Kyberválka na Ukrajině, říjen 2024

Ruské kybernetické skupiny Gamaredon a Turla zesílily útoky na vládní instituce, využívajíce pokročilé techniky jako spear-phishing, fileless malware a zneužívání nástrojů VBScript a PowerShell k infikování systémů a krádeži citlivých dat. Gamaredon, řízený 18. střediskem informační bezpečnosti FSB na Krymu, maskuje svou komunikaci pomocí služeb Telegram a Cloudflare a často mění IP adresy a domény. Turla nasadila nový backdoor, který obchází bezpečnostní opatření deaktivací ETW a AMSI a šifruje komunikaci pomocí AES.

Další státem podporovaná skupina, GoldenJackal, se zaměřuje na vládní a diplomatické subjekty v Evropě, na Středním východě a v jižní Asii. Pomocí malwaru GoldenDealer a GoldenHowl překonává izolované systémy prostřednictvím USB disků. Bezpečnostní společnost ESET zaznamenala útoky na vládní organizaci v EU a na velvyslanectví jihoasijské země v Bělorusku, což naznačuje možné propojení s Ruskem nebo Běloruskem. Skupina RomCom, známá také jako UAT-5647, cílí na ukrajinské a polské subjekty pomocí nové verze malwaru SingleCamper, využívá spear-phishing k dosažení dlouhodobého přístupu do sítí pro špionáž a potenciální nasazení ransomwaru. Na Ukrajině útočníci prostřednictvím Telegramu vydávají falešné zprávy od technické podpory služby „Резерв“ a nabízejí podvodné aktualizace údajů pro odvodní komise.

Americká NSA a britské Národní centrum kybernetické bezpečnosti varovaly před hrozbami ze strany ruské zpravodajské služby SVR, která využívá softwarové zranitelnosti, spear-phishing a zneužívá cloudové systémy k útokům na vládní i soukromé organizace v oblastech obrany, technologie a financí.

Ukrajinská kyberbezpečnostní agentura identifikovala skupinu UAC-0050, která se zabývá kyberšpionáží, finančními krádežemi a informačně-psychologickými operacemi proti ukrajinským institucím. Skupina využívá phishingové e-maily, malware a falešné online profily, jako je „Fire Cells Group“, k šíření falešných bombových hrozeb a podněcování ničení majetku. Společnost Alethea zároveň odhalila na platformě X (dříve Twitter) síť více než 400 účtů zapojených do ruských dezinformačních kampaní, včetně operace „Stormkiller“, která se snaží popřít ruské zapojení a svalit vinu na Ukrajinu.

Rusko také zahájilo koordinovanou kampaň s cílem odradit zahraniční bojovníky od účasti na straně Ukrajiny v konfliktu. Síť Kremlebots využívá botové sítě „Dvojník“ a „Matryoshka“ k šíření falešných informací na platformě X v různých jazycích, včetně němčiny, francouzštiny a polštiny. Tato dezinformační kampaň zejména odrazuje cizince služby v ukrajinských ozbrojených silách.

Moldavsko před volbami a referendem o členství v EU čelilo zvýšenému tlaku ruské propagandy. Na příkaz vlády zablokoval moldavský operátor Orange přístup k webovým stránkám šířícím ruskou propagandu, včetně Moldova24, Rutube, Yandex a Dzen. Společnost Check Point Research odhalila kampaň „Operation MiddleFloor“ vedenou skupinou Lying Pigeon, která šíří falešné e-maily a dokumenty s cílem podpořit postoje nepřátelské EU. Meta rovněž odstranila síť falešných účtů na Facebooku a Instagramu, které šířily proruský obsah a kritizovaly proevropské politiky, včetně prezidentky Maii Sandu. Tyto aktivity zdůrazňují snahu Ruska ovlivnit politickou situaci v Moldavsku prostřednictvím dezinformací a propagandy.

Ruská policie provedla rozsáhlý zásah proti provozovatelům kryptoburz Cryptex a UAPS, při němž bylo zatčeno 96 osob. Tento zásah následoval necelý týden poté, co Spojené státy uvalily sankce na tyto burzy kvůli podezření z praní špinavých peněz, což naznačuje rostoucí mezinárodní tlak a domácí opatření Ruska v oblasti regulace kryptoměn.

Roskomnadzor zablokoval komunikační platformu Discord, čímž ji zařadil mezi aplikace jako Signal, WhatsApp a Messenger, které jsou v Rusku blokovány nebo výrazně zpomalovány. Tento zákaz vyvolal kritiku i mezi ruskými vojáky, kteří Discord využívali pro komunikaci a přenos dat z dronů. K blokaci Discordu přistoupilo také Turecko. Ruské úřady navíc zvažují zákaz služby SpeedTest od americké společnosti Ookla; Mezinárodní akademie komunikace spolu se Státní dumou a FSB varují, že tato platforma by mohla předávat citlivé údaje americkým tajným službám a být zneužita k organizaci DDoS útoků.

Pro posílení kontroly nad obsahem na sociálních sítích představila ruská firma Sprut-Inform nástroj Sprut-Tel pro monitorování a odhalování zakázaného obsahu v aplikaci Telegram. Systém analyzuje klíčová slova a pomáhá sledovat příspěvky označené ruskou cenzurou jako „extremistické“. Je také schopen identifikovat telegramové boty, což umožňuje efektivnější dohled nad komunikací na této populární platformě.

V říjnu 2024 čelilo Rusko významným kybernetickým útokům zaměřeným na klíčové vládní a mediální instituce. Dne 7. října byla ruská státní televize a rozhlasová společnost VGTRK napadena, což na několik hodin přerušilo internetové vysílání v den narozenin prezidenta Vladimira Putina; útočníci údajně smazali data ze serverů včetně záloh. Odpovědnost si nárokovala pro-ukrajinská hackerská skupina Sudo rm-RF.

Ve stejném období zahájila hackerská skupina Awaken Likho, známá také jako Core Werewolf, kampaň proti ruským vládním agenturám a průmyslovým podnikům. Využila přitom legitimní platformu MeshCentral k získání vzdáleného přístupu prostřednictvím phishingových e-mailů. Navíc ukrajinská vojenská zpravodajská služba HUR společně se skupinou BO Team provedla útok na ruský automatizovaný soudní systém „Pravosudie“, což vedlo k narušení soudních procesů, úniku osobních údajů a týdennímu výpadku elektronické komunikace soudů. Hackerská skupina Ukrajinská kybernetická aliance údajně napadla administrativní síť ruského města Tver, čímž vyřadila parkovací systém na dva dny. Útok zničil virtuální servery, zálohy, webové stránky a stovky počítačů. Administrativa Tveru útok popřela a označila situaci za „technickou chybu“.

V říjnu 2024 zesílily západní země úsilí v boji proti ruské kyberkriminalitě a dezinformačním kampaním. Spojené státy obvinily dva ruské občany, Sergeje Ivanova a Timura Šachmatova. Ivanov provozoval služby praní špinavých peněz pro kyberzločince spojené s platformami jako Cryptex, PM2BTC, UAPS a PinPays, zatímco Šachmatov vedl platformu Joker’s Stash pro obchodování s ukradenými daty z platebních karet. V koordinované akci policie ve Francii, Británii a Španělsku zatkla čtyři osoby spojené s ransomwarovou skupinou LockBit a uvalila na ně finanční sankce. Tato skupina obnovila své aktivity po předchozím zásahu; americké úřady také vydaly zatykač na Alexandra Ryženkova, který je spojen s LockBit i nechvalně známou skupinou Evil Corp.

V boji proti ruským dezinformacím Microsoft ve spolupráci s Ministerstvem spravedlnosti USA zastavil operace ruské skupiny Star Blizzard (známé také jako COLDRIVER nebo Callisto) zabavením více než 100 domén používaných pro spear-phishingové útoky. Tyto útoky cílily na organizace podporující demokracii, think-tanky, novináře a neziskové organizace v USA a Evropě. Americké ministerstvo zahraničí vyhlásilo odměny za informace o pracovnících ruských propagandistických agentur InfoRos a Rybar. InfoRos, řízená jednotkou 54777 vojenské zpravodajské služby GRU, slouží k šíření propagandy; Rybar, napojený na ruský obranný průmysl a dříve financovaný Wagnerovou skupinou, je obviněn z šíření dezinformací a zasahování do voleb v USA.

Ukrajina také podnikla rozhodné kroky proti ruským kybernetickým hrozbám. Ukrajinské úřady odsoudily v nepřítomnosti dva členy hackerské skupiny Armageddon k 15 letům vězení; tito bývalí zaměstnanci ukrajinské tajné služby SBU na Krymu po ruské anexi v roce 2014 přešli k FSB a následně prováděli kyberútoky na vládní agentury a kritickou infrastrukturu. Dále ukrajinská policie zatkla 28letého muže z města Chmelnyckyj za provozování nelegální VPN služby, která umožňovala přístup k ruskému internetu (Runetu) a obcházela tak ukrajinské sankce. Tato služba zprostředkovala přístup k více než 48 milionům ruských IP adres a přenášela přes 100 GB dat denně, což vyvolalo obavy z možné spolupráce s ruskými zpravodajskými službami.

Protikorupční agentura NAZK očistila bývalého velitele kyberbezpečnostní divize SBU, Ilju Vitiuka, od podezření z majetkových nesrovnalostí. Vitiuk byl v dubnu odvolán z funkce a odeslán na frontu poté, co server Slidstvo Info zveřejnil informace o luxusním životním stylu jeho manželky a rodiny; vyšetřování však tato obvinění nepotvrdilo. Vitiuk také čelil obvinění ze zastrašování novinářů, kteří o těchto záležitostech psali.

Současně ukrajinské ministerstvo obrany založilo nový tým pro reakce na kybernetické incidenty, zaměřený na ochranu vojenských a komunikačních sítí před útoky, zejména ze strany Ruska. Nový tým rozšíří zodpovědnost stávajících kybernetických specialistů a bude spolupracovat s NATO a dalšími partnery.

Americké úřady obvinily dva súdánské občany z účasti na tisících kyberútoků provedených skupinou Anonymous Sudan, které zahrnovaly útoky na nemocnice, vládní úřady a infrastrukturu v USA a dalších zemích. Tyto útoky, převážně typu DDoS, poškodily například nemocnice v Los Angeles, Ministerstvo obrany USA a technologické společnosti jako Microsoft, což vedlo ke škodám přesahujícím 10 milionů dolarů. Prozatím není jasné, kde a za jakých okolností byli oba obvinění zadrženi.

Od svého objevení v roce 2023 byl Anonymous Sudan považován za skupinu řízenou Ruskem nebo alespoň za pro-ruskou. Skupina se angažovala v aktivitách s minimální souvislostí se Súdánem, ale úzce spojených se zájmy Ruska, například v odporu proti vstupu Švédska do NATO. Příspěvky této skupiny na Telegramu byly také zpočátku psány v ruštině. Navíc sdílela infrastrukturu s jinými skupinami, u nichž bylo prokázáno ruské řízení.

Přesto z obvinění a vyjádření amerického Ministerstva spravedlnosti vyplývá, že zatím nebyly nalezeny důkazy o napojení dvou obviněných na Rusko. Od následného procesu s oběma obviněnými tedy můžeme čekat objasnění, zda se jednalo o ruské loutky nebo jestli skutečně jednali samostatně.

Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na tento transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop https://eshop.team4ukraine.eu/ . Případně můžete podpořit některý z našich projektů i na platformě Donio:

„Pomoc policistům na frontu“ https://donio.cz/tccc-vybaveni

TOMÁŠ FLÍDR, 1. 11. 2024 ANALÝZA