Článek
Ruské kyberútoky
V říjnu 2025 pokračovala vysoká intenzita ruských kybernetických aktivit, které se vyznačovaly rostoucím využíváním umělé inteligence, cílením na kritickou infrastrukturu a humanitární sektor, a rozšiřováním působnosti mimo evropský prostor. Zatímco tradiční hacktivistické skupiny jako NoName057 nadále dominovaly DDoS útokům v EU, profesionální jednotky spojené s GRU a FSB prováděly sofistikované operace proti Ukrajině, kombinující kybernetické průniky s reálnými vojenskými údery. Nově se objevila i expanze ruských hrozeb do Asie a rostoucí zaměření na průmyslové systémy v západní Evropě.
Podle výroční zprávy agentury ENISA za období červenec 2024 až červen 2025 tvořily téměř dvě třetiny všech kybernetických útoků v Evropské unii útoky typu DDoS, které prováděla především proruská skupina NoName057. Téměř 80 % incidentů mělo ideologické pozadí přímo spojené s válkou na Ukrajině. Ruští aktéři se zároveň podíleli na největším počtu případů kybernetické špionáže i šíření dezinformací.
Sofistikovanější operace pokračovaly na frontové linii digitální války proti Ukrajině. Skupina Sandworm, spojená s ruskou vojenskou rozvědkou GRU, nadále útočila na ukrajinské organizace pomocí vlastního webshellu Localolive. Tato dlouhodobá infiltrace, zaměřená na poskytovatele podnikových služeb a místní samosprávy, využívala techniky Living-off-the-Land a nástroje PowerShell k utajení přítomnosti v systému. Útočníci získávali privilegovaný přístup, měnili nastavení antiviru Windows Defender a pravděpodobně se pokoušeli krást přihlašovací údaje z nástrojů jako KeePass.
Podle ukrajinského CERT-UA se ruští hackeři v roce 2025 čím dál více spoléhají na umělou inteligenci, protože tradiční metody útoků narážejí na stále pevnější obranu Kyjeva. Jen v první polovině roku bylo zaznamenáno více než 3 000 incidentů. AI je využívána nejen k psaní přesvědčivějších phishingových zpráv, ale i k automatizaci tvorby škodlivého kódu – například malwaru Wrecksteel od skupiny UAC-0219. Trendem se staly tzv. útoky „Steal & Go“ – rychlé průniky bez snahy o dlouhodobou přítomnost, často zneužívající zero-click zranitelnosti, jako CVE-2023-43770 v platformě Roundcube. CERT-UA rovněž potvrdil koordinaci kyberútoků s fyzickými ruskými raketovými a dronovými údery.
Na podobnou oblast cílila také kampaň PhantomCaptcha, zaměřená na ukrajinské regionální úřady a humanitární organizace, včetně UNICEF a Červeného kříže. Útočníci napojení pravděpodobně na FSB rozesílali e-maily, které se tvářily jako oficiální komunikace z Kanceláře prezidenta Ukrajiny. V přílohách se skrývaly odkazy na falešné stránky Zoom vybavené podvrženým Cloudflare captcha systémem. Po ručním spuštění kódu byl do systému nainstalován vícefázový malware zakončený vzdáleným přístupem pomocí WebSocket RAT. Kampaň využívala infrastrukturu registrovanou v Rusku a zahrnovala i falešné Android aplikace, které rozšiřovaly rozsah útoku.
Kromě útoků na Ukrajinu a EU se ruské kybernetické aktivity rozšířily i do Asie. Nově identifikovaná skupina UNC-RUS-ZIC od září 2025 provádí koordinované útoky proti vládním i soukromým cílům v Indonésii, Japonsku, Thajsku, Bangladéši a Indii, ale také v Kanadě a Německu. Skupina komunikuje přes Telegram a darknetová fóra, využívá automatizované Python nástroje a AI pro škálování útoků a zveřejňuje ukradená data pod přezdívkami Tuan Putri Asyaa a Sanitize Dark Star.
Na západní Evropu se pak zaměřila proruská skupina KYBERBERKUT, která podle analýzy Forescout Vedere Labs provedla koordinovaný útok na průmyslové řídicí systémy (ICS). Zneužila slabě zabezpečená zařízení, jako jsou gatewaye Moxa a průmyslové routery, a způsobila výpadky monitorovacích systémů SCADA. K šíření útoků využila běžné OT protokoly (např. Modbus a IEC 104) a své nástroje i návody otevřeně sdílela na Telegramu, čímž umožnila zapojení dalších sympatizujících aktérů.
Ruské dezinformace a hacktivismus
V říjnu 2025 se intenzita ruských dezinformací ve srovnání s předchozím obdobím výrazně snížila. Může jít o reakci na debakl během parlamentních voleb v Moldávii, ve kterých přes masivní dezinformační kampaň jednoznačně zvítězily prozápadní síly.
Podle zprávy Google Threat Intelligence Group byly proruské dezinformační skupiny mimořádně aktivní po narušení polského vzdušného prostoru ruskými drony ve dnech 9.–10. září 2025. Operace vedené uskupeními Portal Kombat a Doppelganger okamžitě rozšířily narativy zpochybňující ruskou odpovědnost, obviňující NATO a polskou vládu z manipulace s incidentem a snažící se oslabit podporu Ukrajině. K propagandě využívají rozsáhlou síť falešných mediálních značek a webových domén, které publikují obsah v jazyce cílové země a působí dojmem legitimních zpravodajských portálů.
Nadále roste vstup ruských narativů do prostředí chatbotů. Analýza organizace ISD ukázala, že populární konverzační systémy jako ChatGPT, Gemini, Grok a DeepSeek v 18 % případů odkazují na ruská státem řízená média, včetně těch, která jsou sankcionována Evropskou unií. K šíření těchto dezinformací dochází především při tendenčně položených otázkách, které vyzdvihují ruský pohled na válku, mobilizaci nebo roli NATO. Autoři studie upozorňují na fenomén „LLM grooming“, tedy manipulaci velkých jazykových modelů prostřednictvím systematického vkládání nepravdivých informací do oblastí, kde chybí důvěryhodné zdroje. Tento trend představuje nový rozměr informační války – přesun z tradičních sociálních sítí do rozhraní umělé inteligence.
Moldavská Centrální volební komise (CEC) čelila během tamních parlamentních voleb masivním DDoS útokům, které v průběhu dvanácti hodin dosáhly téměř 900 milionů škodlivých požadavků. Útočníci se zaměřili na weby CEC, informační platformy pro moldavskou diasporu i servery zajišťující přenos výsledků. Díky zásahu společnosti Cloudflare, která v rámci projektu Athenian poskytla pokročilou ochranu infrastruktury, nedošlo k žádnému narušení volebního procesu.
Ruská opatření
V říjnu 2025 pokračovalo Rusko v posilování vnitřní digitální kontroly a omezování přístupu k technologiím, které by mohly sloužit k nezávislé komunikaci nebo k operacím proti státu. Moskva současně demonstrovala, že je ochotna postihovat i domácí kyberkriminální skupiny, pokud jejich aktivity zasahují do ruského prostoru nebo narušují státní zájmy.
Ruská vláda zavedla plošné blokování mobilního internetu pro uživatele se zahraniční SIM kartou, s oficiálním zdůvodněním, že opatření má zabránit ovládání dronů přes mobilní sítě. Zahraniční SIM karty jsou blokovány po dobu prvních 24 hodin po vstupu na území Ruska, přičemž tato lhůta se opětovně spouští pokaždé, když se uživatel přihlásí do nové sítě nebo přejede do jiného regionu. Tento krok fakticky znemožňuje turistům, novinářům i diplomatům využívat vlastní datové připojení a zvyšuje závislost na lokálních operátorech pod kontrolou státu.
Na konci měsíce ruské Ministerstvo vnitra (MVD) oznámilo zadržení skupiny mladých IT odborníků podezřelých z vývoje a šíření info-stealeru Meduza – malwaru, který byl nabízen prostřednictvím telegramového kanálu a umožňoval krádež přihlašovacích údajů, informací o kryptopeněženkách i dalších citlivých datech. Zvláštností tohoto případu je, že Meduza byla používána i proti cílům uvnitř Ruské federace, což z ní udělalo výjimečně „nežádoucí“ nástroj na domácí scéně. Zatčení pachatelů tak lze chápat jako signál, že ruské úřady jsou ochotny zasáhnout proti hackerům pouze tehdy, pokud jejich činnost ohrožuje vnitřní bezpečnost, nikoli když působí mimo území státu.
Na selektivní přístup ke kyberzločinu poukazuje i nová zpráva Recorded Future – Dark Covenant 3.0. Stát podle ní přechází od pasivní tolerance k aktivnímu řízení vybraných skupin, které fungují jako nástroj zahraniční politiky. Některé gangy byly po mezinárodní operaci Endgame demonstrativně rozpuštěny, jiné však zůstávají chráněny díky své „zpravodajské hodnotě“. Uniklé komunikace ukazují přímou koordinaci mezi lídry zločineckých struktur a státními složkami, zatímco samotné podzemí se kvůli obavám z infiltrace stále více decentralizuje.
Útoky na Rusko
Říjen 2025 přinesl výrazný nárůst kyberútoků na ruské instituce a podniky, které pocházely jak od státem podporovaných APT skupin, tak od nezávislých aktérů z postsovětského prostoru i Asie. Zatímco některé útoky měly průzkumný nebo špionážní charakter, jiné se zaměřovaly na narušení provozu klíčových systémů či sabotáž dodavatelských řetězců. Pozorovat lze také trend rostoucí diverzifikace útočníků – od regionálních skupin z Kazachstánu a Číny po západní kyberšpionážní operace s využitím komerčního spywaru.
Začátkem měsíce odhalila společnost BI.ZONE sérii cílených phishingových kampaní vedených kazašskou APT skupinou Cavalry Werewolf (známou také jako YoroTrooper, Tomiris či Silent Lynx). Útoky mezi květnem a srpnem 2025 zasáhly ruské státní instituce a průmyslové podniky, přičemž útočníci využívali kompromitované e-mailové účty a reálné adresy nalezené na webech státní správy. Šířili vlastní malware, včetně reverzního shellu FoalShell a trojanu StallionRAT, řízeného přes Telegram. Tato taktika „důvěryhodného vztahu“ měla zvýšit pravděpodobnost úspěchu útoků.
Další zásadní incident se týkal čínské APT skupiny Jewelbug (REF7707, Earth Alux), která poprvé rozšířila své aktivity i na ruské cíle. Skupina kompromitovala IT poskytovatele s přístupem k repozitářům a build systémům, čímž mohla spustit supply chain útoky na ruské zákazníky. K maskování činnosti využívala legitimní binární soubory, například přejmenovaný cdb.exe, a data exfiltrovala přes Yandex Cloud, aby se vyhnula detekci. Paralelně působila i na Tchaj-wanu a v Jižní Americe, což naznačuje její globální zaměření.
Na konci října došlo k rozsáhlému DDoS útoku na ruský úřad pro bezpečnost potravin (Rosselchoznadzor), který vyřadil systémy VetIS a Saturn zajišťující sledování zemědělských produktů a chemikálií. Nejvíce postižená byla platforma Mercury, klíčová pro vydávání veterinárních certifikátů, což vedlo ke zpoždění dodávek potravin a dětských výrobků. Přestože úřad popřel únik dat, incident odhalil slabou krizovou připravenost a stal se již čtvrtým útokem na tento systém během roku.
Výzkumníci Kaspersky mezitím potvrdili propojení spywaru Dante s APT skupinou ForumTroll, která operuje proti cílům ve východní Evropě – včetně Ruska, Běloruska a států Kavkazu. Spyware byl vyvinut bývalými členy italské společnosti Hacking Team, nyní působícími v Memento Labs, a šířen spear-phishingem i pomocí zero-click exploitů. Útoky mířily na novináře, diplomaty a obranné instituce, což naznačuje, že ForumTroll pravděpodobně pracuje ve prospěch některého ze západních států.
Měsíc uzavřela zpráva ruské bezpečnostní firmy F6, která zaznamenala novou vlnu útoků skupiny Cloud Atlas proti ruským a běloruským firmám z agro- a obranného sektoru. Útočníci rozesílali phishingové e-maily s přílohami maskovanými jako pozvánky na odborné konference. Použili vícestupňové infekce, vlastní downloadery a šifrovanou komunikaci pro sběr citlivých dat.
Politika západu
V říjnu 2025 se západní státy soustředily na posílení obranných kapacit v kyberprostoru a zároveň čelily důsledkům ztráty citlivých technologií na globálním trhu s digitálními zbraněmi. Zatímco Evropa rozšiřovala programy spolupráce a výcviku, ve Spojených státech otřásl odbornou komunitou případ nelegálního prodeje exploitů do Ruska, který ukázal, jak zranitelný je i samotný západní bezpečnostní ekosystém.
Na začátku měsíce spustily Estonsko a Ukrajina nový projekt financovaný Evropskou unií, jehož cílem je vyškolit více než 500 ukrajinských kybernetických specialistů v oblasti ochrany kritické infrastruktury. Výcvik, který probíhá v Kyjevě a Tallinnu pod vedením estonské e-Governance Academy, se zaměřuje na detekci a reakci na incidenty v reálném čase i na obranu proti pokročilým útokům. Program navazuje na estonské zkušenosti z oblasti digitální bezpečnosti a představuje další krok v evropské integraci ukrajinské kyberobrany.
V samotné Ukrajině mezitím pokračuje institucionalizace kybernetické obrany. Parlament – Verchovna rada – schválil v prvním čtení návrh zákona o zřízení samostatného velení kybernetických sil v rámci ozbrojených sil, které bude podřízeno přímo prezidentovi. Nové velení má sjednotit vojenské i civilní složky odpovědné za kyberprostor a posílit jejich kompatibilitu s standardy NATO. Vznik kybernetických sil bude v gesci Hlavního ředitelství radioelektronického a kybernetického boje, které zajistí i výcvik a koordinaci rezervních jednotek.
Západní kybernetickou komunitu znepokojil případ bývalého manažera společnosti L3Harris Petera Williamse, který se přiznal k prodeji osmi zero-day zranitelností určených výhradně pro americkou vládu ruskému brokerovi známému jako Operation Zero. Tato platforma nabízela ruským státním aktérům exploity pro systémy iOS a Android výměnou za milionové částky. Williams, který zneužil své postavení a obchodoval přes šifrované kanály, způsobil Spojeným státům škodu odhadovanou na 35 milionů dolarů. Případ je vnímán jako vážné ohrožení národní bezpečnosti USA a varovný signál před globalizací trhu s kyberzbraněmi, na kterém soupeří nejen státy, ale i jednotlivci s přístupem k technickým znalostem a zdrojům.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 7. 11. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
