Článek
Ruské kyberútoky
Arménie od roku 2024 čelí významnému nárůstu útoků, motivovaných jejím obratem směrem k EU a USA, kdy cílem byly hlavně vládní instituce, média a neziskovky občanské společnosti. Na toto geopolitické pozadí pak v květnu 2025 navázala skupina UNC5792, která prostřednictvím aplikace Signal rozesílala odkaz na podvodné weby s cílem kompromitovat zařízení arménských neziskovek, státních orgánů i bezpečnostních expertů.
V červnu 2025 APT28 alias Fancy Bear, napojená na ruskou vojenskou rozvědku GRU, zahájila DDoS kampaň proti švédské digitální infrastruktuře, která ochromila provoz veřejnoprávní televize SVT, platební služby Swish a Bank-ID i řadu státních úřadů. Další vlnu kyberútoků zacílila ruská GRU i na Ukrajinu, kde APT28 využívá aplikaci Signal k distribuci dokumentů s makry. Ty spouštějí backdoor Covenant a následně instalují nový malware BeardShell pro vzdálený přístup a SlimAgent pro exfiltraci dat.
Cílem útoku ruských hacktivistů se stala norská přehrada u jezera Risevatnet, kde útočníci díky slabému heslu otevřeli ventil na plný výkon a zvýšili průtok o téměř půl tisíce litrů za sekundu. Přehrada naštěstí zvýšený průtok bez problémů zvládla.
V polovině června skupina UNC6293, spojená s APT29 (Cozy Bear) a ruskou zahraniční rozvědkou SVR, úspěšně napadla britského analytika think tanku Chatham House Keira Gilese. Podvrženými e-maily s falešnými adresami @state.gov a dokumenty v grafice amerického ministerstva zahraničí přesvědčili oběť k vytvoření app-specific hesla, čímž obešli dvoufaktorové ověřování jeho Google účtu. Vzájemnou důvěru si budovali pomalu – během několika týdnů proběhlo více než deset výměn zpráv, což výrazně minimalizovalo podezření.
Ruská média IStories a Verstka, zveřejnila šokující zprávu o obchodu s nezletilými za účelem sexu, do kterého byli zapojeni přední prokremelští oligarchové. Následně obě média čelila masivnímu DDoS útoku z infrastrukturní sítě proxy poskytovatele Biterika, napojeného na státem podporované výzkumné centrum.
Ruské dezinformace a hacktivismus
Ruské dezinformační operace zasahují nejen Ukrajinu a Západ, ale i Latinskou Ameriku, Kavkaz a další oblasti. Cílem je narušit důvěru v demokratické instituce, podkopat mezinárodní spolupráci a posílit proruské narativy tam, kde se zájmy Moskvy potýkají s vlivem Západu.
Již na počátku června 2025 zahájil Kreml rozsáhlou kampaň, v níž tvrdil, že Ukrajina odmítá výměnu padlých vojáků a zajatců a disponuje údajně šesti tisíci těly. Toto tvrzení, šířené přes státní média i sociální sítě, mělo zdiskreditovat Kyjev jako nespolehlivého partnera a podkopat víru v dohodu z Istanbulu.
V Jižní Americe odhalily argentinské tajné služby v polovině června špionážní a dezinformační síť, kterou provozoval manželský pár Lev Andriashvili a Irina Yakovenko. Ti podle vyšetřování financovali operaci, která byla podporována projektem Lakhta – součástí Prigožinova mediálního impéria – a skrze místní spolupracovníky šířila prokremelskou propagandu.
Současně se Kreml spojil s kolumbijskou guerillou ELN, nejstarší aktivní ozbrojenou skupinou v regionu, aby na platformě X (dříve Twitter) vzájemně amplifikovali antiamerické a proruské zprávy. Mediální kanály ELN sdílejí obsah ruských státních médií, zatímco účty spojené s Kremlem zesilují prohlášení ELN, čímž posilují její vliv a „legitimitu“ v Latinské Americe.
Na Kavkaze a v sousední Moldávii pak působí ruský aktér „Matrjoška“, který cíleně dezinformuje proti demokratickým lídrům. V Moldávii šíří falešné zprávy o údajném konfliktu prezidentky s vysokou představitelkou EU Kajou Kallas, v Arménii zase obviňuje premiéra Nikola Pašinjana z korupce, potlačování informací o genocidě a dokonce z užívání sedativ.
Tyto koordinované kampaně ukazují, že dezinformace jsou již nedílnou součástí ruské státní strategie, propojující mediální manipulaci, politický tlak a vojensko-zpravodajské aktivity napříč kontinenty.
Ruská opatření
V Rusku se v posledních měsících výrazně zpřísnila státní kontrola nad soukromím občanů a digitálním prostorem, přičemž jednotlivá opatření navazují na sebe jak z hlediska aktérů, tak používaných mechanismů dohledu.
Nejprve je zřejmé, jak úzké vazby provozovatelů klíčových komunikačních platforem mají na ruské bezpečnostní složky. Investigativní iStories odhalil, že infrastrukturu Telegramu spravuje firma Global Network Management, vlastněná ruským občanem Vladimirem Vedenejevem, finančním ředitelem Telegramu. Ta Telegramu poskytla přes 10 000 IP adres od petrohradské společnosti Globalnet spojené s FSB, a další pak od dodavatele FSB Electrontelecom. Následně se ukázalo, že FSB dokáže zachytávat i komunikaci občanů s ukrajinskými Telegram boty, jako jsou „Krymský vítr“ nebo „Vojenský věštec“. Lidskoprávní organizace První oddělení upozornila, že získaná data pak slouží jako důkaz ve vyšetřování velezrady, a to často bez technického vysvětlení, což naznačuje buď vlastní kyberšpionážní nástroje, nebo spolupráci Telegramu s úřady. Součástí širší strategie sledování je i tajný projekt zaměřený na čínskou aplikaci WeChat. Podle dokumentů uniklých hackerské skupině Ares Leaks si FSB vedla samostatný systém, který sbíral a analyzoval zahraniční komunikaci na WeChatu.
Paralelně k digitalizovanému dohledu rozšiřuje stát i regulaci zařízení a obsahu. Na hranicích byl ukrajinským občanům odmítnut vstup poté, co na svých telefonech smazali data – úřady to považují za důkaz utajování politických názorů. Současně se připravuje centrální registr všech mobilních telefonů s povinnou evidencí IMEI a sériových čísel, který má zesílit kontrolu nad dovozem, prodejem i používáním zařízení. Od září pak zákon přikáže výrobcům telefonů umožnit instalaci ruského obchodu RuStore a zakáže blokovat aplikace z třetích stran.
K potlačení otevřeného internetu přispívají i poskytovatelé internetu, kteří, patrně na pokyn cenzorního úřadu ROSKOMNADZOR od června úmyslně zpomalují nebo přerušují provoz webů chráněných technologií Cloudflare omezením propustnosti na pouhých 16 kB, což znemožňuje normální přístup k řadě služeb. Cloudflare je přitom klíčová infrastrukturní společnost, která své klienty chrání před DDoS i dalšími typy útoků a pomáhá obcházet cenzuru.
Na legislativní úrovni stát zavádí tvrdé tresty za kybernetické útoky proti jeho systémům – návrh novely trestního zákoníku zavádí za DDoS útoky až osmileté vězení nebo pokutu dva miliony rublů v rámci balíčku „Antifraud 2.0“. Zajímavé je přitom, že ve stejnou dobu ruské soudy propustily na svobodu čtyři členy skupiny REvil po odpykání vazby za ransomware a finanční podvody, což ilustruje selektivní přístup k potírání kyberkriminality. Zdá se, že tak končí dočasný tvrdý postup ruských orgánů proti kyberkriminalitě, který byl motivován snahami o přijetí Úmluvy proti kyberkriminalitě na půdě OSN.
Nakonec i dříve ambiciózní projekt národního antivirového multiskenneru skončil pro nedostatek financí, přestože byl vyvíjen pod záštitou FSB jako klíčová součást národní kybernetické strategie. Cílem projektu bylo vyvinout ruskou náhradu nástroje VirusTotal, provozovaného Googlem, který umožňuje skenovat vzorky malwaru množstvím antivirových nástrojů a je důležitým zdrojem informací o nově objeveném malwaru.
Útoky na Rusko
V první polovině roku 2025 se proti ruským organizacím aktivně postavila pro-ukrajinská hacktivistická skupina BO Team (též známá jako Black Owl či Lifting Zmiy), která cíleně ničí digitální infrastrukturu státních i technologických subjektů. Útočníci nejprve pronikají do sítě obětí pomocí phishingových e-mailů, nasazují ovládací nástroje jako Remcos, DarkGate či BrockenDoor, a poté systematicky mašírují zálohy a data nástrojem SDelete, v některých případech dokonce i ransomwarem Babuk.
Skupina Librarian Ghouls, pravděpodobně podporovaná neznámým státem, cílí na ruské vládní instituce, média a akademické organizace. Pomocí škodlivých RAR archivů se spouštěcími BAT skripty instalují malware, který zároveň krade citlivá data i těží kryptoměny.
Ukrajinská vojenská rozvědka Hlavní zpravodajská správa (GUR) v červnu 2025 provedla sérii útoků zaměřených na destabilizaci ruské civilní i průmyslové logistiky. DDoS útok paralyzoval online služby Ruských železnic – doménový systém zd.ru se ocitl mimo provoz pod vlnou až 6 GB provozu a 2,5 milionu paketů za sekundu. Ve stejné době ukrajinští zpravodajci z Hlavní správy Ministerstva obrany úspěšně prolomili ochranu konstrukční kanceláře Tupolev a odcizili více než 4,4 GB strategických interních dat včetně komunikace vedení, osobních údajů zaměstnanců a neveřejných zápisů ze schůzek. Další rozsáhlý útok zacílil na poskytovatele Orion Telecom, který spravuje sítě ve vysoce rizikových lokalitách v sibiřských oblastech; zasaženo bylo 370 serverů, asi 500 switchů i záložní systémy, což ochromilo internet a televizní služby v Krasnojarsku, Irkutsku, Bratsku i Abakanu.
Výjimečný dopad měl útok na státní veterinární systém VetIS a platformu Mercury, která zabezpečuje elektronickou certifikaci masa, mléčných výrobků a vajec. Incident přinutil provozovatele přejít na papírová osvědčení, jež většina obchodníků odmítla uznat, a způsobil rozsáhlé narušení dodavatelského řetězce u hlavních maloobchodních řetězců jako Lenta či Miratorg.
Politika západu
Od začátku roku 2025 došlo na západní straně k podstatnému ústupu od aktivních opatření vůči ruským kyberútokům a dezinformačním kampaním, což vyvolává otázky o udržitelnosti obranných strategií proti stále se vyvíjejícím hrozbám. Zatímco dříve Západ systematicky podporoval kyberobranné i útočné kapacity Ukrajiny a partnerů, v poslední době se omezuje z větší části na diplomatické odsouzení a symbolické kroky.
Jako jeden z mála konkrétních kroků přitom americké Ministerstvo financí uvalilo 1. července 2025 sankce na ruskou společnost Aeza Group, která poskytuje tzv. „bulletproof“ hosting sloužící kyberzločincům k odolávání zásahům vyšetřovacích orgánů. Aeza Group byla označena za kritický uzel, jenž umožňuje organizovaným skupinám provozovat ransomware, krádeže dat a distribuci nelegálních drog, a spolu s ní byly postiženy také dvě přidružené firmy a čtyři vedoucí představitelé této sítě
_____________________________________________________________________________
TOMÁŠ FLÍDR, 2. 7. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
