Кіберзагрозова розвідка з Telegram: моніторинг відкритих каналів для оборони

Конфліктне середовище породило примітну розвідувальну прозорість: актори загроз, хактивістські групи, військові підрозділи та команди інформаційних операцій використовують канали Telegram для спілкування зі своїми прихильниками, заяв про операції, координації атак та поширення пропаганди. Ця діяльність є відкрито доступною — канали публічні, повідомлення у відкритому тексті, і API Telegram надає програмний доступ до архівів та потоків повідомлень у реальному часі. Для організації оборонної розвідки ЗСУ систематичний моніторинг Telegram є ефективним з точки зору витрат джерелом кіберзагрозової розвідки (CTI), що доповнює збір сигналів і канали технічних індикаторів.

Що розкриває Telegram: категорії контенту

Оголошення DDoS атак: Хактивістські групи оголошують вибір цілей, час початку атак і заявлені результати в Telegram до та під час атак. Група, що оголошує «ми атакуємо сайт [міністерства] о 14:00», дає попередження, що дозволяє вживати захисних заходів — обмеження швидкості, активацію CDN, сповіщення ISP — до початку атаки. Повідомлення після атаки дають калібрувальні дані для оцінки фактичної спроможності групи порівняно із заявленою.

Оголошення про витоки облікових даних та даних: Групи, що проводять операції з викрадання даних, оголошують свої здобутки в Telegram до або одночасно з публікацією на темних веб-сайтах. Моніторинг згадок назв організацій, доменних імен або IP-діапазонів у контексті заяв про витоки даних дозволяє швидко реагувати.

Повідомлення оперативної координації: Координаційні канали для хактивістських операцій обговорюють пріоритизацію цілей, час атаки та вибір інструментів. Цей контент надає як тактичне попередження, так і технічну розвідку.

Контент пропаганди та інформаційних операцій: Канали, що проводять інформаційні операції, публікують сфабриковані документи, маніпульовані зображення та неправдиві наративи. Раннє виявлення цього контенту дозволяє атрибуцію та превентивну роботу з контрнаративами.

Технічна архітектура: збір даних Telegram у масштабі

API Telegram MTProto надає автентифікований доступ до архівів публічних каналів та потоків повідомлень у реальному часі. Бібліотека Python Telethon є стандартною клієнтською бібліотекою для автоматизованого збору Telegram — вона реалізує протокол MTProto та надає API для підписки на оновлення каналів і отримання архівів повідомлень.

Виробнича система моніторингу Telegram вимагає кількох компонентів. Реєстр каналів зберігає список відстежуваних каналів з метаданими. Збирач підписується на оновлення повідомлень з усіх відстежуваних каналів. Сховище повідомлень — база даних (PostgreSQL з колонками JSONB добре підходить), що зберігає вміст повідомлень, метадані відправника, відносини пересилання та хеші вкладених медіафайлів. Конвеєр обробки запускає NLP та вилучення сутностей над новими повідомленнями для ідентифікації IOC (індикаторів компромісу), згадок організацій та оперативних ключових слів.

Виявлення каналів та відображення мережі

Відомий початковий список каналів ніколи не є повним. Хактивістські групи створюють нові канали, перейменовують старі та мігрують між каналами, щоб уникнути модерації. Виявлення каналів від початкового набору використовує кілька методів: відстеження пересилань (повідомлення часто пересилаються між пов'язаними каналами), відстеження згадок (канали часто згадують або посилаються на пов'язані канали у своїх повідомленнях) та пошук за ключовими словами.

Результуючий граф каналів — вузли є каналами, ребра — відносинами пересилань та перехресними згадками — розкриває структуру спільноти. Кластери щільно взаємопов'язаних каналів представляють скоординовані мережі акторів. Мережевий аналіз графу каналів виробляє розвідку про структуру групи, яка не є очевидною з аналізу контенту окремих каналів.

Вилучення та збагачення IOC

Технічні індикатори компромісу, вилучені з повідомлень Telegram, безпосередньо подаються до платформ розвідки загроз. Процес вилучення використовує шаблони регулярних виразів для ідентифікації IPv4-адрес, IPv6-адрес, доменних імен, URL, хешів файлів та ідентифікаторів CVE у тексті повідомлень та вкладених файлах. Збагачення IOC за зовнішніми джерелами даних додає технічний контекст — пошук WHOIS для деталей реєстрації домену, пасивний DNS, підтримку VirusTotal для класифікації хешів файлів.

Багатомовна обробка

Канали Telegram у євразійському конфліктному просторі публікують матеріали українською, російською, арабською, перською та десятком інших мов. Програма CTI, що може обробляти лише англомовний контент, пропускає більшість оперативної розвідки. Виявлення мови застосовується до кожного вхідного повідомлення для маршрутизації до відповідного мовно-специфічного конвеєра обробки. Машинний переклад (з використанням локальних моделей виведення для операційної безпеки) робить російськомовний та інший контент доступним для аналітиків ЗСУ без необхідності мовно-специфічних штатних одиниць для рутинного сортування.