Cyberinteligencja zagrożeń z Telegramu: monitoring otwartych kanałów dla obronności

Środowisko konfliktowe stworzyło niezwykłą przejrzystość rozpoznawczą: aktorzy zagrożeń, grupy haktywistyczne, jednostki wojskowe i zespoły operacji informacyjnych używają kanałów Telegram do komunikacji ze swoimi zwolennikami, zgłaszania operacji, koordynowania ataków i rozpowszechniania propagandy. Ta aktywność jest otwarcie dostępna — kanały są publiczne, wiadomości są w postaci zwykłego tekstu, a API Telegram zapewnia programowy dostęp do historycznych i działających w czasie rzeczywistym strumieni wiadomości. Dla organizacji wywiadowczej obronności MON systematyczny monitoring Telegram jest efektywnym kosztowo źródłem cyberinteligencji zagrożeń (CTI), uzupełniającym zbieranie sygnałów i kanały wskaźników technicznych.

Co ujawnia Telegram: kategorie treści

Ogłoszenia ataków DDoS: Grupy haktywistyczne ogłaszają wybór celów, czasy rozpoczęcia ataków i zgłaszane wyniki na Telegram przed i podczas ataków. Komunikaty po ataku dostarczają danych kalibracyjnych do oceny rzeczywistych możliwości grupy w porównaniu do deklarowanych.

Ogłoszenia wycieków danych i poświadczeń: Grupy prowadzące operacje eksfiltracji danych ogłaszają swoje łupy na Telegram przed lub jednocześnie z publikacją na ciemnych stronach internetowych. Monitoring wzmianek nazw organizacji, nazw domen lub zakresów IP w kontekście roszczeń o wycieki danych umożliwia szybkie reagowanie przez MON.

Komunikaty koordynacji operacyjnej: Kanały koordynacji dla operacji haktywistycznych omawiają priorytety celów, czas ataków i dobór narzędzi. Ta treść dostarcza zarówno ostrzeżeń taktycznych jak i wywiadu technicznego.

Treść propagandowa i operacji informacyjnych: Kanały prowadzące operacje informacyjne publikują sfabrykowane dokumenty, zmanipulowane obrazy i fałszywe narracje. Wczesna identyfikacja tej treści umożliwia atrybucję i prewencyjną pracę nad kontrnarracją.

Architektura techniczna: zbieranie Telegram na dużą skalę

API Telegram MTProto zapewnia uwierzytelniony dostęp do historii wiadomości z publicznych kanałów i strumieni wiadomości w czasie rzeczywistym. Biblioteka Python Telethon jest standardową biblioteką kliencką do automatycznego zbierania Telegram. Produkcyjny system monitoringu Telegram wymaga kilku komponentów: rejestru kanałów, kolektora subskrybującego aktualizacje wiadomości, magazynu wiadomości (PostgreSQL z kolumnami JSONB) i potoku przetwarzania uruchamiającego NLP i ekstrakcję encji.

Odkrywanie kanałów i mapowanie sieci

Znana lista ziarniakowych kanałów nigdy nie jest kompletna. Grupy haktywistyczne tworzą nowe kanały, zmieniają nazwy starych i migrują między kanałami, aby uniknąć moderacji. Odkrywanie kanałów od zestawu ziarniakowego używa kilku technik: śledzenia przekierowań, śledzenia wzmianek i wyszukiwania słów kluczowych. Wynikowy graf kanałów ujawnia strukturę społeczności i skoordynowane sieci aktorów zagrożeń.

Ekstrakcja i wzbogacanie IOC

Techniczne wskaźniki kompromitacji ekstrahowane z wiadomości Telegram zasilają bezpośrednio platformy inteligencji zagrożeń. Proces ekstrakcji używa wzorców wyrażeń regularnych do identyfikacji adresów IPv4, IPv6, nazw domen, URL, skrótów plików i identyfikatorów CVE w tekście wiadomości i załączonych plikach. Wzbogacanie IOC ze źródeł zewnętrznych dodaje kontekst techniczny — wyszukiwanie WHOIS, pasywny DNS, VirusTotal.

Przetwarzanie wielojęzyczne

Kanały Telegram w euroazjatyckim środowisku konfliktowym publikują po rosyjsku, ukraińsku, arabsku, persku i wielu innych językach. Program CTI, który może przetwarzać tylko treści angielskie, pomija większość operacyjnego wywiadu. Wykrywanie języka stosowane do każdej przychodzącej wiadomości kieruje ją do odpowiedniego potoku przetwarzania specyficznego dla danego języka. Tłumaczenie maszynowe sprawia, że treści rosyjskie i inne są dostępne dla analityków MON.