Originál dokumentu
Nokia Threat Intelligence Report 2025
(shrnutí od GPT 5.3 Instant)
1. Změna strategie útočníků
Útoky na telekomunikace se posunuly od izolovaných incidentů k dlouhodobým kampaním proti infrastruktuře operátorů.
Typické cíle:
- lawful interception systémy
- mobile core signaling (SS7, GTP, Diameter)
- orchestration vrstvy
- subscriber databáze (HLR/HSS/UDM)
Útoky často probíhají měsíce až roky před aktivací.
2. Nejvýznamnější incidenty (2024–2025)
Typické typy útoků
- cyber espionage
- ransomware
- data breach
- telecom fraud
- service disruption
Příklady
- Salt Typhoon – infiltrace lawful interception systémů
- BPFDoor – kompromitace USIM systémů
- fake base stations – SMS spoofing
- BGP hijack – kompromitace admin účtu
Tyto incidenty potvrzují posun k APT operacím proti telecom core infrastructure.
3. Klíčové statistiky z průzkumu operátorů
| indikátor | hodnota |
|---|
| operátoři zasažení LOTL útoky | 63 % |
| operátoři s malwarem upraveným pro telco | 55 % |
| custom telco toolkits | 45 % |
| incidenty způsobené lidmi | 59 % |
| incidenty >1 týden recovery | 63 % |
Velká část incidentů vzniká kombinací lidské chyby + slabé hygieny infrastruktury.
4. Nejčastější technické slabiny
Patch management
- 76 % zranitelností = chybějící patch
Firewall konfigurace
- any-to-any pravidla
- vypnuté logování
- slabé SNMP strings
Aplikace
- IDOR
- SQL injection
- XSS
- neomezené uploady
Legacy infrastruktura
- HTTP
- FTP
- TLSv1
- EOL systémy
5. DDoS evoluce
Změny v roce 2025
- terabit DDoS je denní realita
- první útok >10 Tbps
- 78 % útoků skončí do 5 minut
- 37 % do 2 minut
Nutná je edge detekce < 1 minuta, jinak je obrana neúčinná.
Nové zdroje botnetů
Residential proxy networks
- > 100 milionů kompromitovaných zařízení
- asi 4 % domácích internetových připojení lze zneužít
- agregovaná kapacita >100 Tbps
Model monetizace
- prodej proxy
- následné využití pro DDoS
IoT botnety nové generace
Např. Eleven11bot / AIRASHI
- 30 000 zařízení
- útoky 3–6 Tbps
- stovky milionů packets/s
- DVR, IP kamery, gateway zařízení
6. AI v kyberútocích
AI se používá ve všech fázích útoku.
Social engineering
- generované phishing emaily
- voice cloning
Credential attacks
- AI trénovaná na leaked password databázích
Malware
Reconnaissance
- generování exploitů
- scanning telco protokolů
DDoS orchestrace
- reinforcement learning pro optimalizaci útoků
7. Útoky na AI systémy operátorů
Telekomy začínají používat AI v:
- fraud detection
- traffic optimization
- SOC
Nové typy útoků
| typ | popis |
|---|
| data poisoning | manipulace trénovacích dat |
| model extraction | krádež modelu |
| telemetry manipulation | falšování KPI |
| context hijacking | skrytý prompt injection |
8. Signaling infrastruktura jako slabé místo
Audit SS7/GTP/Diameter odhalil:
- nedostatečné packet inspection
- špatné HLR/HSS query kontroly
- slabé oddělení RAN backhaul
- IMSI catching kvůli starým SIM
9. Global Title abuse
Problém interconnectu:
Global Title leasing
umožňuje:
- SMS OTP theft
- location tracking
- silent surveillance
- DoS
10. Zero-day útoky
Zero-day se často používá jako počáteční vektor vícefázového útoku.
Po průniku následuje:
- credential theft
- lateral movement
- data exfiltration
11. Post-quantum kryptografie
NIST plán
| milník | rok |
|---|
| deprecace RSA/ECC | 2030 |
| zákaz | 2035 |
Standardy PQC
- Kyber
- Dilithium
- Falcon
- HQC
12. Infrastrukturní změny
TLS certifikáty
| rok | max validity |
|---|
| dnes | 398 dní |
| 2026 | 200 dní |
| 2027 | 100 dní |
| 2029 | 47 dní |
Manual management se stane nemožný.
13. Regulace
EU
- NIS2
- Cyber Resilience Act
- DORA
- AI Act
USA
- CIRCIA (72h incident reporting)
UK
- zákaz Global Title leasingu
14. Směr vývoje bezpečnosti
Do roku 2028 operátoři očekávají:
| typ SOC | podíl |
|---|
| highly autonomous | 44 % |
| fully autonomous | 13 % |
AI bude provádět:
- threat detection
- incident response
- rule generation
- threat hunting
15. Strategické závěry
Telekomunikační sítě jsou cílem:
- státních aktérů
- APT skupin
- AI-automatizovaných útoků
Největší rizika
- patching a konfigurace
- insider a supply chain
- signaling infrastruktura
- DDoS automatizace
- AI-driven útoky
- post-quantum kryptografie
