyczy Anxun Information Technology, kojarzonej z rynkiem usług ofensywnych określanych jako cyber mercenary lub hack-for-hire. Tego rodzaju podmioty mogą dostarczać eksploity, infrastrukturę dowodzenia i kontroli, usługi rozpoznania, wsparcie operatorskie oraz gotowe łańcuchy ataku dla klientów państwowych lub quasi-państwowych. Taki model utrudnia atrybucję, ponieważ oddziela zleceniodawcę od wykonawcy technicznego i rozprasza odpowiedzialność pomiędzy spółki, operatorów i pośredników.

W przypadku Emennet Pasargad mowa o operacjach wielowektorowych. Działania przypisywane tej spółce obejmowały uzyskanie nieuprawnionego dostępu do francuskiej bazy abonentów, oferowanie danych do sprzedaży w darknecie, przejęcie kontroli nad nośnikami reklamowymi podczas igrzysk olimpijskich w Paryżu w 2024 roku w celu szerzenia dezinformacji oraz kompromitację szwedzkiej usługi SMS. To przykład kampanii, w której naruszenie poufności danych jest tylko jednym z etapów szerszej operacji wpływu i zakłócania komunikacji.

Technicznie podobne działania zwykle bazują na kombinacji podatności w systemach brzegowych, błędów konfiguracyjnych, przejętych danych uwierzytelniających, nadużyć uprawnień oraz długotrwałego utrzymania dostępu. W środowiskach infrastruktury krytycznej szczególnie niebezpieczne jest to, iż atakujący nie zawsze dążą do natychmiastowego sabotażu. Często priorytetem pozostaje dyskretne rozpoznanie środowiska, mapowanie zależności między systemami IT i OT oraz przygotowanie trwałych punktów dostępowych do późniejszej eskalacji.

Konsekwencje / ryzyko

Bezpośrednim skutkiem decyzji UE są konsekwencje prawne i finansowe dla wskazanych podmiotów. Z punktu widzenia obrońców ważniejsze jest jednak to, iż sankcje stanowią oficjalne potwierdzenie określonego wzorca zagrożeń: państwa i podmioty działające na ich rzecz coraz częściej atakują nie tylko administrację czy sektor obronny, ale również operatorów usług publicznych, telekomunikację, bazy danych obywateli i systemy odpowiedzialne za komunikację społeczną.

Dla organizacji ryzyko ma charakter wielowymiarowy. Kampanie mogą być kierowane przeciwko dostawcom technologii, operatorom telekomunikacyjnym, podmiotom energetycznym, transportowym i medycznym. Jednocześnie incydenty coraz częściej łączą klasyczne naruszenie bezpieczeństwa z dezinformacją, co zwiększa presję operacyjną, reputacyjną i regulacyjną.

  • rośnie znaczenie ryzyka dostawców i partnerów technologicznych,
  • cyberatak może stać się elementem szerszej operacji wpływu,
  • komercjalizacja usług ofensywnych obniża próg wejścia dla sponsorowanych kampanii,
  • organizacje muszą brać pod uwagę jednoczesny wyciek danych, zakłócenie usług i manipulację informacyjną.

Rekomendacje

Organizacje odpowiedzialne za usługi krytyczne powinny potraktować najnowsze wydarzenia jako sygnał do przeglądu modelu obrony. Podstawą pozostaje pełna inwentaryzacja zasobów, w tym systemów perymetrycznych, urządzeń zdalnego dostępu, komponentów OT i kont uprzywilejowanych. Bez aktualnej mapy środowiska skuteczna detekcja i priorytetyzacja ryzyka są znacząco utrudnione.

Kolejnym krokiem powinno być ograniczenie powierzchni ataku. Oznacza to sprawne zarządzanie podatnościami, wyłączanie nieużywanych usług, segmentację sieci, wdrożenie MFA dla dostępu administracyjnego i zdalnego oraz ścisłą kontrolę relacji z dostawcami. W środowiskach infrastruktury krytycznej szczególnej uwagi wymagają połączenia między strefami IT i OT oraz zasady minimalnych uprawnień dla kont serwisowych i integracyjnych.

Z perspektywy SOC i zespołów reagowania najważniejsze znaczenie ma rozwinięcie detekcji behawioralnej pod kątem anomalii w ruchu sieciowym, nietypowych operacji na kontach uprzywilejowanych, zmian konfiguracji urządzeń brzegowych, wykorzystania legalnych narzędzi administracyjnych oraz aktywności wskazującej na utrzymywanie trwałego dostępu.

  • regularnie testować scenariusze łączące wyciek danych, zakłócenie usług i dezinformację,
  • aktualizować procedury zgłaszania incydentów i współpracy z CSIRT,
  • weryfikować gotowość planów ciągłości działania i komunikacji kryzysowej,
  • monitorować ekspozycję dostawców na działalność ofensywną i powiązania wysokiego ryzyka.

Podsumowanie

Nałożenie sankcji na podmioty z Chin i Iranu potwierdza, iż cyberataki na infrastrukturę krytyczną są traktowane przez Unię Europejską jako zagrożenie strategiczne. Opisane przypadki pokazują szerokie spektrum działań, od masowej kompromitacji urządzeń i usług hack-for-hire po operacje łączące wyciek danych, zakłócanie usług i dezinformację.

Dla organizacji najważniejszy wniosek jest praktyczny: odporność cybernetyczna nie może ograniczać się do technologii. Musi obejmować również procesy, zarządzanie zależnościami od stron trzecich oraz gotowość do reagowania na incydenty o charakterze hybrydowym.

Źródła

  1. https://www.consilium.europa.eu/en/press/press-releases/2026/03/16/cyber-attacks-against-the-eu-and-its-member-states-council-sanctions-three-entities-and-two-individuals/
  2. https://securityaffairs.com/189585/security/eu-sanctions-chinese-and-iranian-actors-over-cyberattacks-on-critical-infrastructure.html
  3. https://eur-lex.europa.eu/eli/dec/2026/588/oj/eng
  4. https://eur-lex.europa.eu/eli/reg_impl/2026/589/oj/eng
  5. https://www.consilium.europa.eu/en/policies/sanctions/cyber-attacks/
Idź do oryginalnego materiału
  1. Strona główna
  2. Dezinformacja
  3. UE nakłada sankcje na podmioty z Chin i Iranu za cyberataki na infrastrukturę krytyczną

Powiązane

„Dezinformacja kontra biznes. Głos mediów” – obok mediów społecznościowych to modele AI stają się kluczowym źródłem nieprawdziwych informacji

„Dezinformacja kontra biznes. Głos mediów” – obok mediów spo...

1 dzień temu
W świecie permanentnej wojny dezinformacyjnej…

W świecie permanentnej wojny dezinformacyjnej…

4 dni temu
Fact-checking

Fact-checking

6 dni temu
CO MÓWIĄ WŁĄCZONE TAŚMY JUNTY TUSKA?

CO MÓWIĄ WŁĄCZONE TAŚMY JUNTY TUSKA?

1 tydzień temu
Dlaczego samo prostowanie fake newsów nie wystarczy? Ekspert o walce z dezinformacją

Dlaczego samo prostowanie fake newsów nie wystarczy? Ekspert...

1 tydzień temu
Demagog startuje z Obiektywem

Demagog startuje z Obiektywem

2 tygodni temu
Przez system kaucyjny miało zabraknąć gotówki. Zgadnijcie, co się stało

Przez system kaucyjny miało zabraknąć gotówki. Zgadnijcie, c...

2 tygodni temu
Między unijną regulacją a cyfrową rzeczywistością. Barbara Billińska o błędach projektu ustawy medialnej

Między unijną regulacją a cyfrową rzeczywistością. Barbara B...

2 tygodni temu