Telegram як джерело розвідки загроз: тактики моніторингу, групи та сигнали

Автор: Команда інженерів Corvus Intelligence · Про команду →

3 червня 2026 9 хв читання

Telegram став найбільш операційно значущим джерелом розвідки з відкритих джерел для моніторингу кіберзагроз. Хакерські групи, пов'язані з державою, операції з використанням програм-вимагачів, хактивістські об'єднання та ринки брокерів початкового доступу — всі вони використовують канали Telegram для оголошення атак, публікації викрадених даних, вербування операторів і координації кампаній. Для команд безпеки, що захищають оборонні організації, державні установи та критичну інфраструктуру, систематичний моніторинг Telegram більше не є опційним — це базова вимога до збору розвідувальних даних.

Цей посібник охоплює причини, чому Telegram замінив інші платформи для комунікацій суб'єктів загроз, конкретні типи розвідувальних даних, що доступні, категорії суб'єктів загроз, активних на платформі, чому ручний моніторинг не масштабується, і як виглядає автоматизований конвеєр розвідки загроз Telegram на практиці.

Чому Telegram став домінуючою платформою для суб'єктів загроз

Архітектура Telegram створює умови, які суб'єкти загроз вважають операційно корисними. Розуміння цих властивостей пояснює, чому моніторинг саме Telegram — а не трактування його як ще однієї платформи соціальних мереж — вимагає окремого технічного підходу.

Велика місткість каналів без верифікації акаунту. Канали Telegram підтримують необмежену кількість підписників і можуть транслювати мільйонам читачів без верифікації номера телефону. Це спрощує для груп загроз побудову великої публічної аудиторії для їхніх оголошень без наявності відстежуваних ідентичностей аудиторії. Канал попереднього оголошення DDoS-атак може миттєво досягти 50 000 підписників.

Інфраструктура Bot API. Офіційний Bot API Telegram дозволяє автоматизовано публікувати повідомлення, керувати каналами та агрегувати дані у масштабі. Суб'єкти загроз використовують ботів для автоматичного публікування оголошень про витоки, скрейпінгу та репостингу контенту з ринків даркнету, а також керування кількома каналами з єдиного адміністративного інтерфейсу. Та сама API-інфраструктура використовується командами безпеки для збору — що створює технічно симетричне середовище збору.

Наскрізне шифрування для приватних комунікацій поряд із публічними каналами. Суб'єкти загроз використовують публічні канали для оголошень і пропаганди, проводячи операційну координацію через зашифровані приватні чати та групи. Публічний шар каналів є тим, що команди CTI можуть систематично відстежувати; приватний координаційний шар недоступний через збір з відкритих джерел. Це означає, що Telegram CTI фіксує шар намірів і оголошень, але не деталі операційної координації.

Слабка модерація контенту у масштабі. Незважаючи на задекларовану політику контенту Telegram, застосування правил щодо каналів суб'єктів загроз є непослідовним і повільним. Канали часто працюють місяцями перед видаленням, а групи регулярно відновлюються на нових каналах протягом годин після блокування. Тиск модерації контенту, який витіснив суб'єктів загроз з Twitter і Facebook, спрямував активність до Telegram, а не ліквідував її.

Транскордонна доступність. Telegram доступний у більшості юрисдикцій без VPN, що робить його придатним для глобально розподілених спільнот суб'єктів загроз. Популярність платформи у Східній Європі, на Близькому Сході та в Південно-Східній Азії — регіонах з високою концентрацією кіберзлочинної та пов'язаної з державою активності — додатково підкріплює її центральне місце в ландшафті загроз.

Типи розвідувальних даних, доступних у Telegram

Розвідувальна цінність моніторингу Telegram залежить від того, які категорії каналів відстежуються та яка аналітична спроможність застосовується до зібраного контенту. Наступні типи розвідувальних даних надійно доступні:

Попередні оголошення DDoS-атак та декларації цілей. Хактивістські групи та оператори DDoS, орієнтовані на державу, регулярно публікують списки цілей до початку атак. Ці оголошення називають конкретні організації, сектори або країни, часто з часовими рамками. Для цільової організації попереднє оголошення на моніторованому каналі є раннім попередженням, яке може ініціювати зміни оборонної позиції — активацію засобів захисту від DDoS, посилення моніторингу журналів, оповіщення мережевих операцій — до початку атаки, а не після.

Сповіщення про витоки даних та дампи. Групи-вимагачі, актори вимагання даних та опортуністичні крадіжки даних публікують сповіщення про витоки в каналах Telegram поряд із виділеними сайтами витоків або замість них. Сповіщення зазвичай містять зразки даних, назви організацій-жертв та вимоги викупу або ціни продажу. Для організацій, що відстежують власні дані, раннє виявлення в каналі Telegram може дозволити вжити заходів щодо локалізації та юридичного повідомлення до широкого розповсюдження даних.

Оголошення брокерів початкового доступу. Брокери початкового доступу — суб'єкти загроз, що спеціалізуються на отриманні несанкціонованого мережевого доступу та продажу його іншим групам — публікують списки доступних доступів у Telegram. У оголошеннях вказуються тип організації-жертви, географія, рівень доступу (адміністратор домену, VPN-облікові дані, вебшелл) та ціна. Підрядники з питань оборони, державні установи та оператори критичної інфраструктури є частими цілями оголошень. Своєчасне сповіщення про оголошення доступу до вашої організації дозволяє розпочати реагування на інциденти до того, як доступ буде використаний покупцем нижче за ланцюжком.

Вербування та пошук операторів. Філіали програм-вимагачів, фронтові групи APT та хактивістські об'єднання використовують Telegram для вербування технічних операторів, мулів-грошовиків та інсайдерських джерел. Моніторинг каналів вербування надає індикатори розширення можливостей групи, зміщень пріоритетів цілей та прогалин у навичках, що сприяють атрибуції та моделюванню загроз.

Обмін TTP та розповсюдження інструментів. Кіберзлочинні спільноти обмінюються зразками шкідливих програм, експлойт-кодом, фішинговими наборами та операційними посібниками через Telegram. Нові варіанти інструментів часто з'являються на каналах Telegram до того, як вони подаються до VirusTotal або з'являються у комерційних фідах загроз. Моніторинг каналів розповсюдження інструментів надає ранні індикаторні дані для розробки захисного виявлення.

Обговорення вразливостей нульового дня та вразливостей. Інформація про незахищені вразливості та оголошення про експлойти нульового дня циркулюють у Telegram поряд з форумами даркнету. Хоча найцінніші експлойти залишаються на приватних ринках, публічні канали часто несуть ранні обговорення вразливостей, які пізніше широко експлуатуються. Відстеження цих обговорень підтримує пріоритизацію циклів екстреного патчингу.

Ключовий висновок: Найбільш дієва розвідка Telegram є чутливою до часу: попереднє оголошення DDoS корисне лише тоді, коли воно ініціює захисні дії до початку атаки. Сповіщення про витік даних є найціннішим протягом перших 24 годин до широкого перерозподілу даних. Операційна вимога полягає не лише в зборі, але й у швидкій класифікації та маршрутизації — затримки, виміряні годинами, знижують оборонну цінність розвідки.

Категорії суб'єктів загроз, активних у Telegram

Різні категорії суб'єктів загроз використовують Telegram по-різному, що визначає, яка розвідка реалістично може бути вилучена з моніторингу.

Хактивістські об'єднання. Групи, такі як Killnet, NoName057(16) та їхні афілійовані мережі, діють переважно через публічні канали Telegram. Їхні оголошення про атаки, вибір цілей та пропаганда публікуються відкрито для максимізації психологічного впливу. Ці канали легко відстежуються і надають надійне попереднє попередження для DDoS-кампаній. Атрибуція є відносно простою, оскільки ці групи діють з навмисною публічною видимістю.

Операції з програмами-вимагачами. Основні групи програм-вимагачів ведуть канали Telegram, що дублюють їхні сайти витоків у даркнеті, публікують сповіщення про жертв і спілкуються з пресою. Розгалужена присутність LockBit у Telegram до його ліквідації є прикладом цієї моделі. Після ліквідації активність часто мігрує через кілька дескрипторів каналів; відстеження графів мережі каналів, а не окремих ідентифікаторів каналів, є необхідним для безперервності охоплення.

Державно-афілійовані групи APT. Акторів стійких загроз підвищеного рівня національних держав рідко ведуть публічні канали Telegram від власного імені. Присутність у Telegram зазвичай здійснюється через афілійовані канали інформаційних операцій, проксі-хактивістські групи та мережі дезінформації, що забезпечують правдоподібне заперечення державного керівництва. Атрибуція лише за публічними каналами Telegram є недостатньою — кореляція з технічними індикаторами мережевого моніторингу безпеки необхідна для встановлення державної атрибуції.

Кіберзлочинні ринки та брокери початкового доступу. Кримінальні ринки використовують Telegram для реклами, укладання угод та клієнтської підтримки. Ці канали працюють напівпублічно з різними рівнями контролю доступу. Їхній моніторинг вимагає підтримки послідовного переліку каналів, оскільки ринки мігрують між іменами користувачів Telegram та доповнюються приватним груповим доступом там, де його можна отримати законним шляхом.

Ключовий висновок: Атрибуція каналів у Telegram значно простіша, ніж у даркнеті. Групи інвестують у нарощування кількості підписників на іменованих каналах, створюючи безперервність ідентичності, що зберігається при міграції каналів. Коли моніторований канал блокується і група мігрує на новий дескриптор, вона оголошує міграцію підписникам — моніторинг останніх повідомлень заблокованого каналу фіксує вказівник переадресації на новий канал.

Чому ручний моніторинг не масштабується

Багато команд безпеки починають моніторинг Telegram вручну: аналітики підписуються на відомі канали суб'єктів загроз та переглядають нові публікації в робочий час. Цей підхід має фундаментальні обмеження, які стають операційними вразливостями у масштабі.

Втома аналітиків та співвідношення сигнал/шум. Активні канали суб'єктів загроз публікують десятки-сотні постів на день, більшість з яких є нерелевантним шумом — репости, пропаганда, контент не за темою. Аналітик, що вручну відстежує 20 каналів, витрачає значний час на тріаж зі зниженнями прибутковості. Когнітивне навантаження від постійного ручного моніторингу знижує продуктивність аналітика та підвищує ймовірність пропустити цінні сигнали, приховані в шумі.

Мовні бар'єри. Найбільш операційно значущі канали Telegram для оборонних організацій Європи та суміжних з NATO переважно функціонують російською мовою. Ручний моніторинг вимагає аналітиків зі знанням російської мови, що є дефіцитним ресурсом. Канали арабською, мандаринською та фарсі є релевантними для ширших профілів загроз, але посилюють вимогу до кадрового забезпечення.

Прогалина цілодобового охоплення. Суб'єкти загроз не дотримуються робочих годин. Попередні оголошення DDoS-атак, спрямованих на європейські організації, часто з'являються в російськомовних каналах вночі за східноєвропейським часом — у середині робочого дня Європи. Сповіщення про витік даних, що з'являється о 3 годині ночі місцевого часу, має 5–6-годинну фору перед робочим процесом, що відстежується аналітиками. Автоматизований збір, що працює безперервно, усуває цю прогалину охоплення.

Управління переліком каналів. Релевантний набір каналів не є статичним. Нові канали постійно створюються, коли групи мігрують, розпадаються та перейменовуються. Ручне відстеження міграцій каналів та виявлення нових релевантних каналів потребує виділеного часу аналітика. Без систематичного виявлення каналів програми ручного моніторингу дрейфують у бік охоплення усталених каналів, пропускаючи нові.

Стеля обсягу. Один аналітик реалістично може відстежувати 20–30 каналів Telegram. Достовірна програма Telegram CTI для великої оборонної організації вимагає моніторингу 200–500+ каналів для охоплення релевантного всесвіту суб'єктів загроз. Це структурно несумісне з підходами лише на основі ручного моніторингу, незалежно від рівня кадрового забезпечення.

Як виглядає автоматизований Telegram CTI

Виробничі конвеєри розвідки загроз Telegram вирішують обмеження ручного моніторингу через багаторівневу автоматизацію з аналітичним наглядом на рівні тріажу з високою цінністю.

Виявлення каналів. Система збору безперервно аналізує граф пересланих повідомлень, перехресних посилань на канали та згаданих імен користувачів у відстежуваних каналах для виявлення нових каналів для оцінки. Коли відстежуваний канал оголошує міграцію на новий дескриптор, система автоматично додає новий канал до черги збору. Автоматизація виявлення підтримує актуальність переліку каналів без ручного дослідження.

Класифікація повідомлень. Кожне зібране повідомлення класифікується за релевантністю, терміновістю та типом. Моделі релевантності, навчені на специфічних для організації маркованих даних, присвоюють оцінки висока/середня/низька. Класифікатори типів позначають повідомлення як оголошення DDoS, сповіщення про витоки даних, оголошення доступу, рекрутингові пости, обмін інструментами або загальний флуд. Повідомлення з високою релевантністю і терміновістю негайно маршрутизуються до черг сповіщень; повідомлення з низькою релевантністю архівуються для ретроспективного аналізу.

Вилучення сутностей. Конвеєри NLP вилучають структуровані сутності з класифікованих повідомлень: індикатори компрометації (IP-адреси, домени, хеші файлів), ідентифікатори CVE, назви організацій, псевдоніми суб'єктів загроз, назви сімейств шкідливих програм та географічні посилання. Вилучені сутності надходять до платформи розвідки загроз організації (MISP, OpenCTI або комерційні інструменти CTI) для кореляції з іншими джерелами розвідки та збагачення SIEM.

Маршрутизація сповіщень. Вилучені згадки власної інфраструктури організації моніторингу — доменних імен, діапазонів IP, імен співробітників, назв продуктів — негайно маршрутизуються до команд реагування на інциденти незалежно від часу доби. Сповіщення про попередні оголошення DDoS маршрутизуються до мережевих операцій. Сповіщення про витоки даних маршрутизуються до юридичних та комунікаційних команд поряд із операціями безпеки. Правила маршрутизації є налаштовуваними за типом розвідки та класифікацією терміновості.

Резюме для керівництва. Підсумовування на основі LLM стискає щоденно зібрану розвідку до структурованих зведень: активні групи загроз, заявлені цілі атак, нові інструменти та техніки, а також згадки організацій. Ці зведення замінюють години ручного синтезу аналітиків послідовним, вичерпним продуктом, що генерується за хвилини. Corvus.Sense реалізує цей конвеєр підсумовування з використанням LLM, налаштованих на контент розвідки загроз, релевантний для оборони, доставляючи структуровані розвідувальні продукти безпосередньо командам безпеки.

Міркування оперативної безпеки. Сама інфраструктура збору має бути забезпечена в операційному плані. Акаунти збору не повинні бути атрибутовані організації моніторингу. Інфраструктура збору повинна маршрутизуватися через відповідні проксі для уникнення атрибуції вихідного IP. Зібрані дані, зокрема зразки даних витоків, вимагають елементів управління відповідно до політики управління даними організації — пасивне отримання вкрадених даних несе юридичні наслідки в деяких юрисдикціях, що вимагає огляду юридичного консультанта перед запуском програм збору.

Ключовий висновок: Цінність автоматизованого Telegram CTI полягає не в заміні аналітиків — а в забезпеченні того, щоб увага аналітиків зосереджувалась на повідомленнях, які справді вимагають людського судження. Автоматизований тріаж обробляє 95%, що є шумом або має низьку релевантність; аналітики обробляють 5%, що вимагають верифікації, контекстуальної інтерпретації та прийняття рішень. Цей розподіл досяжний лише за допомогою шару класифікації, якому можна довіряти. Класифікація з низькою точністю, що пропускає реальні сповіщення, є гіршою, ніж відсутність автоматизації, оскільки вона створює хибну впевненість у охопленні.

Як налаштувати робочий процес моніторингу загроз у Telegram

Наступні кроки описують шлях реалізації виробничого класу. Кожен крок вирішує конкретну операційну вимогу, а не технічну можливість ізольовано.

Крок 1 – Визначте перелік каналів та частоту оновлення. Почніть із задокументованих каналів суб'єктів загроз, релевантних для профілю загроз вашої організації — географія, сектор, технологічний стек. Заповнюйте з існуючих звітів CTI, фідів ISAC та знань аналітиків. Плануйте 20–30% ротацію каналів щоквартально, оскільки групи переносять інфраструктуру. Вбудовуйте частоту оновлення до управління програмою з самого початку, а не як запізнілу думку.

Крок 2 – Розгорніть інфраструктуру збору. Розгорніть клієнти Telegram API з використанням протоколу MTProto (Telethon або Pyrogram — стандартні Python-бібліотеки) на виділеній інфраструктурі з виділеними ідентифікаторами акаунтів, що не атрибутуються вашій організації. Використовуйте окремі акаунти на кластер каналів для обмеження радіуса ураження у разі блокування акаунту. Зберігайте необроблені повідомлення з повними метаданими: ID каналу, ID повідомлення, мітка часу, хеш відправника та посилання на медіа.

Крок 3 – Застосовуйте NLP-класифікацію при прийомі. Пропускайте кожне вхідне повідомлення через конвеєр класифікації: виявлення мови, оцінка релевантності, вилучення сутностей (IOC, CVE, назви організацій, псевдоніми суб'єктів загроз, сімейства шкідливих програм) та тегування технік MITRE ATT&CK де застосовно. Зберігайте структурований вивід поряд з необробленим текстом. Моделі класифікації слід перенавчати щоквартально на маркованих даних, що відображають поточну популяцію каналів.

Крок 4 – Налаштуйте правила маршрутизації сповіщень. Повідомлення з високою релевантністю, що згадують домени вашої організації, діапазони IP або інфраструктуру, негайно маршрутизуються до чергових аналітиків незалежно від часу. Попередні оголошення DDoS-атак запускають захисний робочий процес. Сповіщення про витоки даних маршрутизуються до реагування на інциденти. Порогові правила сповіщень та режими щоденних дайджестів для розвідки нижчої терміновості зменшують втому від сповіщень, зберігаючи охоплення.

Крок 5 – Проводьте верифікацію аналітиком перед ескалацією. Автоматизовані сповіщення є гіпотезами. Аналітики перевіряють: чи збігається IOC з відомою інфраструктурою? Чи незалежно підтверджена заявлена жертва іншими джерелами? Чи є канал достовірним на основі його попередньої репутації? Лише перевірені сигнали ескалуються до команд реагування на інциденти або звітності для керівництва. Обхід цього кроку верифікації підсилює дезінформацію.

Крок 6 – Генеруйте розвідувальні продукти з агрегованих сигналів. Щоденні та щотижневі розвідувальні зведення синтезують закономірності по всіх зібраних каналах: тенденції цілей атак, нові активні групи, перетини кампаній, нові TTP. Резюме, згенеровані LLM, скорочують час аналітиків для рутинного виробництва брифінгів. Структуровані продукти у форматі STIX дозволяють машиночитаний обмін з організаціями-партнерами та інтеграцію з комерційними фідами загроз.

Крок 7 – Безперервно розширюйте перелік каналів. Використовуйте виявлення каналів на основі графів: для кожного відстежуваного каналу аналізуйте переслані повідомлення, перехресні посилання та згадані імена користувачів для виявлення суміжних каналів. Суб'єкти загроз часто створюють нові канали. Статичний перелік каналів знижується в охопленні на 20–30% щоквартально, коли групи мігрують. Автоматизоване виявлення з аналітичним оглядом перед додаванням каналів до активного моніторингу підтримує охоплення програми з часом.

Для організацій, яким потрібно операціоналізувати цю спроможність без побудови власного конвеєра, Corvus.Sense надає платформу моніторингу Telegram на основі LLM, спеціально побудовану для оборонних та урядових випадків використання, що охоплює виявлення каналів, багатомовну класифікацію, вилучення сутностей та доставку структурованих розвідувальних продуктів.

Пов'язане читання

Щодо ширшого контексту збору OSINT, в якому функціонує моніторинг Telegram, дивіться Моніторинг загроз на основі OSINT для оборонних організацій. Щодо керівництва з інтеграції вилучених IOC та даних TTP до вашої платформи операцій безпеки, дивіться Платформи кіберрозвідки загроз для оборони та Інтеграція SIEM та SOAR для військових мереж. Щодо технології класифікації LLM, яка лежить в основі автоматизованого Telegram CTI, дивіться Як класифікація на основі LLM покращує розвідку загроз Telegram.

Автоматизуйте моніторинг загроз у Telegram

Corvus.Sense — платформа моніторингу Telegram на основі LLM для команд безпеки оборонних та урядових структур, що охоплює виявлення каналів, багатомовну класифікацію, вилучення сутностей та доставку структурованих розвідувальних зведень.

Платформа Corvus.Sense → Послуги з кібербезпеки

Цей аналіз підготовлений інженерами Corvus Intelligence, які розробляють місіонально-критичне програмне забезпечення для оборонних та урядових організацій. Дізнайтеся про нашу команду →

Часті запитання

Чи є законним моніторинг каналів Telegram для розвідки загроз?

Збір контенту з публічних каналів Telegram загалом є законним відповідно до принципів розвідки з відкритих джерел — дані є загальнодоступними без автентифікації. Моніторинг приватних груп або використання фіктивних особистостей для вступу до закритих каналів несе юридичну та етичну складність, що відрізняється залежно від юрисдикції. Більшість корпоративних програм CTI обмежують автоматизований збір публічними каналами та доповнюють їх доступом людей-аналітиків до відповідних напівпублічних груп, де членство можна отримати законним шляхом.

Які канали Telegram найбільш актуальні для розвідки загроз?

Канали, якими керують задокументовані хактивістські об'єднання (Killnet, NoName057(16), IT Army), групи-вимагачі з публічними дзеркалами сайтів витоків, а також канали, що агрегують дані про витоки та оголошення брокерів початкового доступу. Державно-афілійовані групи APT рідко безпосередньо ведуть публічні канали, але афілійовані канали інформаційних операцій відстежуються. Релевантний набір каналів змінюється, коли групи розгортають нову інфраструктуру та залишають скомпрометовану — підтримка точного переліку каналів вимагає безперервної роботи з виявлення.

Як обробляти хибнопозитивні результати при моніторингу загроз у Telegram?

Хибнопозитивні результати в Telegram CTI поділяються на дві категорії: нерелевантний контент, класифікований як релевантний (шум), та неперевірені твердження, класифіковані як підтверджені загрози (підсилення дезінформації). Перша вирішується шляхом навчання моделей класифікації релевантності на маркованих даних, специфічних для організації. Друга вимагає кроку верифікації перед будь-якими діями за сповіщенням: підтвердження з незалежних джерел, зіставлення IOC з відомою інфраструктурою та аналітичний огляд перед ескалацією до реагування на інциденти.

Якими мовами спілкуються суб'єкти загроз у Telegram?

Російська є домінуючою мовою для каналів східноєвропейських кіберзлочинців та хактивістів. Арабська є значимою для спільнот суб'єктів загроз на Близькому Сході. Канали мандаринською охоплюють кіберзлочинні екосистеми китайськомовних спільнот. Англомовні канали існують, але часто є перекладними прошарками або міжнародно орієнтованими групами. Життєздатна програма Telegram CTI для оборонних організацій, що межують з Європою або NATO, вимагає можливості обробки російськомовного контенту — більшість комерційних інструментів мають недостатню продуктивність NLP для російської мови, саме тому часто необхідні власні конвеєри на основі LLM.

Чим відрізняється автоматизований моніторинг Telegram від ручного?

Ручний моніторинг аналітиків обмежений каналами, які окремий фахівець може обґрунтовано відстежувати, працює лише в робочі години та залежить від доступності аналітика й мовних навичок. Автоматизований моніторинг охоплює сотні каналів одночасно, працює 24/7, застосовує узгоджені критерії класифікації, витягує структуровані сутності (IOC, TTP, назви цільових організацій) та маршрутизує сповіщення на основі заздалегідь визначених правил. Практична різниця полягає в охопленні: один аналітик може відстежувати приблизно 20–30 каналів; автоматизована система може охоплювати 500+ з вищою послідовністю.