Google: Chiny, Iran, Rosja i Korea Płn. nasilają skoordynowane operacje przeciw sektorowi zbrojeniowemu (DIB)

Wprowadzenie do problemu / definicja luki

Google Threat Intelligence Group (GTIG) opisuje obecną presję na Defense Industrial Base (DIB) jako stały, wielowektorowy „nacisk” obejmujący jednocześnie szpiegostwo państwowe, elementy sabotażu/hacktivizmu oraz cyberprzestępczość (np. wymuszenia). najważniejsze jest to, iż atak nie musi zaczynać się od klasycznego włamania do sieci firmy: coraz częściej zaczyna się od człowieka (pracownika, kandydata do pracy, podwykonawcy) albo od słabo monitorowanych urządzeń brzegowych (VPN, firewalle, koncentratory), które omijają widoczność EDR.

W skrócie

• GTIG wskazuje cztery dominujące motywy: (1) uderzenia w podmioty wdrażające technologie na polu walki (szczególnie kontekst wojny Rosja–Ukraina), (2) ataki „direct-to-person” oraz nadużycia procesu rekrutacji (m.in. Korea Płn. i Iran), (3) rosnącą rolę edge devices jako punktu wejścia (szczególnie aktorzy powiązani z Chinami), (4) ryzyko łańcucha dostaw wynikające z naruszeń w sektorze wytwórczym.
• W praktyce oznacza to przesunięcie z „atakujemy firmę” na „atakujemy ludzi + perymetr + dostawców”, często poza klasyczną telemetrią SOC.
• Równolegle Google opisuje rosnące wykorzystanie narzędzi genAI (np. Gemini) do OSINT, tworzenia person i dopracowania socjotechniki.

Kontekst / historia / powiązania

Raport GTIG „Beyond the Battlefield” (10 lutego 2026) został opublikowany tuż przed Monachijską Konferencją Bezpieczeństwa (MSC 2026) i podkreśla, iż w nowoczesnych konfliktach „front” rozciąga się na serwery oraz łańcuchy dostaw firm rozwijających technologie obronne.

Co istotne, Google wiąże aktywność z wieloma klastrami/grupami APT (w zależności od kraju i celu): od kampanii nastawionych na wsparcie działań w Ukrainie (np. próby pozyskiwania danych z komunikatorów czy ataki na jednostki dronowe), po operacje długoterminowego pozyskania dostępu i kradzieży R&D.

Analiza techniczna / szczegóły luki

GTIG opisuje kilka powtarzających się „ścieżek” wejścia do organizacji DIB. Najważniejsze technicznie wzorce:

1) Ataki na ludzi i proces zatrudnienia (persona, phishing, „job lures”)

• Korea Płn.: kampanie podszywające się pod rekruterów oraz scenariusze „Dream Job” mają nakłonić ofiary do uruchomienia złośliwych plików lub oddania poświadczeń; w raporcie podkreślono też profilowanie ofiar i dopasowanie przynęt do roli/kompetencji.
• Iran: wykorzystywanie fałszywych portali rekrutacyjnych, ofert pracy i narzędzi typu resume-builder/personality test jako nośników malware oraz do kradzieży danych uwierzytelniających; GTIG opisuje także pivotowanie przez zaufanych dostawców i legalne kanały zdalnego dostępu (np. Citrix/VMware).

2) „Edge-first”: urządzenia brzegowe i luki 0-day zamiast stacji roboczych

W przypadku aktorów powiązanych z Chinami Google podkreśla strategię wejścia przez perymetr: VPN-y, firewalle, routery/switche i inne appliance’y, które często:

• nie są objęte EDR,
• mają opóźnione patchowanie,
• zapewniają „cichy” przyczółek do długiego utrzymania dostępu.

GTIG ocenia z wysoką pewnością, iż od 2020 r. chińskie grupy wykorzystywały ponad dwa tuziny 0-day w urządzeniach brzegowych u wielu producentów, a także stosowały metody utrudniające atrybucję (np. ORB/relay).

3) Ataki kontekstowe „z pola walki” i na komunikatory

Wątek rosyjski w raporcie i omówieniach medialnych kładzie nacisk na ataki wspierające działania w Ukrainie: przejmowanie urządzeń, próby pozyskania treści z komunikatorów, kampanie pod tematyką systemów pola walki oraz operacje wymierzone w jednostki dronowe.

4) Łańcuch dostaw i „efekt uboczny” naruszeń w produkcji

Nawet jeżeli docelowe firmy obronne są dobrze zabezpieczone, wąskim gardłem pozostają dostawcy (komponenty dual-use, logistyka, produkcja). GTIG wskazuje, iż naruszenia i wymuszenia w szeroko rozumianym przemyśle wytwórczym mogą przełożyć się na realne ryzyko dla zdolności wytwarzania/utrzymania sprzętu w warunkach kryzysu.

Praktyczne konsekwencje / ryzyko

1. Utrata IP i przewagi technologicznej: kampanie „R&D theft” (zwłaszcza długotrwałe, edge-first) są ryzykiem strategicznym, nie tylko incydentem IT.
2. Naruszenia tożsamości i przejęcia kont: gdy celem jest pracownik (często na prywatnym urządzeniu lub e-mailu), organizacja traci kontrolę nad telemetrią i czasem reakcji.
3. Kompromitacja procesu rekrutacji: HR i zewnętrzne platformy rekrutacyjne stają się „systemem krytycznym” – bo to tam zaczyna się infekcja.
4. Ryzyko operacyjne łańcucha dostaw: ataki na mniejszych dostawców (czasem choćby „spoza” ścisłej zbrojeniówki) mogą wpływać na dostępność komponentów i realizację kontraktów.
5. Przyspieszenie socjotechniki dzięki AI: generatywna AI skraca czas od rozpoznania do personalizowanej przynęty i zwiększa skalę „dobrze brzmiących” scenariuszy phishingowych.

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które realnie adresują opisane przez GTIG wzorce (ludzie + perymetr + dostawcy):

1) Uodpornij rekrutację i HR (to nowa „strefa DMZ”)

• Wprowadź oddzielne środowisko do analizy CV/załączników (sandbox, CDR), blokuj makra i nietypowe formaty.
• Zabezpiecz kanały kontaktu kandydata: SPF/DKIM/DMARC, monitoring domen podobnych (typosquatting), jasne procedury weryfikacji rekruterów.
• Ustal „zero trust” dla narzędzi rekrutacyjnych i testów (assessment, personality tests) – dopuszczaj tylko zatwierdzone platformy.

2) Priorytet: urządzenia brzegowe i ich widoczność

• Zrób pełny asset inventory edge (VPN, FW, proxy, WAF, load balancery, IAM gateways) + właścicieli + SLA patchingu.
• Wymuś szybkie łatanie krytycznych CVE, ogranicz dostęp administracyjny, włącz centralne logowanie (syslog/NetFlow) i korelację.
• Traktuj urządzenia brzegowe jako „high-value targets” – segmentacja, zasada minimalnych uprawnień, regularne huntowanie na anomaliach.

3) Ochrona pracowników poza siecią firmową

• Polityka dla kont prywatnych używanych do pracy: phishing-resistant MFA (np. FIDO2), menedżer haseł, minimalizacja przekierowań na prywatne e-maile.
• Program „high-risk users” (inżynierowie R&D, admini, osoby w projektach Ukrainy/MSC/kontraktach obronnych): dodatkowe zabezpieczenia i monitoring.

4) Dostawcy i łańcuch dostaw

• Wymuś wymagania bezpieczeństwa dla dostawców (MFA, patching, log retention, minimalne standardy IR) oraz przeglądy uprzywilejowanych integracji.
• Wykrywaj pivotowanie: monitoring kont serwisowych, zdalnych dostępów (Citrix/VDI/VPN), nietypowych godzin i geolokalizacji.

5) Aktualizacja playbooków SOC/IR pod „evasion of detection”

• Poluj na techniki, które omijają EDR (perymetr, konta, urządzenia mobilne).
• Ćwicz scenariusze: przejęcie konta rekrutera/HR, kompromitacja VPN, kampania spearphishing na prywatne skrzynki.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Klasyczny” APT vs DIB 2026: wcześniej dominowały włamania do sieci firm. Teraz GTIG mocno akcentuje atak na człowieka i procesy biznesowe (rekrutacja) oraz wejście przez edge zamiast endpointów.
• Espionage vs extortion: raport wskazuje współistnienie motywacji państwowych i finansowych. Dla DIB to trudne, bo skutki wymuszeń na „pobocznych” dostawcach mogą uderzać w ciągłość dostaw choćby bez bezpośredniego ataku na wykonawcę obronnego.
• AI jako „force multiplier”: z relacji GTIG wynika, iż Gemini bywa używane do OSINT, person i wsparcia technicznego, ale nie (jeszcze) do pełnej automatyzacji ataków end-to-end — jednak przyspiesza przygotowanie i jakość socjotechniki.

Podsumowanie / najważniejsze wnioski

Najważniejszy sygnał z ustaleń Google jest prosty: DIB przestaje być atakowany „wyłącznie jako sieć”. Jest atakowany jako ekosystem ludzi, procesów, urządzeń perymetru i dostawców. Dlatego program bezpieczeństwa, który skupia się tylko na stacjach roboczych i serwerach, będzie regularnie spóźniony.

Jeżeli masz ograniczony budżet na „next steps”, zacznij od: (1) uszczelnienia rekrutacji i obsługi załączników, (2) pełnej kontroli patchingu i logowania na edge, (3) ochrony kont i urządzeń osób wysokiego ryzyka, (4) wzmocnienia wymagań wobec dostawców.

Źródła / bibliografia

1. Google Threat Intelligence Group (GTIG), “Beyond the Battlefield: Threats to the Defense Industrial Base” (10 lutego 2026). (Google Cloud)
2. The Hacker News, “Google Links China, Iran, Russia, North Korea to Coordinated Defense Sector Cyber Operations” (13 lutego 2026). (The Hacker News)
3. The Guardian, “State-sponsored hackers targeting defence sector employees, Google says” (10 lutego 2026). (The Guardian)
4. The Record (Recorded Future News), “Nation-state hackers ramping up use of Gemini…” (12 lutego 2026). (The Record from Recorded Future)
5. CyberScoop, “Google finds state-sponsored hackers use AI…” (12 lutego 2026). (CyberScoop)