З початку повномасштабного конфлікту в Україні у 2022 році Telegram перетворився на операційну основу для комунікацій загрозних кіберакторів. Проурядові хакерські групи, хактивістські колективи та кримінальні організації використовують платформу для оголошення цілей, координації розподілених атакуючих кампаній, публікації доказів порушень та вербування. Для оборонних і урядових кіберкоманд Telegram — це не периферійне джерело даних, а основний канал раннього попередження.
Проблема полягає у масштабі та швидкості. Сотні відповідних каналів генерують тисячі повідомлень щодня, кількома мовами, перемішуючи справжні сигнали загроз із шумом, пропагандою та дезінформацією. Команда аналітиків, яка вручну відстежує такий обсяг, стикається з неможливою задачею сортування. Критичні оголошення про загрози — названий урядовий портал, на який за шість годин почнеться DDoS-хвиля, або заявлене порушення поштового сервера підрядника з оборонки — регулярно залишаються непоміченими або виявляються постфактум.
Corvus.Sense — це відповідь Corvus Intelligence на це вузьке місце: платформа, яка автоматизує виявлення, класифікацію та структурований аналіз кіберзагроз із даних месенджера Telegram за допомогою великих мовних моделей, надаючи практичну розвідку загроз зі швидкістю машини.
Чому Telegram є основним каналом загрозних акторів
Архітектура Telegram робить його операційно привабливим для загрозних акторів. Публічні та приватні канали дозволяють транслювати повідомлення великій аудиторії без необхідності реєстрації одержувачів. Видалення повідомлень, міграція каналів та відсутність політик зберігання повідомлень на рівні платформи ускладнюють криміналістичне відновлення даних. Толерантність платформи до анонімності та мінімальна модерація політично чутливого контенту в багатьох юрисдикціях зробили її кращим засобом координації для груп, що діють у спірних інформаційних середовищах.
Практичний наслідок для оборонних кіберкоманд полягає в тому, що комунікації загрозних акторів, для яких раніше потрібен був доступ до форумів даркнету — з пов'язаними операційними витратами на безпеку — тепер відбуваються в більш доступному, але все ще великообсяговому середовищі. Такі групи, як Killnet, NoName057(16) та їхні аффільовані мережі, підтримують розгалужену присутність у Telegram з 2022 року, використовуючи платформу для оголошення цілей атак, заяв про успішні операції та координації учасників-добровольців у DDoS-кампаніях проти урядових та об'єктів критичної інфраструктури в Європі, Північній Америці та за їх межами.
Ключовий висновок: Моніторинг каналів Telegram — це не допоміжна можливість OSINT; для урядових кіберкоманд, що відстежують хактивістську активність, пов'язану з державою, він часто є джерелом розвідувальних даних попередження перед атакою з найвищою точністю серед доступних у відкритих джерелах. Завдання полягає в систематичній обробці обсягу.
Ручний моніторинг цих каналів породжує три структурні проблеми. По-перше, обсяг несумісний із тривалою людською увагою — команда моніторингу не може підтримувати безперервне охоплення сотень каналів цілодобово. По-друге, перевага у швидкості втрачається — оголошення про загрозу, зроблене за шість годин до атаки, є дієвою розвідувальною інформацією; те саме оголошення, виявлене після атаки, — це запис про інцидент. По-третє, ручний моніторинг дає результати, що залежать від аналітика: нотатки, знімки екрана, неформальні зведення — а не структуровані розвідувальні продукти, придатні для подачі у SIEM та CTI-системи нижчого рівня.
LLM-класифікація загроз: від шуму до структури
Основна технічна задача при моніторингу загроз у Telegram полягає у перетворенні неструктурованих, багатомовних, великообсягових потоків повідомлень на структуровану розвідку загроз. Саме тут великі мовні моделі надають якісно іншу можливість порівняно з ключовим пошуком або класифікацією на основі правил.
Corvus.Sense обробляє кожне отримане повідомлення через конвеєр класифікації LLM, який присвоює мітки категорій загроз, секторальні теги, бали довіри та географічний охват із контенту природною мовою — без вимоги до повідомлення містити конкретні ключові слова або відповідати відомому шаблону. Повідомлення з оголошенням "Ми атакуємо [організацію] протягом наступних 48 годин — приєднуйтесь до нашого каналу для оновлень" правильно класифікується як декларація про ціль, навіть якщо точне формулювання раніше не зустрічалося. Та сама модель опрацьовує російську, українську, англійську та інші мови без окремих наборів правил.
Категорії класифікації включають: оголошення про DDoS, розкриття порушень, декларація про ціль, координація активної атаки, сигнал розвідки, заява після атаки та вербування. Кожна класифікація містить бал довіри. Повідомлення нижче налаштовуваного порогу довіри спрямовуються до черги перевірки аналітиком, а не обробляються автоматично — система призначена для ескалації невизначеності, а не для її придушення.
Ключовий висновок: Операційна цінність LLM-класифікації полягає не у виключенні участі аналітика — а в інтелектуальному сортуванні. Аналітики отримують лише ті повідомлення, що потребують людського судження, із попередньо структурованим контекстом. Команда, яка раніше витрачала вісім годин на день на читання стрічок каналів, може перенаправити цей ресурс на аналіз та реагування.
Після класифікації система виконує вилучення сутностей: витягує структуровані дані з тексту повідомлення — назви цільових організацій, IP-адреси, доменні імена, заявлені записи про порушення, згадані вразливості та названі інструменти атаки. Ці сутності нормалізуються та перехресно порівнюються з графом знань платформи про відстежуваних акторів, кампанії та інфраструктуру. Щойно вилучена IP-адреса, що збігається з відомою C2-інфраструктурою відстежуваної групи акторів, автоматично пов'язується з профілем цього актора.
Картування ланцюжка атак та дактилоскопія акторів
Окремі повідомлення про загрози мають обмежену цінність самі по собі. Оперативна картина виникає із зв'язків між повідомленнями протягом часу: сигнал розвідки у вівторок, декларація про ціль у четвер, активна DDoS-координація у п'ятницю ввечері та заява про порушення після атаки у суботу. Поєднання цих подій у зв'язний ланцюжок атаки — це те, що перетворює сирі дані моніторингу на розвідку, яка підтримує прийняття рішень.
Corvus.Sense підтримує графову модель ланцюжка атак, що пов'язує події з кампаніями, а кампанії — з профілями акторів. При надходженні нових повідомлень система автоматично асоціює їх із наявними ланцюжками на основі перетину сутностей, атрибуції акторів, закономірностей прицілювання та часових рамок. Аналітики бачать не лише останнє повідомлення, але й повну еволюцію кампанії — включно з тим, скільки часу актор є активним, які інші сектори або географії він атакував та чи зростає темп його активності.
Дактилоскопія акторів будується на цих лонгітюдинальних даних. Кожна відстежувана хакерська група виробляє спостережувані поведінкові закономірності: кращі дні та час атаки, характерні шаблони повідомлень, стабільні критерії відбору цілей та повторювані елементи інфраструктури. Corvus.Sense підтримує профілі акторів, що фіксують ці закономірності, та використовує їх для атрибуції нової активності — навіть коли група діє під новою назвою каналу або використовує модифіковані формати повідомлень.
Хронологічна візуалізація представляє еволюцію закономірностей атак у хронологічному порядку, дозволяючи аналітикам виявляти ескалаційні закономірності до того, як вони призводять до підтверджених інцидентів. Урядова кіберкоманда може, наприклад, побачити, що конкретна група акторів протягом останніх трьох тижнів нарощує прицілювання на організації енергетичного сектору в їхньому регіоні — що надає час для інструктажу відповідних операторів сектору та коригування захисної позиції.
Міжсекторальна та міжгеографічна класифікація загроз
Одним із структурних обмежень ручного моніторингу Telegram є те, що охоплення зазвичай організоване за спеціалізацією аналітиків — команда для фінансового сектору та окрема команда для критичної інфраструктури. Загрози, що перетинають межі секторів або походять від груп акторів, що одночасно атакують кілька секторів, випадають між моніторинговими силосами.
Corvus.Sense застосовує секторальну та географічну класифікацію до кожної обробленої події, охоплюючи критичну інфраструктуру, фінансовий сектор, уряд, телекомунікації, енергетику та оборону. Всі класифікації одночасно видимі в консолі, надаючи урядовій кіберкоманді єдину картину загроз у різних секторах, яка в іншому випадку потребувала б окремих операцій моніторингу. Коли група акторів переорієнтується з телекомунікаційних провайдерів на урядові портали — перехід, що неодноразово траплявся в кампаніях 2022–2024 років — зміна стає одразу помітною на міжсекторальній часовій лінії.
Географічна фільтрація дозволяє клієнтам зосередитись на конкретній зоні інтересів — національний кібер-орган, що відстежує загрози проти внутрішньої інфраструктури, — зберігаючи доступ до ширшої картини активності акторів для атрибуції та аналізу закономірностей.
Автоматизована генерація виконавчих зведень
Кінцевий етап обробки перетворює структуровані дані про загрози, накопичені за звітний період, на зрозумілі людині виконавчі зведення. Ці зведення генеруються з налаштовуваними інтервалами — погодинні ситуаційні звіти під час активних кампаній, щоденні брифінги в режимі звичайного моніторингу — і форматуються для двох окремих аудиторій.
Технічні зведення для аналітиків SOC та команд розвідки загроз містять повний список подій із балами довіри, вилученнями сутностей, атрибуціями акторів та експортом індикаторів у форматі STIX. Виконавчі зведення для старшого керівництва представляють ті самі дані на вищому рівні абстракції: рівні загроз за секторами, значущу нову активність за групами акторів, рекомендовані захисні дії та загальну оцінку тенденцій загроз.
Цей двоформатний вивід усуває навантаження ручного написання звітів, яке поглинає значний час аналітиків в організаціях, що покладаються на ручний моніторинг. Ті самі дані доступні в обох форматах без додаткових зусиль аналітиків — можливість, яка набуває операційного значення під час активних кампаній, коли ресурс аналітиків найбільш обмежений.
Практичний випадок: урядова кіберкоманда під час активної кампанії проти інфраструктури
Розглянемо національний кіберорган, відповідальний за моніторинг загроз проти внутрішньої критичної інфраструктури. На початку 2024 року група акторів, афілійована з хактивістською мережею, пов'язаною з державою, починає публікувати декларації про цілі проти організацій енергетичного сектору в цій країні. Декларації з'являються у чотирьох окремих каналах Telegram, двома мовами, протягом сорока восьми годин.
З розгорнутим Corvus.Sense перша декларація про ціль ініціює сповіщення з високою довірою впродовж кількох хвилин після публікації. Система пов'язує її з наявним профілем групи акторів — який показує сімнадцять попередніх кампаній проти енергетичних цілей у сусідніх країнах за попередні шість місяців. Візуалізація ланцюжка атак відображає закономірність: сигнали розвідки за три–п'ять днів до кожної попередньої атаки, декларація про ціль за сорок вісім–сімдесят дві години до атаки, DDoS-координація в останні дванадцять годин.
Команда кібероргану отримує автоматизований ситуаційний звіт протягом години, відформатований для брифінгу операторів сектору та старшого керівництва. У них є сорок вісім годин випереджаючої розвідки — час для сповіщення конкретних організацій енергетичного сектору, координації з їхнім CERT та розгортання додаткового моніторингу цільової інфраструктури. Коли атака відбувається, реагування є скоординованим, а не реактивним.
Це і є операційна різниця, яку надає автоматизована розвідка загроз Telegram: структурована попереджувальна розвідка з достатнім часом для дій, а не підтвердження того, що атака відбулася.
Ключовий висновок: Мірило платформи розвідки загроз — не обсяг розвідки, яку вона виробляє, а те, чи надходить розвідка достатньо рано, щоб змінити результат. OSINT-попереджувальна розвідка з моніторингу Telegram стабільно демонструє час випередження від шести до сімдесяти двох годин перед підтвердженими атаками на оборонні та урядові цілі.
Інтеграція з наявною кіберінфраструктурою
Corvus.Sense розроблений для розширення наявної кіберінфраструктури, а не для її заміни. Платформа експортує структуровану розвідку загроз у форматі STIX 2.1 через TAXII 2.1, роблячи свої виходи безпосередньо придатними для споживання основними платформами SIEM, включаючи Splunk, Microsoft Sentinel та IBM QRadar. Сповіщення про загрози з високим пріоритетом доставляються через webhook у реальному часі для інтеграції з плейбуками SOAR та автоматизованими робочими процесами реагування.
Для урядових та оборонних клієнтів, яким потрібні засекречені конфігурації розгортання, платформа може функціонувати в ізольованому середовищі з механізмами ручного експорту потоків — зберігаючи структурований вивід розвідки при дотриманні вимог операційної безпеки засекречених мереж. REST API підтримує кастомні інтеграції з наявним аналітичним інструментарієм та інфраструктурою звітності.
Консоль Corvus.Sense надає інтерфейс для аналітиків: візуалізацію часової лінії, профілі акторів, карти ланцюжків атак, інформаційні панелі загроз за секторами та чергу перевірки аналітиком для класифікацій із низькою довірою, що потребують людського судження. Консоль розроблена для тривалого використання під час активних операцій моніторингу — не панель приладів, яку перевіряють періодично, а робоче середовище для аналітиків, основна функція яких — виробництво розвідки про загрози.
Часті запитання
+Які канали Telegram моніторить Corvus.Sense?
Corvus.Sense моніторить ретельно підібраний та постійно оновлюваний набір каналів Telegram, пов'язаних із групами загрозних акторів, хактивістськими колективами та мережами інформаційних операцій, що мають значення для оборонного та урядового секторів. Список каналів є налаштовуваним — урядові та корпоративні клієнти можуть додавати або виключати конкретні канали залежно від секторальної спеціалізації та географічної зони інтересів. Система також виявляє нові канали, поведінкові закономірності яких збігаються з активністю відстежуваних груп загрозних акторів.
+Наскільки точна LLM-класифікація загроз порівняно з ручним аналізом аналітика?
У структурованій перевірці на датасетах із мітками аналітиків Corvus.Sense досягає точності класифікації понад 90% для категорій загроз із високим сигналом (оголошення про DDoS, розкриття порушень, декларації про цілі). Категорії з нижчим сигналом — неоднозначна пропаганда або неконкретні заклики до дій — позначаються зниженими балами довіри та спрямовуються на перевірку людиною замість автоматичного опрацювання. Система створена для ескалації невизначеності, а не для її придушення.
+Чи можна налаштувати Corvus.Sense під конкретні сектори або географії?
Так. Секторальні фільтри (критична інфраструктура, фінанси, уряд, телекомунікації, енергетика, оборона) та географічні фільтри (країна або регіон інтересів) налаштовуються для кожного розгортання. Моделі класифікації також можна дотренувати на специфічних для клієнта даних про інциденти, щоб підвищити точність щодо груп зловмисників, найбільш релевантних для середовища загроз конкретної організації.
+Як Corvus.Sense справляється зі стрибками обсягу повідомлень під час активних кампаній?
Конвеєр прийому даних горизонтально масштабується та обробляє повідомлення асинхронно. Під час подій із великим обсягом — скоординованих DDoS-кампаній або інформаційних операцій — система пріоритизує класифікації загроз із високою довірою та ставить у чергу сигнали з нижчим пріоритетом для пакетної обробки. Аналітики отримують сповіщення в реальному часі про підтверджені загрози, поки весь обсяг обробляється у фоновому режимі.
+Чи інтегрується Corvus.Sense з наявними платформами SIEM та CTI?
Corvus.Sense експортує структуровану розвідку загроз у форматі STIX 2.1 через TAXII, що робить її сумісною з основними платформами SIEM (Splunk, Microsoft Sentinel, IBM QRadar) та платформами CTI. Він також підтримує доставку сповіщень через webhook та доступ через REST API для кастомних інтеграцій. Засекречені розгортання можна налаштувати для роботи в режимі ізольованої мережі з ручним експортом потоків даних.
Пов'язане читання: Для ознайомлення з ширшою архітектурою платформи розвідки кіберзагроз у сфері оборони, див. Платформи розвідки кіберзагроз для оборони. Щодо методології OSINT-моніторингу поза Telegram, див. OSINT-моніторинг загроз для оборонних організацій. Щодо шаблонів інтеграції SIEM та SOAR в оборонних SOC-середовищах, див. Інтеграція SIEM/SOAR для військових кібероперацій.