Konflikt Rosji i Chin z Zachodem. Przygotowania do eskalacji kinetycznej?

Holenderska Służba Wywiadu Wojskowego i Bezpieczeństwa (MIVD) w opublikowanym 22 kwietnia br. raporcie „Openbaar Jaarverslag 2024” stwierdza wprost: Rosja i Chiny prowadzą z Zachodem permanentny konflikt poniżej progu wojny, którego głównym teatrem stała się cyberprzestrzeń. 

W tym środowisku dokonują sabotażu, szpiegostwa oraz destabilizacji społecznej, starannie przygotowując się do ewentualnej eskalacji kinetycznej. 

Rosja — od rekonesansu do sabotażu

Cybersabotaż i „pre‑positioning”

W 2024 r. rosyjska grupa hakerska sparaliżowała – na szczęście tylko chwilowo – cyfrowy system sterowania jedną z holenderskich usług publicznych. Był to pierwszy odnotowany przypadek bezpośredniego cybersabotażu OT/ICS w Niderlandach.

MIVD odnotowała też próby cichego osadzenia rosyjskich „wtyczek” w sieciach energetycznych, telekomunikacyjnych i transportowych, co ma stworzyć możliwość wyłączenia krytycznych usług w chwili politycznego napięcia. 

GRU 29155 i atak na logistykę

Elitarna jednostka 29155 GRU buduje „cyfrowe mapy” europejskich tras dostaw sprzętu na Ukrainę, łącząc typowo wojskowy zwiad z kampaniami phishingu oraz włamaniami do portów w Rotterdamie i Antwerpii. 

Brytyjski i niderlandzki wywiad wiążą tę komórkę nie tylko z destrukcyjnymi cyberoperacjami, lecz także z fizycznymi aktami sabotażu w Europie. 

Haktywizm i dezinformacja

Nierzadko inspirowane przez Rosję grupy haktywistów (KillNet, NoName057 itp.) łączą proste ataki DDoS z kampaniami wpływu.

W dniu wyborów do Parlamentu Europejskiego na cel wzięły strony partii politycznych i holenderskiej kolei, aby przerzucić uwagę mediów z programów wyborczych na „chaos i niekompetencję władz”. 

MIVD konkluduje, że Rosja świadomie utrzymuje aktywność tuż poniżej progu art. 5 NATO, testując, gdzie przebiegają czerwone linie sojuszników. 

Chińska ofensywa — pełne spektrum „whole‑of‑society”

COATHANGER

W lutym 2024 r. MIVD i AIVD ujawniły chiński backdoor „COATHANGER” osadzany w urządzeniach FortiGate, który dawał Pekinowi niekontrolowany dostęp do sieci rządowych i wojskowych. 

Edge‑devices campaign

W czerwcu 2024 r. cyberjednostki armii ChRL w ciągu kilkunastu godzin od publikacji nowych luk CVE masowo skanowały i przejmowały zapory ogniowe oraz VPN‑y dostawców infrastruktury krytycznej w Europie, wykorzystując słynny „patch‑gap”. 

Volt & Salt Typhoon

Według wspólnego alertu CISA oraz służb „Five Eyes”, chiński „Volt Typhoon” uzyskał trwałe, niewidoczne dostępy w sieciach energetycznych USA i Europy — „na wypadek kryzysu wokół Tajwanu”. 

Z kolei „Salt Typhoon” przez niemal rok podsłuchiwał ruch kilkunastu operatorów telekomunikacyjnych, co agencja Reutersa określiła jako największą od lat kampanię eksfiltracji metadanych.

Kluczową cechą chińskiego podejścia jest „whole‑of‑society”: państwowe koncerny, uczelnie i start‑upy zapewniają infrastrukturę chmurową oraz know‑how (np. szybkie badanie luk zero‑day), dzięki czemu Pekin skraca czas od odkrycia podatności do jej wykorzystania poniżej 48 h. 

Dezinformacja — nieodłączny komponent operacji

MIVD po raz pierwszy poświęciła osobny rozdział operacjom wpływu, podkreślając, że cyberataki i dezinformacja wzajemnie się wzmacniają. 

Rosja: FSB przejęła w 2024 r. 968 kont w mediach społecznościowych, które — przy użyciu modeli językowych — generowały antyzachodni przekaz i podszywały się pod ekspertów LinkedIn. Równolegle GRU 29155 prowadziła kampanie phishingowe przeciw firmom logistycznym, aby łączyć wycieki danych z narracjami o „nielegalnych transportach broni biologicznej”. Chiny: MIVD odnotowuje, że ta sama jednostka armii ChRL co kradnie dane z edge‑device«ów, przygotowuje spersonalizowane memy i deep‑fake’i adresowane do konkretnych grup zawodowych; państwowe firmy oferują „AI as a Service” do masowej produkcji treści propagandowej.

Efekt to wzrost polaryzacji, erozja zaufania do instytucji i osłabienie spójności polityk bezpieczeństwa— dokładnie tego, czego potrzebuje agresor, aby jego sabotaż w świecie fizycznym wywołał maksymalny chaos. 

Wspólne trendy (2024 → 2025)

• Czas exploitu
• Konwergencja IT/OT — incydenty w holenderskich wodociągach i amerykańskich ładowarkach EV pokazują, że segmentacja sieci procesowych jest dziś równie ważna jak EDR w biurowych laptopach. 
• Łańcuch dostaw — wstrzyknięcie złośliwego kodu do popularnych bibliotek NPM/PyPI skutkuje lawinową kompromitacją systemów DevSecOps.
• Generatywna AI w IO — modele tekst‑i‑obraz radykalnie obniżyły koszt dezinformacji, zwiększając jej realizm i skalę.

Konsekwencje dla Holandii oraz sojuszników i priorytety na lata 2025‑2026

1. Infrastruktura transgraniczna (kable światłowodowe na dnie Morza Północnego i Bałtyku, rurociągi gazowe) już znalazła się w rosyjskim katalogu celów. 
2. „E‑mobilizacja" NATO — szybkie współdzielenie IOC/TTP pomiędzy holenderskim JISTARC, polskim NCBC a centrami CCDCOE staje się warunkiem skutecznej obrony.
3. Autonomia technologiczna — redukcja zależności od chińskiego sprzętu edge (firewalle, kamery, skanery X‑ray) powinna zostać wpisana do strategii bezpieczeństwa.

Rekomendacje MIVD

1. Przyjęcie wzorowanego na holenderskim „Temporary Act" ułatwionego trybu pozyskiwania danych o aktorach z „ofensywnym programem cyber". Utworzenie wspólnej (rząd‑przemysł) komórki „fusion cell" analizującej anomalie OT/ICS.
2. Wdrożenie zero‑trust na brzegu sieci (ZTNA, odporne na phishing MFA). Pełne SBOM i automatyczny vuln management w łańcuchu dostaw
3. Równoległe kanały łączności zapasowej (HF, sat‑com L‑band) na wypadek sabotażu światłowodów. Detekcja anomalii AI‑driven + „deception grids" w ICS.

Jeden front

Raport MIVD potwierdza, że cyberprzestrzeń i sfera informacyjna tworzą dziś jeden, nierozerwalny front. Implanty w edge‑device’ach, wipery w sieciach OT i deep‑fake’i w mediach społecznościowych to elementy tej samej strategii, których celem jest destabilizowanie, podważenie zaufanie, a w kluczowym momencie wyłączyć systemy i sparaliżować reakcję państw NATO. 

Ignorowanie tych sygnałów wywiadowczych oznacza ryzyko, że pewnego ranka obudzimy się w ciemnym, zimnym i „wyłączonym” mieście”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].