Kyberválka na Ukrajině, březen 2025

Ruské kybernetické útoky proti Ukrajině nabývají stále sofistikovanějších forem a zaměřují se jak na vojenské, tak civilní cíle. Nedávno zveřejněné incidenty ukazují koordinovanou činnost několika hackerských skupin napojených na ruské státní struktury. Jejich cílem je narušit obranné schopnosti Ukrajiny, demoralizovat obyvatelstvo a získat citlivé informace prostřednictvím technicky propracovaných kampaní.

Jde například o spear-phishingovou operaci vedená skupinou UAC-0200, která se zaměřila na příslušníky ukrajinské armády a zaměstnance obranného sektoru. Útočníci zneužili kompromitované účty v komunikační aplikaci Signal k distribuci archivních RAR souborů, obsahujících podvodné dokumenty maskované jako zápisy z jednání. Součástí archivu byl i škodlivý spustitelný soubor, který po aktivaci prostřednictvím nástroje DarkTortilla instaloval vzdálený přístupový trojský kůň DCRAT (Dark Crystal RAT). Tento malware umožňuje útočníkům plnou kontrolu nad napadeným zařízením.

Dalším výrazným incidentem byl kybernetický útok na ukrajinské státní dráhy, Ukrzaliznytsiu, který během víkendu ochromil systém prodeje jízdenek. Útok využíval tzv. wiper malware — nástroj určený k destruktivnímu vymazání dat. Přestože železniční doprava samotná zůstala funkční, došlo k výraznému narušení obsluhy cestujících, což se projevilo ve formě dlouhých front na nádražích.

Ruská hackerská skupina Gamaredon, známá také jako Primitive Bear či Trident Ursa, cílí na uživatele na Ukrajině pomocí LNK souborů, které spouštějí PowerShell skripty stahující ZIP archivy s backdoorem Remcos. Tento škodlivý software poskytuje útočníkům rozsáhlé možnosti – od spouštění příkazů a sledování stisknutých kláves až po ovládání webkamer a pořizování snímků obrazovky. LNK soubory jsou přitom maskovány jako dokumenty s vojenskou tematikou.

Ruské zpravodajské služby se snaží odhalit identitu místních podporovatelů Ukrajiny. Vytvořili falešné weby napodobující stránky západních i proruských organizací jako CIA, RVC nebo iniciativu „Chci žít“. Na nich pak sbírali osobní údaje zájemců o spolupráci z řady ruských občanů. Útočníci přitom využiki tzv. bulletproof hosting poskytovaný firmou Nybula LLC, který je známý svou ochranou před právními zásahy a obtížnou vymahatelností odpovědnosti.

Ruské dezinformační aktivity nadále pokračují v šíření ruského narativu a ohrožování demokratických procesů. Jedním z případů je reklamní síť AdNow, jejíž aktivity jsou spojeny s ruskými zpravodajskými službami. Tato síť v Rumunsku šíří extremistickou a konspirační propagandu. Zmíněná společnost stála u zrodu skupiny Tracia Unită, která sdružuje konspirátory a proruské aktivisty a prezidentského kandidáta Călina Georgescu. Cílem těchto aktivit je vytvořit v Rumunsku půdu pro proruské postoje, zpochybňovat členství v NATO a EU a prosazovat narativy souladné s kremelskou propagandou.

Rakouská zpravodajská služba (DSN) odhalila rozsáhlou dezinformační operaci vedenou Ruskem a realizovanou mimo jiné za pomoci bulharské občanky podezřelé ze špionáže. Tato operace byla zaměřena na očerňování Ukrajiny a podporu proruských postojů v rakouské společnosti. Kromě online šíření falešných zpráv byly používány i prvky psychologické manipulace ve veřejném prostoru – například nálepky a graffiti evokující krajní pravici, které měly vyvolat dojem, že pocházejí od ukrajinských nacionalistů.

Rusko produkuje takové objemy dezinformací a propagandy, až se mu podařilo jimi infikovat běžně používané modely umělé inteligence. Tento fenomén, známý pod termínem LLM grooming, představuje strategické zasévání dezinformací do veřejného informačního prostoru. Podle auditu organizace NewsGuard se ukázalo, že přední AI chatboti ve 33 % případů zopakovali nepravdivé informace, které pocházely z této proruské sítě „Pravda“.

Poměrně výrazné vlně útoků, zasahujících jak státní, tak komerční infrastrukturu, čelí v posledních týdnech i ruský kyberprostor. Útočníci využívají pokročilé techniky, zneužívají zero-day zranitelnosti a cílí na strategické sektory včetně průmyslu, telekomunikací a státní správy.

FSB oznámila zmaření operace ukrajinské vojenské rozvědky HUR, která se měla pokusit získat osobní údaje studentů připravujících se na vojenskou službu. Útočníci pronikli do e-mailového systému a rozesílali falešné dokumenty školám, aby shromáždili data, která podle předpokladů FSB chtěli využít k náboru studentů.

Masivní DDoS útok postihl poskytovatele internetu Lovit. Útok o síle 220 Gb/s ochromil jeho služby na několik dní. K zodpovědnosti se přihlásila ukrajinská hackerská komunita IT Army of Ukraine, která je známá svými koordinovanými útoky proti ruským digitálním cílům.

Další hrozba se objevila ve formě kyberšpionážní kampaně, kterou detekovala společnost Kaspersky. Šlo o útoky využívající zero-day zranitelnost prohlížeče Google Chrome, jež umožňovala infikovat zařízení bez jakékoli interakce ze strany uživatele po pouhém otevření škodlivého odkazu. Útočníci se vydávali za organizátory akademického fóra Primakov Readings a zaměřovali se na vládní instituce, vzdělávací zařízení a média.

Ruský průmysl se stal terčem útoků hackerské skupiny Head Mare. Ta využila tzv. polyglot soubory — tedy dokumenty obsahující zároveň neškodné i škodlivé části, které jsou různě interpretovány v závislosti na kontextu. Do organizací rozesílali archivy obsahující backdoor PhantomPyramid, vytvořený v Pythonu. Jeho součástí byl i běžně používaný nástroj MeshAgent pro vzdálenou správu zařízení, jehož zneužitím získali útočníci kontrolu nad napadenými systémy.

Skupina Shedding Zmiy podle společnosti Rostelecom nasadila v infrastruktuře ruských IT společností nový rootkit pro Linux nazvaný Puma. Tento kernelový rootkit umožňuje maskovat přítomnost útočníka, eskalovat oprávnění a odcizovat citlivá data včetně přihlašovacích údajů a kryptografických klíčů. Vyšetřování odhalilo, že se útočníkům podařilo zůstat skryti v systémech obětí více než 18 měsíců. Tato skupina má zjevné vazby na dřívější kyberkriminální síť Cobalt, přičemž současné operace vykazují jasnou politickou orientaci směrem k podpoře Ukrajiny.

V posledních týdnech došlo k zásadnímu obratu v přístupu Spojených států ke kybernetické bezpečnosti ve vztahu k Rusku. Tento posun vyvolává obavy mezi odborníky na kybernetickou bezpečnost a zpochybňuje dosavadní strategická partnerství v oblasti boje proti kybernetickým hrozbám.

Americký ministr obrany Pete Hegseth na konci února 2025 nařídil U.S. Cyber Command, aby ukončil veškeré plánování ofenzivních kybernetických operací proti Ruské federaci. Tento krok je součástí širšího úsilí o „normalizaci vztahů“ s Moskvou, deklarovaného současnou administrativou. Příkaz se nevztahuje na zpravodajské operace Národní bezpečnostní agentury (NSA), avšak omezuje aktivní kybernetické nástroje Spojených států v situaci, kdy Rusko pokračuje v rozsáhlých kybernetických operacích na globální úrovni.

Současně došlo i ke změně oficiálního postoje USA k hodnocení kybernetických hrozeb. Rusko již není na seznamu prioritních protivníků, na rozdíl od Číny či Íránu, které administrace nadále označuje za klíčové aktéry ohrožující kybernetickou bezpečnost Spojených států. Tato revize vyvolala ostrou kritiku expertů, kteří varují, že ignorování hrozby ze strany Moskvy může zvýšit zranitelnost amerických systémů vůči ruským hackerským skupinám a státem řízené kyberšpionáži. Přesuny v rámci Agentury pro kybernetickou bezpečnost a ochranu infrastruktury (CISA) naznačují snižování důrazu na monitoring ruských aktivit.

K dalšímu narušení spolupráce došlo i na straně soukromého sektoru. Komunikační platforma Signal, známá pro svůj důraz na šifrování a ochranu soukromí, přerušila dosavadní spolupráci s ukrajinskými úřady. Zatímco v minulosti Signal reagoval na podněty ukrajinských institucí hlásících využívání aplikace ruskými aktéry, v posledních týdnech spolupráci přerušil, čímž podle Kyjeva ztěžuje obranu proti digitálním útokům.

TOMÁŠ FLÍDR, 2. 4. 2025 ANALÝZA

Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.