Китай атакует Тайвань киберкомпонентом: военные учения идут в связке с DDoS и эксплойтами

4 января Национальное бюро безопасности Тайваня выкатило отчет, после которого слово киберугрозы уже не воспринимается как фон. Там довольно прямым текстом показано, как атаки из Китая встраиваются в гибридную схему давления на остров. В 2025 году активность против энергетики выросла в 10 раз, а общая киберактивность прибавила 6% к уровню 2024-го. Но самое неприятное не в процентах. Пики атак ложились ровно на события, где Тайваню и так демонстрировали силу: всплески совпали с 23 из 40 военных учений Народно-освободительной армии Китая, а также с политическими выступлениями президента и зарубежными поездками высокопоставленных чиновников. Это выглядит не как разрозненный кибершпионаж, а как киберкомпонент военного давления, включаемый по расписанию.

По данным NSB, в 2025 году по критической инфраструктуре Тайваня в среднем проходило 2,63 млн попыток вторжения в день. Для сравнения, относительно 2023 года, когда бюро впервые начало публиковать такие цифры, это рост на 113%. Под ударом девять ключевых секторов: госагентства, энергетика, связь, транспорт, экстренные службы и больницы, водоснабжение, финансы, научно-промышленные парки (включая полупроводниковую промышленность) и продовольствие. Самый резкий скачок пришелся на энергетику, там фиксируют рост на 1000%, то есть фактически десятикратное увеличение. Экстренные службы и больницы тоже прибавили заметно, плюс 54%. По связи и транспортным каналам рост тоже есть, но не такой взрывной, как в энергетике.

Как это делается под капотом

NSB разложило картину по методам, и тут важный момент: это не история про одну супердыру, которой вскрыли весь остров. Это смесь понятных приемов, которые в больших масштабах превращаются в систему.

Больше половины атак, по оценке бюро, это эксплуатация уязвимостей в софте и оборудовании. Китайские группы активно сканируют периметр на незапатченные места в сетевом железе, в ICS и в обычных ICT-компонентах. В энергетике особенно тревожно то, что атаки идут не просто на витрину, а на системы, управляющие промышленными процессами, от генерации электроэнергии до распределения нефтепродуктов и газовой инфраструктуры. Отдельно отмечаются моменты плановых обновлений: злоумышленники пытаются встроиться в окно, когда системы меняют конфигурации, и ловят ошибки в закупках, резервировании и обслуживании. Еще одна деталь, которая звучит по-взрослому, это weaponization of vulnerabilities. Бюро прямо говорит, что уязвимости, обнаруженные китайскими исследователями, не просто используются ситуативно, их систематизируют как арсенал для будущих кампаний.

Вторая большая линия это DDoS. Не как игрушка, а как инструмент давления на доступность. Ботнеты гонят высокочастотные запросы, перегружают внешние сети, выбивают сервисы и создают ощущение, что у людей под ногами пропадает привычная стабильность. И у DDoS в таких историях почти всегда двойная роль. С одной стороны, это самостоятельный удар по доступности банков, больниц, транспорта. С другой стороны, это дымовая завеса: пока дежурная команда отбивается от потока, кто-то пробует боковые входы.

Третий метод это социальная инженерия, и тут NSB отдельно выделяет ClickFix. Механика циничная и простая: жертве подсовывают правдоподобное сообщение об ошибке или якобы требование обновления, а дальше человек сам запускает цепочку действий, которая дает вредоносному коду повышенные права. Логика очень похожа на то, что мы видели в свежих фишинговых кампаниях против админов и владельцев сайтов, когда на жертву давят срочностью, имитируют легитимный процесс и заставляют несколько раз повторять одно и то же действие. В похожей схеме с платежной формой злоумышленники даже разыгрывают театр с таймингом, 7 секунд соединения с банком, 4 секунды обработки, и затем всегда ошибка, чтобы человек вводил новые коды, пока на стороне атакующего в реальном времени крутят попытки списаний. Общий паттерн один: психологическое давление плюс имитация привычного интерфейса, и дальше человек сам становится частью атаки.

Четвертая категория это атаки на цепочку поставок, их доля в отчете обозначена как 4%. В абсолютных цифрах это может выглядеть скромно, но по последствиям цепи поставок всегда звучит громче. Идея проста: вместо того чтобы ломать цель напрямую, заходят через поставщиков и партнеров критической инфраструктуры, крадут доступы, получают место в доверенных каналах обновлений и обслуживания, а дальше вредонос приезжает к конечной цели как будто это обычный патч. И вот тут защита часто проигрывает не из-за слабого SOC, а из-за того, что доверие к поставщику встроено в процессы.

Самое тревожное совпадение

Главный нерв отчета в синхронизации. В 2025 году НОАК провела 40 совместных патрулей боевой готовности вокруг Тайваня. В 23 случаях, то есть в 57,5%, кибератаки усиливались прямо во время этих учений. Отдельно приводятся примеры политической привязки: май 2025 года, всплеск на первую годовщину инаугурации президента Лай Цзин-те; ноябрь 2025 года, рост активности во время выступления вице-президента Сяо Би-хим на встрече с парламентариями Европарламента. NSB трактует это как гибридную войну, где кибероперации идут в связке с демонстрацией военной силы, чтобы давление ощущалось сразу на нескольких уровнях.

Кто именно работает по Тайваню

В отчете названы пять основных групп, которых NSB связывает с атаками 2025 года.

• BlackTech с фокусом на госагентства, связь и научные парки, у них сильная сторона компрометация роутеров и сетевой инфраструктуры.
• Flax Typhoon бьет по экстренным службам, больницам и научным паркам, ориентирован на долгосрочный скрытый доступ.
• Mustang Panda, известная по прошлым кампаниям, фигурирует среди тех, кто интересуется госагентствами и энергетикой, часто заходит через спиар-фишинг на актуальные темы.
• APT41 имеет самую широкую зону, за ними тянется репутация двойной миссии, кибершпионаж плюс финансовые истории.
• UNC3886 специализируется на эксплуатации сетевого оборудования, их след также ведет к госструктурам и научным паркам.

При этом NSB подчеркивает, что история не ограничивается только Тайванем. Бюро сотрудничает с более чем 30 странами, которые разделяют обеспокоенность китайскими киберугрозами. А полупроводниковая индустрия и научно-промышленные парки, включая направления вокруг объектов уровня TSMC, остаются лакомой целью из-за технологий, которые стоят дороже любой одноразовой кибератаки.

Вердикт

• Техническая сложность: Средняя (используются известные методы, но масштаб и координация высоки).
• Критичность: Высокая (это не просто кибершпионаж, а киберкомпонент военного давления).
• Масштаб: Беспрецедентный (2.63 млн атак/день, рост энергетики в 10 раз).

Это не история про хакеров-одиночек. Это государственная киберкампания, синхронизированная с военными учениями и политическим давлением. Когда 57.5% военных манёвров НОАК сопровождаются усилением кибератак, это перестаёт быть совпадением. Тайвань называет это гибридной войной, и цифры подтверждают: кибератаки - это часть военной стратегии, а не отдельная операция. Для остального мира это сигнал: современная война начинается не с танков, а с вывода из строя электросетей, больниц и связи. И она уже идёт.