Amerykańska CISA opublikowała 27 sierpnia 2025 r. obszerny alert o chińskich aktorach APT kompromitujących sieci na całym świecie – od telekomów po infrastrukturę wojskową. Wśród współautorów dokumentu znalazły się polskie służby: Agencja Wywiadu (AW) i Służba Kontrwywiadu Wojskowego (SKW). To kolejny sygnał, że Warszawa coraz częściej działa ramię w ramię z sojusznikami – również operacyjnie – a krajowe raporty i śledztwa trafiają na biurka partnerów w USA, UE i państwach NATO.
Co ogłosiła CISA – długotrwała infiltracja i „stara” powierzchnia ataku
W alercie AA25-239A autorzy opisują klastry aktywności powiązane z ChRL, precyzyjnie mapują TTP w ATT&CK i ostrzegają, że operatorzy skupiają się na urządzeniach brzegowych (routery, zapory), modyfikują konfiguracje, utrzymują trwały dostęp i pivotują do innych sieci przez zaufane łącza. Wskazano także konkretne luki wykorzystywane „w terenie”, m.in. łańcuch CVE-2023-20198/20273 w Cisco IOS XE oraz CVE-2024-3400 w PAN-OS. Rekomendacje są jednoznaczne: priorytetowe łatanie, threat hunting pod konkretne wskaźniki i wycinanie tuneli oraz nietypowych portów w logach.
Polska wśród autorów. Co to zmienia?
Na liście instytucji współtworzących alert – obok NSA, FBI czy NCSC-UK – widnieją AW i SKW. To w praktyce oznacza, że dane rozpoznawcze z polskich spraw (w tym telemetryka i artefakty z incydentów) zasilają wspólny obraz zagrożeń i wracają do kraju jako gotowe wskazówki detekcyjne. Jednocześnie wpisuje się to w tegoroczne przewodnictwo Polski w Radzie UE, podczas którego w Warszawie uzgodniono „Warsaw Call” – deklarację ministrów ds. cyberbezpieczeństwa o ściślejszej, operacyjnej współpracy.
Krajowe tło – CSIRT GOV o Volt Typhoon i APT15
Równolegle państwowy „Raport o stanie bezpieczeństwa cyberprzestrzeni RP 2024” dokumentuje aktywność grup powiązanych z Chinami na polskich systemach. CyberDefence24, streszczając ustalenia CSIRT GOV, przytacza wykryte ślady Volt Typhoon (nieautoryzowany dostęp przez podatne urządzenia sieciowe) oraz APT15 z trojanem PlugX dostarczanym m.in. przez DLL side-loading z plikami VMware. To potwierdza, że elementy opisane przez CISA nie są teorią – występowały również w polskich sektorach transportu i telekomunikacji.
Wspólne operacje CBZC + Europol przeciw NoName057(16)
Na poziomie egzekucyjnym głośnym przykładem była lipcowa operacja przeciw prorosyjnej sieci NoName057(16), koordynowana przez Europol, w której aktywnie uczestniczyli policjanci z Centralnego Biura Zwalczania Cyberprzestępczości. Działania obejmowały zatrzymania oraz przejęcia infrastruktury atakującej instytucje publiczne i firmy w państwach wspierających Ukrainę. To ilustracja, że polskie służby nie tylko dzielą się wywiadem, ale też biorą udział w realnych, wielonarodowych uderzeniach.
Co dalej dla organizacji w Polsce?
W praktyce wnioski są proste: testy pod znane wektory z alertu CISA (w tym hunting po śladach nietypowych portów SSH i „double-encoded” ścieżek w logach Cisco), przegląd reguł na urządzeniach brzegowych, segmentacja połączeń zaufanych i weryfikacja konfiguracji SPAN/RSPAN/ERSPAN. Warto też sięgnąć do publikowanych wraz z alertem IOC-ów (JSON/XML) i wdrożyć je w SIEM/SOAR. Na poziomie strategicznym – kontynuować wymianę danych z krajowymi CSIRT-ami oraz wykorzystywać unijne fora (ENISA, sieć CSIRT-ów) do szybkiego „oczyszczania” łańcuchów dostaw.
Źródło:
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a
- https://polish-presidency.consilium.europa.eu/en/news/warsaw-call-declaration-adopted-at-the-informal-tte-telecom-council-on-cybersecurity/
- https://cyberdefence24.pl/cyberbezpieczenstwo/polskie-sluzby-w-miedzynarodowej-walce-z-cyberzagrozeniami
- https://cyberdefence24.pl/cyberbezpieczenstwo/cbzc-i-europol-rozbijaja-prorosyjska-grupe-apt-noname05716
- https://www.enisa.europa.eu/events/26th-csirts-network-meeting