Článek
Ruské kyberútoky
Na konci června 2025 se objevily známky cíleného kybernetického útoku, mířícího z běloruské strany na Polsko. Na platformu VirusTotal byl nahrán soubor s názvem deklaracja.chm, který obsahoval škodlivý kód vedoucí ke stažení dalšího malwaru, napsaného v jazyce C++. Tento útok je přisuzován skupině FrostyNeighbor, známé také jako UNC1151, která operuje pod vedením běloruské vlády. Historicky má tato skupina na kontě řadu útoků na Ukrajinu, pobaltské země a dokonce i Německo. Aktivita ukazuje pokračující koordinaci mezi ruským a běloruským kybernetickým aparátem při operacích proti státům EU a NATO.
S novinkou přišel aktér APT28, známý také jako Fancy Bear, a řízený vojenskou zpravodajskou službou GRU. Ukrajinský CERT (CERT-UA) oznámil objevení nové verze malwaru LAMEHUG, jenž je šířen prostřednictvím spear-phishingových e-mailů z kompromitovaných vládních účtů. Malware, napsaný v Pythonu, integruje velký jazykový model, díky kterému dokáže na základě přirozeného textového zadání generovat pokročilé systémové příkazy. Kromě špionážní činnosti jako sběr dat a průzkum systému umožňuje i vzdálený přístup.
Pokračují i útoky ruské skupiny Hive0156, která využívá trojského koně Remcos RAT k útokům na ukrajinské vojenské a vládní instituce. Malware je distribuován prostřednictvím infikovaných zkratek (.lnk) a PowerShell skriptů a slouží k dálkovému ovládání napadených systémů. Zajímavé je, že dokumenty, které skupina používá k maskování útoku, se v posledních měsících postupně posouvají od vojenských témat k obecným administrativním motivům, což podle IBM X-Force naznačuje rozšiřující se spektrum cílů napříč ukrajinskou státní správou.
Do popředí zájmu expertů se dostala i špionážní operace vedená ruskou státem podporovanou skupinou Secret Blizzard, známou rovněž pod názvy Turla, VENOMOUS BEAR, nebo Snake. Podle Microsoft Threat Intelligence tato skupina v Moskvě proti ambasádám cizích států nasadila techniku tzv. adversary-in-the-middle (AiTM), kdy prostřednictvím manipulace s infrastrukturou místních ISP přesměrovává diplomatické návštěvníky přes falešný captive portal. Tento portál napodobuje validační stránku Windows, ale ve skutečnosti nabídne ke stažení upravenou „aktualizaci“ antiviru Kaspersky. Ta však instaluje škodlivý software ApolloShadow, který zavádí root certifikáty umožňující odposlech šifrované komunikace, vytváří skryté administrátorské účty a upravuje nastavení systémových profilů i firewallu. Cílem je dlouhodobé sledování a kontrola zařízení diplomatických misí na území Ruska.
Ruské dezinformace a hacktivismus
V roce 2025 došlo na proruské hacktivistické scéně k pozoruhodnému vývoji. Vedle technických útoků se aktéři stále více soustředí na manipulaci veřejného mínění prostřednictvím dezinformací, umělé inteligence a rozsáhlých kampaní v sociálních médiích. Nové aliance a skupiny, které se objevily mezi proruskými hacktivisty, odhalují, že klasický DDoS útok už není jediným nástrojem, ale součástí širšího spektra hybridních operací. Skupina NoName057(16) si upevnila pozici lídra tím, že prostřednictvím nástroje DDoSia motivuje dobrovolníky ke kyberútokům pomocí kryptoměnových odměn. Na scénu nově vstoupila také IT Army of Russia, zaměřená nejen na DDoS útoky, ale i na krádeže dat. Jejími hlavními cíli jsou ukrajinská infrastruktura a podniky. Potvrdily se také vazby hacktivistických skupin na státní struktury Ruské federace.
Zatímco hacktivismus se opírá o digitální sabotáže, jiní aktéři ruské informační války se specializují na sofistikované manipulace veřejného mínění. Zvláště výmluvným příkladem je dezinformační kampaň proti německému kancléři Friedrichu Merzovi. Pomocí uměle generovaných videí se na platformě TikTok začala šířit lživá tvrzení o zavedení „mezinárodního solidárního příplatku“, jehož výnosy by měly podporovat země postižené válkou. Videopříspěvky, ve kterých figurovala falešná podobizna kancléře, dosáhly milionových zhlédnutí. Styl kampaně nese znaky operací skupiny Matrjoška. Právě skupina Matrjoška je často propojena s dalšími ruskými dezinformačními projekty, jako je například Operation Overload, která v roce 2025 nasadila pokročilé AI‑generované audio a video materiály. Cílem bylo imitovat hlasy odborníků a autoritu institucí – od médií přes univerzity až po bezpečnostní složky – a šířit lživé informace o válce na Ukrajině i evropské politice. Tyto materiály byly šířeny na platformách jako Telegram, X nebo Bluesky a některé dosáhly až milionových zhlédnutí. Úspěch kampaní je měřen nejen šíří, ale i mírou schopnosti zasévat nedůvěru a chaos, byť jen prostřednictvím jednoho virálního videa.
Jinou podobu „hybridní války“ ukazuje případ Arménie, kde byla zahájena rozsáhlá vícejazyčná dezinformační kampaň o údajném provozování amerických vojenských biolaboratoří. Hlavním aktérem je Ruská nadace pro boj s nespravedlností (R-FBI), organizace propojená s bývalými firmami Jevgenije Prigožina. Tato struktura, vedená osobou známou pod jménem Miroslava Terada alias Oksana Vovk, šíří konspirační narativy prostřednictvím alternativních médií a anonymních Telegram účtů. Kromě dezinformací o laboratořích obviňuje arménské politické lídry ze spolupráce se západními farmaceutickými firmami. R-FBI je napojena na operaci Storm-1516, která pod hlavičkou Internet Research Agency působí jako klíčový nástroj ruské propagandy a využívá síť webových portálů, k legitimizaci falešných zpráv. Právě operace Storm-1516 figuruje i v jiných dezinformačních kampaních, kde se mimo jiné vydává za skutečné novináře a publikuje pod jejich jmény na falešných zpravodajských serverech. V roce 2025 byly takto zneužity identity novinářů v Moldavsku, Arménii, Francii i Německu. Příkladem je článek o údajném vyšetřování moldavské prezidentky nebo smyšlené reportáže o francouzské jaderné společnosti a německém kancléři. Operace zasáhla i Norsko, kde vytvořila falešnou ekologickou organizaci k diskreditaci Internet Governance Fora pořádaného v Oslu.
Na digitální frontě se navíc odehrává systematická operace zaměřená na okupovaná ukrajinská území. Podle výzkumu Atlantic Council operovala v letech 2024–2025 síť více než 3 600 ruských botů na platformě Telegram, kteří zveřejnili přes 316 000 komentářů ve snaze ovlivnit veřejné mínění. Obsah těchto příspěvků byl pečlivě přizpůsoben místním událostem a kombinoval proruskou propagandu, proti ukrajinské narativy i výzvy k „míru“. Tento typ dezinformací má za cíl nejen oslabit odpor vůči ruské okupaci, ale také rozštěpit ukrajinskou společnost zevnitř.
Ruská opatření
Ruská vláda stále zesiluje svou snahu kontrolovat digitální prostor a omezit informační svobodu občanů. Nová legislativa, technická opatření i represivní zásahy vytvářejí ucelený systém dohledu a cenzury, který má omezit jakýkoli odpor vůči režimu – ať už přichází zvenčí, nebo zevnitř. Pod záminkou „bezpečnosti“ dochází ke stále důkladnějším zásahům do života uživatelů internetu i do samotné infrastruktury.
Jedním z nejtvrdších příkladů nové digitální represe je odsouzení Andreje Smirnova, obyvatele sibiřského města Belovo, k 16 letům vězení. Důvodem byly jeho údajné DDoS útoky proti ruské infrastruktuře ve prospěch Ukrajiny. Podle prokuratury se Smirnov v roce 2022 zapojil do hackerské skupiny napojené na ukrajinskou rozvědku a pomocí malwaru zablokoval weby několika místních společností. Byl zatčen v říjnu 2023 a obviněn z vlastizrady.
Současně s tím se vláda snaží centralizovat a unifikovat softwarové prostředí. Nový zákon má od všech zpracovatelů osobních údajů vyžadovat povinný přechod na ruský software – včetně databázových systémů – nejpozději do září 2027. Opatření má podpořit technologickou soběstačnost, ale de facto povede k větší kontrole nad tokem a zpracováním citlivých informací občanů.
Změny se dotýkají i každodenního fungování ruské digitální infrastruktury. V červnu 2025 postihl Petrohrad masivní výpadek mobilního internetu, který ochromil bezhotovostní platby. Přestože oficiální důvod nebyl potvrzen, spekuluje se, že výpadek souvisel s bezpečnostními opatřeními proti ukrajinským dronovým útokům. Jako odpověď se v regionech začala rozšiřovat síť veřejných Wi-Fi přístupových bodů, které mají nedostupnou mobilní síť nahradit.
Kontrola internetu se týká i samotného přístupu k informacím. Roskomnadzor, ruský cenzurní úřad, zablokoval populární měřič internetové rychlosti Speedtest od americké firmy Ookla. Oficiálním důvodem byla „bezpečnostní rizika“, přičemž uživatelé jsou nabádáni k používání domácí alternativy „ПроСеть“. Paralelně s tím probíhá i přesun elektronického podpisu z vládní aplikace „Госключ“ do „národního messengeru“ Max, který provozuje společnost VK. Tímto krokem se vláda snaží zvýšit využívání domácích platforem, které má plně pod kontrolou, a zároveň konsolidovat digitální identitu uživatelů na jednom místě.
Na úrovni legioslativy pak přichází ještě tvrdší regulace. Novela správního řádu navrhuje pokuty pro občany za pouhé vyhledávání údajně extremistického obsahu. Vedle toho by mohli být jednotlivci i právnické osoby sankcionováni za reklamu na VPN služby – tedy nástroje, které by jim umožnily obejít státní cenzuru. Tato opatření fakticky kriminalizují samotný zájem o necenzurované informace a ztěžují přístup k nezávislému internetu.
Zatímco stát vystupuje jako ochránce dat a bezpečnosti, v pozadí bují strukturovaný černý trh s osobními informacemi. Investigativní reportáž Andreje Zacharova odhaluje fungování systému „probiv“, tedy prodeje přístupů do státních databází – včetně registrů SIM karet, SPZ, pasů nebo záznamů z kamer. Tyto služby zajišťují často samotní zaměstnanci státních institucí, a klienty jsou nejen zločinci, ale i firmy napojené na bezpečnostní složky, například Cronos nebo Norsi-Trans, údajně propojené s FSB. Přestože v dubnu 2025 bylo zatčeno několik osob, systém zůstává nadále funkční. Ukazuje to na paradoxní stav, kdy stát zvyšuje kontrolu nad běžnými občany, ale zároveň selhává ve vlastním dodržování pravidel a bezpečnostních standardů.
Tyto události dokládají systematický přesun ruského režimu k digitálnímu autoritářství. Stát využívá technické, legislativní i represivní prostředky k tomu, aby vytvořil kontrolované, izolované a snadno monitorovatelné digitální prostředí. Pod rouškou „bezpečnosti“ dochází ke stále hlubším zásahům do soukromí, zatímco v pozadí zůstávají nepotrestaní ti, kteří na státní ochraně dat vydělávají.
Útoky na Rusko
V červenci 2025 podnikli ukrajinští hackeři sérii cílených kyberútoků, které významně narušily ruskou vojenskou, průmyslovou i dopravní infrastrukturu. Tyto útoky ukazují nejen rostoucí technologickou zdatnost ukrajinských kybernetických sil, ale také strategické zaměření na klíčové prvky ruského válečného a ekonomického aparátu.
Jedním z prvních cílů se stala infrastruktura dobrovolnické skupiny „Ruští hackeři frontě“, která se specializuje na vývoj upraveného firmwaru pro komerční drony DJI určené pro bojové použití. Útočníci – podle všeho ukrajinští hackeři – zasáhli servery i koncová zařízení, čímž došlo k pozastavení každodenní modifikace až 560 dronů. Firmware, který skupina vytváří, mimo jiné odstraňuje bezpečnostní omezení (např. výškový limit, závislost na GPS či DRONE ID), a zvyšuje tak efektivitu dronů v bojových podmínkách. Útok nezměnil samotný firmware, ale kvůli obavám z kompromitace byla zařízení odstavena z provozu.
Ve výrazně destruktivnější akci byla cílem společnost Gaskar Integration, jeden z největších ruských výrobců dronů. Ukrajinské skupiny BO Team a Ukrainian Cyber Alliance, jednající ve spolupráci s vojenskou rozvědkou, zničily více než 47 TB dat, včetně 10 TB záloh. Útok způsobil úplné vyřazení interních systémů včetně vývoje, účetnictví a přístupu do budov – zaměstnanci museli využít nouzové východy. Hackeři získali kompletní technickou dokumentaci a osobní údaje zaměstnanců, které byly následně předány ukrajinským obranným silám. Únik dokumentů zároveň potvrdil úzké technologické vazby mezi firmou Gaskar a Čínou.
Kybernetický útok zasáhl i klíčový pilíř ruské energetiky – společnost Gazprom a její dceřiné podniky. Podle ukrajinského deníku Kyiv Independent provedla 17. července vojenská rozvědka HUR masivní útok, který ochromil síťové systémy téměř 400 organizačních jednotek. Útočníci stáhli stovky terabajtů důvěrných dat a poté zničili databáze obsahující informace o smlouvách, platbách, daních i licencích. Instalací malwaru zasáhli i BIOS serverů, což znemožnilo jejich obnovení bez fyzické opravy. Přestože Gazprom útok oficiálně nepotvrdil, jeho rozsah a důsledky odpovídají silné ráně do nervového centra ruské energetické logistiky.
Na konci měsíce se terčem stala i vlajková loď ruské letecké dopravy – Aeroflot. Hackerská skupina Silent Crow, spolu s běloruskými Cyber Partisans, se přihlásila k odpovědnosti za útok, který vedl ke zrušení desítek až stovek letů, především na letišti Šeremetěvo v Moskvě. Podle prohlášení hackerů trvala infiltrace více než rok, během něhož získali kontrolu nad až 7 000 servery, přístup ke sledovacím systémům, záznamům hovorů i zákaznickým datům. Byl tak narušen nejen provoz, ale i důvěryhodnost jednoho z klíčových hráčů ruské dopravní infrastruktury.
Tyto koordinované útoky z července 2025 ukazují, že kyberprostor se stal plnohodnotným bojištěm, kde Ukrajina uplatňuje asymetrické strategie k narušení schopností ruského státu i jeho obranného a průmyslového komplexu. Cílené zásahy do klíčových odvětví — od dronového průmyslu přes energetiku po civilní dopravu — dokazují, že ukrajinské kybernetické operace nejsou jen obranou, ale i proaktivním nástrojem strategického oslabení protivníka.
Politika západu
V červenci 2025 západní státy reagovaly na pokračující ruské hybridní a kybernetické operace sérií konkrétních bezpečnostních, právních i diplomatických opatření. Tyto kroky svědčí o postupujícím uvědomění, že ruská aktivita v informačním prostoru, podpořená kyberútoky, sabotáží i dezinformacemi, představuje nikoli jen bezpečnostní výzvu, ale přímo existenční hrozbu pro demokratické státy a jejich instituce.
Tato varování výslovně zazněla z úst Nicolase Lernera, ředitele francouzské zahraniční rozvědky DGSE, který označil ruské hybridní operace za zásadní ohrožení evropské bezpečnosti. Upozornil na jejich rostoucí intenzitu i rozmanitost — od dezinformačních kampaní a kyberútoků až po fyzické provokace. Příkladem byla inscenace s rakvemi označenými „Francouzští vojáci z Ukrajiny“ u Eiffelovy věže, sabotáž vysokorychlostní železnice před olympijskými hrami ve Francii nebo útoky na dopravní síť v Nizozemsku.
V reakci na tato rizika Evropská unie zrychlila nasazení tzv. kybernetické rezervy – týmu expertů z privátního sektoru – do Moldavska, kde mají chránit nadcházející parlamentní volby. Tento mechanismus měl být aktivován až koncem roku, ale kvůli sílícím kybernetickým a dezinformačním útokům byl jeho start urychlen. Cílem je ochránit proevropský kurz Moldavska před ruskými snahami o destabilizaci, a zároveň otestovat schopnost EU jednat rychle a preventivně ve strategických oblastech svého východního sousedství.
Kromě preventivních opatření přistoupily evropské země i k aktivnímu narušení nepřátelských struktur. Europol koordinoval rozsáhlou mezinárodní operaci proti proruské skupině NoName057(16), známé svými DDoS útoky vedenými nástrojem DDoSIA. Do zásahu se zapojily bezpečnostní složky z 12 států včetně Česka, Německa, Francie a USA. Výsledkem bylo zablokování více než 100 systémů, identifikace vůdců skupiny a vydání šesti evropských zatykačů. Ačkoli skupina částečně obnovila činnost už po šesti dnech, zásah ukázal schopnost koordinované obrany napříč Evropou.
Ve stejném duchu přistoupila EU i k rozšíření sankčního režimu. Rada EU přidala na sankční seznam devět fyzických osob a šest organizací, které se podílejí na ruských hybridních operacích. Sankcionováni byli například představitelé RTRS, státní vysílací infrastruktury šířící propagandu na okupovaných územích, vojenští činitelé odpovědní za rušení GPS signálu v Baltském regionu či aktéři dezinformačních kampaní v Moldavsku a Austrálii.
Souběžně s evropskými kroky posílily opatření také Spojené státy americké. Ministerstvo financí uvalilo sankce na osoby a firmy napojené na schéma zneužívající falešné severokorejské IT pracovníky, kteří působili hlavně z Ruska a Číny. Tito jednotlivci nejen generovali příjmy pro severokorejský režim, ale v některých případech přímo implantovali malware do sítí amerických firem. Sankce byly mimo jiné uvaleny na ruského občana Gayka Asatryana a jeho firmy Asatryan LLC a Fortuna LLC, které poskytovaly zázemí pro severokorejské IT operace.
Výraznou iniciativu podniklo i Spojené království, které uvalilo sankce na 18 důstojníků ruské vojenské rozvědky GRU a tři její specializované jednotky – včetně jednotky 29155, známé z útoku novičokem v Salisbury, a kybernetických jednotek 26165 (APT28) a 74455, které se podílely na útocích na Ukrajině i v Evropě. Britská vláda zmrazila majetek těchto osob, zakázala jim vstup do země a zveřejnila jejich identitu, aby znemožnila jejich další operace pod falešnými krytími.
Nezanedbatelná byla také technologická spolupráce – Německo ve spolupráci s Izraelem představilo ambiciózní projekt Cyber Dome, jehož cílem je vybudovat digitální protivzdušný štít proti kyberútokům. Pětibodový plán zahrnuje výzkum, výměnu zpravodajských informací, obranu proti dronům a vývoj civilních varovných systémů. Projekt navazuje na izraelské zkušenosti s fyzickou protivzdušnou obranou a má přenést podobnou úroveň ochrany do digitálního prostoru.
Červencová vlna reakcí ze Západu tak tvoří komplexní mozaiku diplomatických, technologických i represivních kroků, které potvrzují rostoucí odhodlání bránit se proti ruskému vlivu v digitální sféře. Státy přecházejí od varování k činům – kombinují preventivní ochranu, aktivní kyberobranu a cílené sankce s cílem narušit operace protivníka a posílit vlastní odolnost.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 6. 8. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
