Zgodnie z najnowszym raportem CSIRT GOV o stanie bezpieczeństwa cyberprzestrzeni RP w 2024 roku, Polska staje w obliczu systematycznie rosnącego zagrożenia ze strony chińskich grup cyberprzestępczych. Choć dotychczas w polskiej przestrzeni informacyjnej dominowały doniesienia o działaniach grup rosyjskich, obecnie coraz większą aktywność wykazują również podmioty sponsorowane przez Chińską Republikę Ludową.
Raport ma na celu zwiększanie świadomości administracji publicznej, sektora prywatnego oraz użytkowników indywidualnych w zakresie zagrożeń teleinformatycznych. Przedstawia on zarówno charakterystyczne wektory ataków, jak i konkretne przypadki wykrytych incydentów, z których część można bezpośrednio przypisać działalności grup APT (Advanced Persistent Threats) powiązanych z Chinami.
Chińskie cyberataki na Polskę. Nowa faza.
W analizowanym okresie 2024 roku aktywność chińskich grup APT wyraźnie wzrosła. Ataki te nie są przypadkowe. Są prowadzone w sposób systemowy, wieloetapowy, często przez wiele miesięcy utrzymywane w ukryciu. Głównym celem chińskich cyberataków na Polskę stały się:
- sektor energetyczny,
- sektor telekomunikacyjny,
- sektor transportowy,
- administracja publiczna.
Wybór tych sektorów nie jest przypadkowy, gdyż są to obszary kluczowe dla stabilności państwa i bezpieczeństwa narodowego. Ich destabilizacja może prowadzić nie tylko do strat ekonomicznych, ale również do poważnych konsekwencji dla funkcjonowania państwa i jego obywateli.
Chińskie grupy APT: kto stoi za atakami?
Chińskie grupy APT, takie jak APT15, są znane z wysokiego poziomu zaawansowania technicznego. Działają one często pod auspicjami chińskich służb państwowych, realizując długofalowe cele strategiczne i wywiadowcze. W ramach wykrytych w Polsce incydentów cyberprzestępcy wykorzystywali m.in.:
- podatności typu zero-day, czyli luki w zabezpieczeniach systemów, na które nie ma jeszcze dostępnych poprawek,
- exploity ukierunkowane na konkretne aplikacje i systemy,
- phishing oraz inżynierię społeczną, mające na celu wyłudzenie danych uwierzytelniających od pracowników organizacji,
- zaawansowane mechanizmy utrzymywania dostępu do zainfekowanych systemów przez długi czas.
Botnety oparte na polskich routerach
Szczególnie niepokojącym trendem w 2024 roku stało się wykorzystywanie przez chińskie grupy popularnych w Polsce urządzeń sieciowych. Chodzi przede wszystkim o routery TP-Link, stosowane powszechnie w małych i średnich firmach, a także w domach prywatnych.
Urządzenia te, po zainfekowaniu, stają się elementami rozproszonych botnetów służących do prowadzenia dalszych kampanii cyberataków. Jedną z wykorzystywanych technik jest tzw. password spraying, czyli metoda masowego logowania na konta Microsoft 365 przy użyciu popularnych haseł. Pozwala ona ominąć zabezpieczenia oparte na blokadzie po kilku nieudanych próbach logowania, znacząco zwiększając skuteczność przejmowania kont służbowych.
W efekcie tego typu działań ofiarami mogą padać zarówno niewielkie polskie firmy, jak i jednostki administracji publicznej, w których ochrona dostępu opiera się często na przestarzałych lub niewystarczających rozwiązaniach.
Incydent w sektorze transportowym: przykład realnego ataku
Jednym z najpoważniejszych ujawnionych incydentów była operacja przeprowadzona przez grupę APT15. W 2024 roku wykryto przypadek przejęcia kontroli nad serwerem jednego z podmiotów branży transportowej w Polsce. Hakerzy w tym przypadku wykorzystali złośliwe oprogramowanie typu trojan — PlugX, które jest jednym z charakterystycznych narzędzi używanych przez chińskie grupy APT.
Dzięki temu rozwiązaniu cyberprzestępcy zyskali pełny zdalny dostęp do systemu ofiary, mogli przejmować dane, konta administracyjne, a także modyfikować uprawnienia w systemie docelowym. Tak głęboka infiltracja może prowadzić zarówno do kradzieży wrażliwych danych, jak i umożliwić długotrwałe prowadzenie działań szpiegowskich.
Chińskie cyberataki na Polskę w kontekście międzynarodowym
Rosnąca aktywność Chin w cyberprzestrzeni nie jest wyłącznie problemem Polski. Na początku 2024 roku media informowały o udaremnionym ataku chińskiej grupy na systemy administracji publicznej w Czechach. Pokazuje to, że działalność grup APT z Państwa Środka obejmuje całą Europę Środkowo-Wschodnią i wpisuje się w szerszy geopolityczny kontekst walki o przewagę informacyjną.
Jak Polska może się bronić?
W świetle narastających chińskich cyberataków na Polskę konieczne jest wdrażanie kompleksowych środków prewencyjnych, w tym:
- modernizacja zabezpieczeń sieciowych i systemowych w administracji publicznej,
- obowiązkowe szkolenia dla pracowników w zakresie cyberbezpieczeństwa,
- wdrażanie silnych polityk uwierzytelniania wieloskładnikowego,
- monitorowanie aktywności sieciowej w czasie rzeczywistym,
- rozwijanie krajowych zdolności w zakresie cyberobrony i reagowania na incydenty.
CSIRT GOV, jako kluczowa jednostka w systemie bezpieczeństwa IT państwa, pełni tu istotną rolę, jednak skuteczna obrona wymaga ścisłej współpracy sektora publicznego i prywatnego.
Podsumowanie
Chińskie cyberataki na Polskę w 2024 roku stanowią poważne i rosnące zagrożenie dla bezpieczeństwa państwa, jego gospodarki i stabilności społecznej. Zidentyfikowane przez CSIRT GOV zagrożenia wskazują na wysokie zaawansowanie technologiczne chińskich grup APT i systemowe podejście do infiltracji systemów krytycznych. W świetle tego raportu konieczne staje się nie tylko wzmacnianie krajowych systemów obrony cybernetycznej, ale i budowanie odporności na poziomie całego społeczeństwa cyfrowego.
| Redakcja BPPZ.pl
Przeczytaj także:
