Od początku pełnoskalowego konfliktu na Ukrainie w 2022 roku Telegram stał się operacyjnym kręgosłupem komunikacji aktorów cyberzagrożeń. Grupy hakerskie powiązane z państwami, kolektywy haktywistów i organizacje przestępcze używają platformy do ogłaszania celów, koordynowania rozproszonych kampanii ataków, publikowania dowodów naruszeń i rekrutacji. Dla obronnych i rządowych zespołów cybernetycznych Telegram nie jest peryferyjnym źródłem danych — jest podstawowym kanałem wczesnego ostrzegania.

Problem stanowią skala i prędkość. Setki istotnych kanałów generują tysiące wiadomości dziennie, w wielu językach, mieszając prawdziwe sygnały zagrożeń z szumem, propagandą i dezinformacją. Zespół analityków monitorujących ten wolumen ręcznie napotyka niemożliwy do opanowania ciężar triage'u. Krytyczne ogłoszenia o zagrożeniach — nazwany portal rządowy wytypowany do ataku DDoS uruchamianego za sześć godzin, zgłoszone naruszenie serwera e-mail wykonawcy obrony — są rutynowo pomijane lub identyfikowane po fakcie.

Corvus.Sense to odpowiedź Corvus Intelligence na to wąskie gardło: platforma automatyzująca wykrywanie, klasyfikację i ustrukturyzowaną analizę cyberzagrożeń z danych wiadomości Telegram przy użyciu dużych modeli językowych, dostarczająca wykonalny wywiad o zagrożeniach z prędkością maszynową.

Dlaczego Telegram jest podstawowym kanałem aktorów zagrożeń

Architektura Telegrama sprawia, że jest operacyjnie atrakcyjna dla aktorów zagrożeń. Kanały publiczne i prywatne umożliwiają nadawanie do dużych odbiorców bez konieczności rejestracji po stronie odbiorcy. Usuwanie wiadomości, migracja kanałów i brak zasad przechowywania wiadomości na poziomie platformy utrudniają odtwarzanie kryminalistyczne. Tolerancja platformy dla anonimowości i minimalna moderacja wrażliwych politycznie treści w wielu jurysdykcjach uczyniły ją preferowanym medium koordynacji dla grup działających w spornych środowiskach informacyjnych.

Praktyczną konsekwencją dla obronnych zespołów cybernetycznych jest to, że komunikaty aktorów zagrożeń, które niegdyś wymagały dostępu do forów dark web — z towarzyszącym obciążeniem operacyjnym bezpieczeństwa — teraz odbywają się w bardziej dostępnym, ale nadal wysokowolumenowym środowisku. Grupy takie jak Killnet, NoName057(16) i ich powiązane sieci utrzymują rozległą obecność na Telegramie od 2022 roku, używając platformy do deklarowania celów ataku, ogłaszania udanych operacji i koordynowania ochotniczych uczestników kampanii DDoS wymierzonych w rządowe i krytyczne cele infrastrukturalne w Europie, Ameryce Północnej i poza nimi.

Kluczowa obserwacja: Monitorowanie kanałów Telegram nie jest uzupełniającą możliwością OSINT — dla rządowych zespołów cybernetycznych śledzących aktywność haktywistów powiązanych z państwem, jest często najwartościowszym źródłem wywiadu ostrzegawczego przed atakiem dostępnym w otwartych źródłach. Wyzwaniem jest systematyczne przetwarzanie wolumenu.

Ręczne monitorowanie tych kanałów wprowadza trzy strukturalne problemy. Po pierwsze, wolumen jest niezgodny z utrzymaną ludzką uwagą — zespół monitorujący nie może zapewnić spójnego pokrycia setek kanałów przez całą dobę. Po drugie, przewaga czasowa jest tracona — ogłoszenie zagrożenia dokonane sześć godzin przed atakiem jest wykonalnym wywiadem; to samo ogłoszenie odkryte po ataku stanowi zapis incydentu. Po trzecie, ręczne monitorowanie generuje wyniki uzależnione od analityka: notatki, zrzuty ekranu, nieformalne podsumowania — nie ustrukturyzowane produkty wywiadowcze, które można wprowadzić do systemów SIEM i CTI.

Klasyfikacja zagrożeń oparta na LLM: od szumu do struktury

Głównym wyzwaniem technicznym w monitorowaniu zagrożeń na Telegramie jest przekształcenie nieustrukturyzowanych, wielojęzycznych, wysokowolumenowych strumieni wiadomości w ustrukturyzowany wywiad o zagrożeniach. Tutaj duże modele językowe zapewniają jakościowo odmienną możliwość w porównaniu z monitorowaniem opartym na słowach kluczowych lub klasyfikacją opartą na regułach.

Corvus.Sense przetwarza każdą pozyskaną wiadomość przez potok klasyfikacji LLM, który przypisuje etykiety kategorii zagrożeń, tagi sektorowe, wyniki pewności i zakres geograficzny na podstawie treści w języku naturalnym — bez konieczności zawierania przez wiadomość określonych słów kluczowych ani zgodności ze znanym szablonem. Wiadomość deklarująca „Atakujemy [organizację] przez następne 48 godzin — dołącz do naszego kanału, aby uzyskać aktualizacje" jest poprawnie klasyfikowana jako deklaracja celu, nawet jeśli dokładne sformułowanie nie było wcześniej widziane. Ten sam model obsługuje język rosyjski, ukraiński, angielski i inne języki bez oddzielnych zestawów reguł.

Kategorie klasyfikacji obejmują ogłoszenie DDoS, ujawnienie naruszenia, deklarację celu, aktywną koordynację ataku, sygnał rozpoznawczy, twierdzenie po ataku i rekrutację. Każda klasyfikacja zawiera wynik pewności. Wiadomości poniżej konfigurowalnego progu pewności są kierowane do kolejki przeglądu analityka zamiast automatycznego przetwarzania — system jest zaprojektowany tak, aby eskalować niepewność, a nie ją tłumić.

Kluczowa obserwacja: Operacyjna wartość klasyfikacji LLM nie polega na eliminacji zaangażowania analityków — polega na inteligentnym triage'u. Analitycy otrzymują tylko wiadomości wymagające ludzkiej oceny, z wstępnie ustrukturyzowanym kontekstem. Zespół, który wcześniej spędzał osiem godzin dziennie na czytaniu kanałów, może przekierować tę pojemność na analizę i reagowanie.

Po klasyfikacji system przeprowadza ekstrakcję podmiotów: wyodrębnia ustrukturyzowane dane z tekstu wiadomości — nazwy organizacji docelowych, adresy IP, nazwy domen, zgłoszone rekordy naruszeń, przywoływane podatności i nazwane narzędzia ataku. Podmioty są normalizowane i odsyłane do grafu wiedzy platformy dotyczącego śledzonych aktorów, kampanii i infrastruktury. Nowo wyodrębniony adres IP pasujący do known infrastruktury C2 śledzonej grupy aktorów jest automatycznie powiązany z profilem tego aktora.

Mapowanie łańcucha ataku i odcisk palca aktora

Pojedyncze wiadomości o zagrożeniach mają ograniczoną wartość w izolacji. Obraz operacyjny wyłania się z relacji między wiadomościami w czasie: sygnał rozpoznawczy we wtorek, deklaracja celu w czwartek, aktywna koordynacja DDoS w piątkowy wieczór i twierdzenie o naruszeniu po ataku w sobotę. Połączenie tych zdarzeń w spójny łańcuch ataku to właśnie to, co przekształca surowe dane monitoringowe w wywiad wspierający podejmowanie decyzji.

Corvus.Sense utrzymuje model łańcucha ataku oparty na grafie, który łączy zdarzenia z kampaniami, a kampanie z profilami aktorów. W miarę napływania nowych wiadomości system automatycznie łączy je z istniejącymi łańcuchami na podstawie nakładania się podmiotów, atrybucji aktora, wzorców targetowania i czasu. Analitycy widzą nie tylko najnowszą wiadomość, ale pełną ewolucję kampanii — w tym jak długo aktor jest aktywny, które inne sektory lub obszary geograficzne był atakował oraz czy tempo jego aktywności rośnie.

Odcisk palca aktora opiera się na tych podłużnych danych. Każda śledzona grupa hakerska rozwija obserwowalne wzorce behawioralne: preferowane dni i godziny ataków, charakterystyczne szablony wiadomości, spójne kryteria wyboru celów i powracające elementy infrastruktury. Corvus.Sense utrzymuje profile aktorów, które uchwytują te wzorce i używa ich do atrybucji nowej aktywności — nawet gdy grupa działa pod nową nazwą kanału lub używa zmodyfikowanych formatów wiadomości.

Wizualizacja osi czasu przedstawia ewolucję wzorców ataku chronologicznie, umożliwiając analitykom identyfikację wzorców eskalacji przed przekształceniem się ich w potwierdzone incydenty. Rządowy zespół cybernetyczny może na przykład zobaczyć, że konkretna grupa aktorów przez ostatnie trzy tygodnie eskaluje targetowanie organizacji energetycznych w swoim regionie — co daje czas na poinformowanie odpowiednich operatorów sektora i dostosowanie postawy obronnej.

Klasyfikacja zagrożeń między sektorami i obszarami geograficznymi

Jednym ze strukturalnych ograniczeń ręcznego monitorowania Telegrama jest to, że pokrycie jest zazwyczaj organizowane według specjalizacji analityków — zespół obejmujący sektor finansowy i oddzielny zespół obejmujący infrastrukturę krytyczną. Zagrożenia przekraczające granice sektorów, lub pochodzące od grup aktorów atakujących jednocześnie wiele sektorów, wpadają między silosy monitorowania.

Corvus.Sense stosuje klasyfikację sektorową i geograficzną do każdego przetworzonego zdarzenia, obejmując infrastrukturę krytyczną, sektor finansowy, administrację publiczną, telekomunikację, energetykę i obronność. Wszystkie klasyfikacje są jednocześnie widoczne w konsoli, dając rządowemu zespołowi cybernetycznemu ujednolicony obraz zagrożeń we wszystkich sektorach, co inaczej wymagałoby oddzielnych operacji monitoringowych. Gdy grupa aktorów zmienia się z atakowania dostawców telekomunikacyjnych na portale rządowe — przejście, które wielokrotnie miało miejsce podczas kampanii 2022–2024 — zmiana jest natychmiast widoczna na osi czasu między sektorami.

Filtrowanie geograficzne pozwala klientom skupić się na ich konkretnym obszarze zainteresowań — krajowy organ ds. cyberbezpieczeństwa monitorujący zagrożenia dla krajowej infrastruktury — przy zachowaniu dostępu do szerszego obrazu aktywności aktorów na potrzeby atrybucji i analizy wzorców.

Automatyczne generowanie podsumowań dla kierownictwa

Końcowy etap przetwarzania przekształca ustrukturyzowane dane o zagrożeniach zgromadzone w danym okresie raportowania w czytelne dla człowieka podsumowania wykonawcze. Podsumowania te są generowane w konfigurowalnych odstępach czasu — godzinowe raporty sytuacyjne podczas aktywnych kampanii, codzienne raporty podczas monitorowania w trybie stabilnym — i są sformatowane dla dwóch odrębnych odbiorców.

Podsumowania techniczne dla analityków SOC i zespołów wywiadu o zagrożeniach zawierają pełną listę zdarzeń z wynikami pewności, ekstrakcjami podmiotów, atrybucjami aktorów i eksportami wskaźników w formacie STIX. Podsumowania wykonawcze dla starszych decydentów przedstawiają te same dane na wyższym poziomie abstrakcji: poziomy zagrożeń sektorowych, istotna nowa aktywność według grupy aktorów, zalecane działania obronne i ogólna ocena trendu zagrożeń.

To podwójne wyjście formatowe eliminuje ciężar ręcznego pisania raportów, który pochłania znaczny czas analityków w organizacjach polegających na ręcznym monitorowaniu. Te same dane są dostępne w obu formatach bez dodatkowego wysiłku analityka — możliwość, która staje się operacyjnie istotna podczas aktywnych kampanii, gdy pojemność analityczna jest najbardziej ograniczona.

Przypadek użycia: rządowy zespół cybernetyczny podczas aktywnej kampanii infrastrukturalnej

Rozważmy krajowy organ ds. cyberbezpieczeństwa odpowiedzialny za monitorowanie zagrożeń dla krajowej infrastruktury krytycznej. Na początku 2024 roku grupa aktorów powiązana z siecią haktywistów wspieranych przez państwo zaczyna publikować deklaracje celów przeciwko organizacjom energetycznym w tym kraju. Deklaracje pojawiają się na czterech oddzielnych kanałach Telegram, w dwóch językach, w ciągu czterdziestu ośmiu godzin.

Przy wdrożonym Corvus.Sense, pierwsza deklaracja celu wyzwala alert o wysokim stopniu pewności w ciągu minut od publikacji. System łączy go z istniejącym profilem grupy aktorów — który pokazuje siedemnaście poprzednich kampanii przeciwko celom energetycznym w sąsiednich krajach przez poprzednie sześć miesięcy. Wizualizacja łańcucha ataku wyświetla wzorzec: sygnały rozpoznawcze od trzech do pięciu dni przed każdym poprzednim atakiem, deklaracja celu na czterdzieści osiem do siedemdziesięciu dwóch godzin przed atakiem, koordynacja DDoS w ostatnich dwunastu godzinach.

Zespół organu ds. cyberbezpieczeństwa otrzymuje automatyczny raport sytuacyjny w ciągu godziny, sformatowany do przekazania operatorom sektora i starszemu kierownictwu. Dysponują czterdziestoma ośmioma godzinami wywiadu ostrzegawczego — czas na ostrzeżenie konkretnych organizacji energetycznych, koordynację z ich CERT-em i wdrożenie dodatkowego monitorowania zaatakowanej infrastruktury. Gdy nadchodzi atak, reakcja jest skoordynowana, a nie reaktywna.

Na tym polega operacyjna różnica, jaką dostarcza zautomatyzowany wywiad o zagrożeniach z Telegrama: ustrukturyzowany wywiad ostrzegawczy z wystarczającym wyprzedzeniem, aby działać, a nie potwierdzenie, że atak miał miejsce.

Kluczowa obserwacja: Miarą platformy wywiadowczej nie jest wolumen wywiadu, który produkuje — to czy wywiad dociera wystarczająco wcześnie, aby zmienić wynik. Wywiad ostrzegawczy pochodny z OSINT z monitorowania Telegrama konsekwentnie wykazywał czasy wyprzedzenia od sześciu do siedemdziesięciu dwóch godzin przed potwierdzonymi atakami na cele obronne i rządowe.

Integracja z istniejącą infrastrukturą cybernetyczną

Corvus.Sense jest zaprojektowany tak, aby rozszerzać istniejącą infrastrukturę cybernetyczną, a nie ją zastępować. Platforma eksportuje ustrukturyzowany wywiad o zagrożeniach w formacie STIX 2.1 przez TAXII 2.1, czyniąc jej wyniki bezpośrednio konsumowalnymi przez główne platformy SIEM, w tym Splunk, Microsoft Sentinel i IBM QRadar. Alerty o zagrożeniach o wysokim priorytecie są dostarczane przez webhook w czasie rzeczywistym do integracji z playbookami SOAR i zautomatyzowanymi przepływami reakcji.

Dla klientów rządowych i obronnych wymagających niejawnych konfiguracji wdrożenia, platforma może być obsługiwana w środowisku bez dostępu do sieci zewnętrznej z ręcznymi mechanizmami eksportu kanałów danych — utrzymując ustrukturyzowane wyjście wywiadowcze przy spełnianiu wymogów bezpieczeństwa operacyjnego sieci niejawnych. REST API obsługuje niestandardowe integracje z istniejącym narzędziem analitycznym i infrastrukturą raportowania.

Konsola Corvus.Sense zapewnia interfejs skierowany do analityka: wizualizacja osi czasu, profile aktorów, mapy łańcuchów ataków, pulpity nawigacyjne zagrożeń sektorowych i kolejka przeglądu analityka dla klasyfikacji o niskim stopniu pewności wymagających ludzkiej oceny. Konsola jest zaprojektowana do długotrwałego użytkowania podczas aktywnych operacji monitoringowych — nie pulpit nawigacyjny sprawdzany okresowo, lecz środowisko pracy dla analityków, których główną funkcją jest produkcja wywiadu o zagrożeniach.

Najczęściej zadawane pytania

+Które kanały Telegram monitoruje Corvus.Sense?

Corvus.Sense monitoruje wyselekcjonowany i stale aktualizowany zestaw kanałów Telegram powiązanych z grupami aktorów zagrożeń, kolektywami haktywistów oraz sieciami operacji informacyjnych istotnych dla sektorów obronnego i rządowego. Lista kanałów jest konfigurowalna — klienci rządowi i korporacyjni mogą dodawać lub wykluczać określone kanały w zależności od obszaru sektora i geograficznego zakresu zainteresowań. System wykrywa również nowo pojawiające się kanały, których wzorce zachowań odpowiadają aktywności znanych grup aktorów zagrożeń.

+Jak dokładna jest klasyfikacja zagrożeń oparta na LLM w porównaniu z ręcznym przeglądem analityków?

W ustrukturyzowanej walidacji na zbiorach danych oznaczonych przez analityków, Corvus.Sense osiąga ponad 90% dokładności klasyfikacji dla wysokosygnałowych kategorii zagrożeń (ogłoszenia DDoS, ujawnienia naruszeń, deklaracje celów). Kategorie o niższym sygnale — niejednoznaczna propaganda lub niespecyficzne wezwania do działania — są oznaczane obniżonymi wynikami pewności i kierowane do przeglądu przez człowieka zamiast automatycznego przetwarzania. System jest zaprojektowany tak, aby eskalować niepewność, a nie ją tłumić.

+Czy Corvus.Sense można dostosować do określonych sektorów lub obszarów geograficznych?

Tak. Filtry sektorowe (infrastruktura krytyczna, finanse, administracja publiczna, telekomunikacja, energetyka, obronność) i filtry geograficzne (kraj lub region zainteresowań) są konfigurowalne dla każdego wdrożenia. Modele klasyfikacji można również dostroić na danych o incydentach specyficznych dla klienta, aby poprawić precyzję dla grup przeciwników najbardziej istotnych dla środowiska zagrożeń danej organizacji.

+Jak Corvus.Sense radzi sobie ze wzrostami wolumenu wiadomości podczas aktywnych kampanii?

Potok pozyskiwania danych jest horyzontalnie skalowalny i przetwarza wiadomości asynchronicznie. Podczas zdarzeń o dużym wolumenie — skoordynowanych kampanii DDoS lub operacji informacyjnych — system priorytetyzuje klasyfikacje zagrożeń o wysokim stopniu pewności i kolejkuje sygnały o niższym priorytecie do przetwarzania wsadowego. Analitycy otrzymują alerty w czasie rzeczywistym dla potwierdzonych zagrożeń, podczas gdy pełny wolumen jest przetwarzany w tle.

+Czy Corvus.Sense integruje się z istniejącymi platformami SIEM i CTI?

Corvus.Sense eksportuje ustrukturyzowany wywiad o zagrożeniach w formacie STIX 2.1 przez TAXII, co zapewnia zgodność z głównymi platformami SIEM (Splunk, Microsoft Sentinel, IBM QRadar) i platformami CTI. Obsługuje również dostarczanie alertów przez webhook i dostęp do REST API dla niestandardowych integracji. Wdrożenia niejawne można skonfigurować do pracy w środowisku bez dostępu do sieci zewnętrznej z ręcznym eksportem kanałów danych.

Powiązane lektury: Aby zapoznać się z szerszą architekturą platformy wywiadowczej do cyberzagrożeń dla obronności, zob. Platformy wywiadu o cyberzagrożeniach dla obronności. W zakresie metodologii monitorowania OSINT wykraczającej poza Telegram, zob. Monitorowanie zagrożeń OSINT dla organizacji obronnych. Wzorce integracji SIEM i SOAR w środowiskach wojskowego SOC zob. Integracja SIEM/SOAR dla wojskowych operacji cybernetycznych.