Článek
Ruské kyberútoky
Během března 2025 ukrajinské CERT (CERT-UA) zaznamenalo nejméně tři kybernetické útoky na ukrajinské státní instituce a kritickou infrastrukturu, při nichž útočníci použili nový špionážní malware s názvem Wrecksteel. Útoky začínaly phishingovými e-maily obsahujícími odkazy na služby pro sdílení souborů jako DropMeFiles a Google Drive. Po kliknutí na odkaz byl spuštěn PowerShell skript, který útočníkům umožnil získat textové dokumenty, PDF, obrázky, prezentace a pořizovat snímky obrazovky z infikovaných zařízení. CERT-UA odhalil i další kampaň, při níž byly distribuovány infikované Excel soubory s makry. Ty po otevření nasadily PowerShell skript a dosud nezdokumentovaný infostealer GIFTEDCROOK, zaměřený na krádeže dat z webových prohlížečů Chrome, Edge a Firefox. Cílem těchto útoků byly zejména vojenské jednotky, orgány činné v trestním řízení a místní správy na východě Ukrajiny.
Ruská skupina Shuckworm (známá také jako Gamaredon či Primitive Bear) pokračuje v kyberšpionážních aktivitách. V únoru a březnu 2025 se její útoky zaměřily na vojenskou misi západní země působící na ukrajinském území. Útoky začaly infikovaným přenosným médiem obsahujícím škodlivý LNK soubor, který spouštěl skript přes nástroj mshta.exe a následně instaloval aktualizovanou verzi malwaru GammaSteel, specializovaného na exfiltraci dat z napadených sítí.
Evropské diplomatické instituce čelily intenzivní phishingové kampani ze strany skupiny APT29 (také známé jako Cozy Bear či Midnight Blizzard), napojené na ruskou Federální bezpečnostní službu (FSB). Útočníci rozesílali e-maily maskované jako pozvánky na vinné degustace, údajně od evropského ministerstva zahraničí. E-maily obsahovaly škodlivý odkaz na stažení souboru „wine.zip“, jenž ukrýval nový malware GRAPELOADER.
Další útok na evropské vládní a vojenské organizace vedla skupina UNC5837. Útočníci zneužívali soubory s příponou .rdp k navázání spojení pomocí protokolu Remote Desktop Protocol (RDP). Využívali méně známé funkce RDP, jako je přesměrování souborových systémů nebo nasazení aplikací RemoteApps, což jim umožnilo efektivně krást data z kompromitovaných systémů.
Novou techniku zaměřenou na kompromitaci účtů Microsoft 365 nasadily ruské skupiny UTA0352 a UTA0355. Útočníci využívali aplikace Signal a WhatsApp, kde se vydávali za evropské diplomaty a zvali cílené oběti k falešným videohovorům. Během komunikace byli uživatelé přesměrováni na legitimní přihlašovací stránku Microsoftu a požádáni o sdílení autorizačního kódu OAuth. Díky tomuto kódu získali útočníci přístup k účtům Microsoft 365, mohli připojit zařízení k Entra ID (dříve Azure Active Directory) a stahovat e-maily i další citlivé informace.
Na konci března 2025 se stal terčem sofistikovaného kybernetického útoku významný berlínský výzkumný institut zaměřený na východní Evropu. Podle německých úřadů za ním stojí ruští státem podporovaní hackeři. Asociace pro studium východní Evropy (DGO), která institut provozuje, označila útok za „vysoce profesionální“ a cílený na e-mailovou infrastrukturu. Útočníkům se přitom podařilo obejít i nová bezpečnostní opatření, která byla zavedena po podobném incidentu v říjnu 2024. Podezření padá na známou ruskou skupinu APT29, přezdívanou Cozy Bear, napojenou na ruskou zahraniční rozvědku SVR.
Zvýšenou ruskou aktivitu v kyberprostoru potvrdila také nizozemská vojenská rozvědka MIVD ve své výroční zprávě za rok 2024. Upozorňuje na rostoucí počet hybridních hrozeb, které mají za cíl narušit stabilitu nizozemské společnosti a oslabit důvěru v demokratické instituce. Zaznamenán byl mimo jiné pokus o kybernetickou sabotáž digitální veřejné služby – první svého druhu v zemi. Přestože útok selhal, nizozemské úřady jej považují za varování před tím, co může přijít. MIVD rovněž odhalila ruské operace zaměřené na klíčovou infrastrukturu a útoky na politické weby, které měly ovlivnit nadcházející evropské volby. Znepokojení vzbuzují i aktivity v Severním moři, kde Rusko podle nizozemských služeb zkoumá podmořské internetové kabely a energetické sítě. Tyto kroky mohou být přípravou na budoucí sabotáže s potenciálně závažnými důsledky pro celý region.
Ruské dezinformace a hacktivismus
Rusko pokračuje také v útocích na demokratické procesy, ve snaze ovlivnit veřejné mínění a potrestat státy za podporu Ukrajiny. Základními nástroji jsou DDoS útoky a dezinformační kampaně na sociálních sítích.
Jedním z viditelných incidentů byl DDoS útok na belgické vládní weby, který vyřadil z provozu mimo jiné portál MyGov.be sloužící občanům k přístupu k oficiálním dokumentům. Odpovědnost na sebe vzala proruská hackerská skupina NoName057, která na Telegramu útok označila za odvetu za rozhodnutí Belgie schválit nový balík pomoci Ukrajině. Stejná skupina stála i za útokem ve Finsku, kde v den regionálních a komunálních voleb vyřadila z provozu web opoziční Strany středu. Cíl byl zřejmý — narušit volební proces a podkopat důvěru v jeho férovost.
Kybernetickému útoku čelila i vládní strana v Polsku. Premiér Donald Tusk informoval, že došlo k pokusu o narušení IT systémů Občanské platformy před květnovými prezidentskými volbami. Útok trval několik hodin a zahrnoval pokusy o převzetí kontroly nad zařízeními zaměstnanců. Podle Tuska nese incident jasnou „východní stopu“, tedy známky ruského zapojení.
Tuto digitální ofenzivu doplňuje silná dezinformační vlna, která se soustřeďuje zejména na mladší publikum. Ruské sítě zneužívají algoritmus TikToku, který umožňuje virální šíření obsahu nových účtů s minimem sledujících. Videa vytvořená často pomocí umělé inteligence cílí na emoce — používají tragické, šokující či provokativní prvky, aby maximalizovala dosah. Distribuce probíhá prostřednictvím tisíců falešných účtů, jejichž automatické interakce „nakrmí“ algoritmus, který pak sám podporuje další šíření videí.
Ruská opatření
Po letech tiché podpory kyberkriminálních gangů Rusko pokračuje v opatřeních proti kyberzločinu. Začátkem dubna byl zatčen Jurij Bozojan, ředitel ruské IT společnosti Aeza Group, který čelí obvinění z organizace zločinecké sítě zaměřené na výrobu a prodej drog přes internet. Vyšetřovatelé uvádějí, že kromě provozování online tržiště s narkotiky poskytovala Aeza Group i služby „bulletproof hostingu“, tedy anonymního a obtížně vypnutelného serverového zázemí pro různé kriminální skupiny.
V polovině dubna pak ruské úřady schválily nový právní rámec, který umožňuje zabavování kryptoměn v rámci trestních řízení. Vznikne speciální platforma pro správu digitálních aktiv zabavených například při případech korupce, daňových úniků či financování terorismu. Kryptoměny budou ukládány na zvláštní účty a na základě soudních rozhodnutí mohou být následně zpeněženy. Tento krok naznačuje snahu ruského státu o větší dohled nad oblastí, která byla dosud těžko kontrolovatelná.
Rusko se v reakci na rostoucí hrozbu ukrajinských dronových útoků rozhodlo omezit noční přístup k mobilnímu internetu. Úřady v Rostovské oblasti potvrdily, že během nočních hodin zpomalují rychlost mobilního připojení až na 512 kbit/s. Opatření se týká nejen samotného Rostova na Donu, ale i dalších devíti okresů v regionu. Cílem zpomalení je omezit schopnost ukrajinských dronů využívat mobilní sítě k navigaci a přenosu dat při nočních útocích. Původně ruské úřady uvažovaly o úplném vypnutí mobilního internetu mezi půlnocí a pátou hodinou ranní, nakonec ale zvolily mírnější variantu, která alespoň částečně zachovává funkčnost sítí pro civilní účely.
Útoky na Rusko
Na sociálních sítích se objevily záběry, které naznačují, že ukrajinské drony jsou nyní vybaveny malwarem určeným k infikování ruských systémů. Tento škodlivý software údajně dokáže poškodit USB porty připojeného počítače, zabránit přeprogramování ukořistěného dronu nebo dokonce odhalit polohu operátora, čímž výrazně omezuje možnosti využití ukořistěné techniky. Je třeba podotknout, že kromě jednoho videa z ruských sociálních sítí tyto informace nebyly nikde potvrzeny.
Cílené útoky na ruské vojáky zaznamenali odborníci ze společnosti Doctor Web, kteří odhalili šíření falešné verze populární mapovací aplikace Alpine Quest. Upravená aplikace obsahovala špionážní trojan Android.Spy.1292.origin, jenž po instalaci tajně odesílal útočníkům kontakty, geolokační data i soubory uložené v zařízení. Šíření probíhalo prostřednictvím falešných Telegram kanálů a ruských katalogů aplikací.
Skupina Cloud Atlas, známá svou aktivitou již od roku 2014, spustila novou vlnu útoků zaměřených na obranný průmysl a státní instituce. Phishingové e-maily obsahující dokumenty s upraveným kódem umožnily šíření malwaru včetně nástrojů VBShower a PowerShower. Útočníci navíc zneužívali kompromitované e-mailové účty napadených organizací k dalšímu šíření infekce mezi jejich partnery.
Že „partnerství bez hranic“ nevylučuje vzájemnou špionáž potvrzuje i obnova kampaně čínské skupiny IronHusky, která začala využívat novou verzi malwaru MysterySnail RAT. Tento modulární malware byl nasazen ve vládních organizacích v Mongolsku a Rusku a umožňuje spravovat soubory, spouštět procesy a manipulovat se síťovými zdroji. Útoky začínaly škodlivým skriptem maskovaným jako oficiální dokument mongolské státní agentury.
Ruskou dopravní infrastrukturu zasáhly kybernetické útoky na weby a mobilní aplikace ruských železnic a moskevského metra. V důsledku útoků byly dočasně nedostupné platformy pro nákup jízdenek, i když samotný provoz zůstal nenarušen. Incident přišel krátce poté, co podobný útok zasáhl ukrajinskou železnici.
Politika západu
Obrana Západu proti ruským kyberútokům a dezinformacím po nástupu nové americké administrativy výrazně slábne. Dochází ale ke změnám v postoji Francie, která se chce stát tahounem evropské bezpečnosti. Francie se dosud vyhýbala tomu, aby Rusko veřejně označovala za původce kyberútoků na svou infrastrukturu. To se ale mění – agentura ANSSI nyní oficiálně obvinila skupinu APT28 (známou jako Fancy Bear či Sofacy), řízenou ruskou vojenskou rozvědkou GRU. Útoky mířily mimo jiné na prezidentské volby v roce 2017, televizi TV5 během incidentu maskovaného jako čin Islámského státu v roce 2016 a pokusy sabotovat Olympijské hry v roce 2024.
Dalším opatřením vůči Rusku byl krok americké společnosti Ngrok, která umožňuje obcházení NAT a přesměrování portů na neveřejných IP adresách. Ngrok nově zablokoval přístup uživatelům s ruskými IP adresami. Při pokusu o připojení se ruským uživatelům zobrazuje chybové hlášení o neúspěšné autentizaci. Uživatelé připojení přes jiné země jsou upozorněni, že společnost jakožto americký subjekt nesmí obchodovat s entitami, na které se vztahují americké sankce.
TOMÁŠ FLÍDR, 3. 5. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.