Článek
Ruské kyberútoky
Ruské aktivity v kyberprostoru v srpnu 2025 znovu ukázaly, jak široké spektrum cílů a technik Moskva využívá – od útoků přímo proti ukrajinskému obrannému sektoru přes špionáž v postsovětském prostoru až po zasahování do amerických institucí. CERT-UA například odhalil novou kampaň vedenou skupinou UAC-0099, která se zaměřila na státní instituce a podniky vojensko-průmyslového komplexu Ukrajiny. Útočníci spoléhají na phishingové e-maily, které oběť navedou ke stažení škodlivého HTA souboru s obfuskovaným VBScriptem. Ten následně spouští PowerShell kód aktivující loader MATCHBOIL, schopný stahovat další malware a udržovat dlouhodobou přítomnost v systému. Komunikace s řídicími servery probíhá přes HTTP, což znesnadňuje odhalení útoku.
Do popředí se vrátil i jeden z největších ransomwarových incidentů poslední dekády – útok na firmu Kaseya z roku 2021. Tehdy skupina REvil zneužila zero-day zranitelnost v softwaru Kaseya VSA a prostřednictvím kompromitovaných poskytovatelů správy IT zasáhla přes tisíc firem po celém světě. Nové svědectví odsouzeného člena gangu Jaroslava Vasinského však přináší zásadní obrat: podle něj byl celý útok od počátku plánován a řízen ruskými úřady, které nejen vybraly cíl, ale také instruovaly hackery, jak zranitelnost využít. Vasinskyi tvrdí, že k účasti byl donucen pod hrozbou represí a že skutečným cílem nebyl finanční zisk, ale narušení kritické infrastruktury na Západě.
V USA zasáhl útok také americký federální soudní systém PACER a CM/ECF, používaný pro správu soudních dokumentů. Podle vyšetřovatelů byl útok veden od roku 2020 a vedl ke kompromitaci identit důvěrných informátorů i k manipulaci s několika soudními spisy. Ačkoli nejvíce chránění svědci ohroženi nebyli, incident ukázal závažnou zranitelnost zastaralé infrastruktury, kterou Washington nyní označuje za prioritu k nahrazení. Vyšetřování zároveň přineslo silné indicie o zapojení ruských skupin.
Moskva však pozornost směřuje i do sousedních států. Bezpečnostní experti identifikovali novou skupinu Curly COMrades, která cílí na soudní orgány v Gruzii a energetické společnosti v Moldavsku. Jejich strategie spočívá v dlouhodobém udržení přístupu do sítí pomocí proxy serverů, tunelování přes SSH a nasazení modulárního backdooru MucorAgent. Data exfiltrují tak, že jejich provoz splývá s běžným provozem legitimních webů, čímž výrazně ztěžují detekci i atribuci útoků.
Další skupina, známá jako Static Tundra a napojená podle analytiků z Cisco Talos na ruskou FSB, využívá dokonce i sedm let starou zranitelnost v Cisco IOS Smart Install (CVE-2018-0171). Přestože byla dávno opravena, mnoho zařízení zůstává neaktualizovaných a útočníci toho využívají k dlouhodobé špionáži. Do kompromitovaných zařízení nasazují implantát SYNful Knock a nástroje pro SNMP, které jim umožňují udržet přístup celé roky. Cílem jejich útoků jsou telekomunikace, univerzity a výrobní podniky, a to nejen v Ukrajině, ale i v členských státech NATO.
Ruské dezinformace a hacktivismus
Srpen 2025 potvrdil, že ruské informační operace a kybernetické útoky zůstávají zásadní součástí širší strategie Kremlu. Hodně pozornosti vzbudila kampaň aktéra Matryoshka, která si tentokrát vzala na mušku organizaci NewsGuard sledující dezinformace. Prostřednictvím generativní AI vznikla falešná videa napodobující zprávy NewsGuard, která obsahovala smyšlená obvinění z korupce či manipulací voleb, například v Moldavsku. Tento útok navázal na sérii předchozích akcí zaměřených na FBI, Microsoft nebo BBC a využil platformy X a Bluesky, kde byla reakce na falešný obsah ale velmi omezená.
Zvláštní důraz ruské informační operace kladly také na volby v regionu. Zpráva o vměšování do polských prezidentských voleb v roce 2025 ukázala, že klíčovou roli hrály operace Doppelganger a Pravda Network, podporované běloruskými státními médii. Tyto kampaně šířily protiukrajinské a protievropské narativy, využívaly skrytou reklamu a manipulace na sociálních sítích. Ačkoliv přímé kybernetické útoky byly efektivně odraženy, ukázalo se, že transparentnost a vymáhání pravidel reklamních platforem stále představují slabinu.
Podobný scénář se odehrál i v Moldavsku a Rumunsku, kde se síť více než 200 falešných účtů na Facebooku, Instagramu a TikToku snažila poškodit prezidentku Maie Sandu. Kampaň využívala generativní AI k automatizaci obsahu a tvorbě falešných identit a soustavně prosazovala anti-EU a anti-PAS narativy. Za několik měsíců dokázala dosáhnout mimořádného dosahu – přes 16 milionů zhlédnutí a téměř 700 tisíc lajků.
Vedle těchto dezinformačních aktivit pokračovala i vlna ruského hacktivismu. Podle společnosti NETSCOUT bylo v červenci 2025 zaznamenáno více než 20 tisíc DDoS útoků po celém světě, přičemž významnou část z nich provedl kolektiv NoName057(16). Ten si připsal přes dvě stovky útoků na vládní instituce, dopravu a finanční sektor. Útočníci nasazovali sofistikované metody včetně TCP SYN floods, HTTP/2 POST floods či kombinovaných vícemodulových útoků. Ani mezinárodní zásahy proti jejich infrastruktuře jejich aktivitu zásadně neomezily.
Ruská opatření
V srpnu 2025 se v Rusku naplno rozběhla snaha nahradit zahraniční digitální služby domácími alternativami a upevnit kontrolu státu nad komunikační infrastrukturou. Největší pozornost přitahuje aplikace Max, kterou Kreml prosazuje jako náhradu za západní messengery. Už od 1. září má být povinně předinstalovaná na všech telefonech a tabletech prodávaných v Rusku. Analýzy ale ukazují, že Max je ve skutečnosti navržena k rozsáhlému sledování – neobsahuje funkční šifrování, umožňuje trvalý přístup k poloze uživatele a má oprávnění k mikrofonu i kameře. Rozšiřování Max je doprovázeno souborem represivních opatření vůči zahraničním službám. Roskomnadzor oznámil omezení hlasových hovorů v aplikacích WhatsApp a Telegram, údajně kvůli jejich zneužívání k podvodům či terorismu. S výpadky způsobenými blokací se začali potýkat i uživatelé služby Google Meet. Současně čtyři největší ruští operátoři přišli s vlastním návrhem blokace hovorů přes zahraniční aplikace, který má podle nich přesměrovat uživatele zpět ke klasickému telefonování a zvýšit příjmy telekomunikací. Obě opatření posilují tlak na přechod k Max. Kreml sám ukázal, že bere nový nástroj vážně, když nařídil státním činitelům, aby přesunuli své oficiální kanály z Telegramu právě na Max. Týká se to nejen poslanců a vládních institucí, ale i řadových státních zaměstnanců. Tisková služba Dumy už oznámila, že svá vyjádření bude nově zveřejňovat výhradně prostřednictvím této platformy.
Celkový trend ukazuje na posilování státní kontroly nejen nad komunikací, ale i nad digitální ekonomikou. Ministerstvo digitálního rozvoje plánuje od roku 2027 zakázat velkým podnikům využívat zahraniční cloudové služby a software pro práci s osobními daty. Do roku 2030 by tak 80 % klíčových organizací mělo přejít na ruská řešení. Už nyní ale odchod zahraničních firem z trhu způsobil prudký růst cen softwaru, někdy až devítinásobný, což přimělo úřad FAS navrhnout zpřísnění pravidel proti monopolnímu chování.
Digitální opatření se promítají i do telekomunikací a bezpečnosti. Rusko zpřísňuje pravidla pro poskytovatele satelitních 5G sítí, kteří budou muset provozovat domácí přepojovací stanice vybavené sledovacími systémy SORM. Cílem je zabránit obcházení státní kontroly pomocí zahraničních technologií, například satelitů Starlink.
Ruská opatření začínají mít zjevný nádech rasismu zaměřeného zejména proti přistěhovalcům z Kavkazu a střední Asie. V Petrohradě začaly fungovat nové kamery v rámci projektu „Bezpečné město“, schopné rozeznávat až šest různých národností a předávat data bezpečnostním složkám.
Ruský kyberprůmysl dokáže ze zpřísněných podmínek těžit. Podle studie CNA tři hlavní domácí firmy – Kaspersky, Security Code a Positive Technologies – nejen zajišťují obranu infrastruktury, ale i vyvíjejí útočné nástroje pro FSB a GRU. Navzdory sankcím a ztrátě západních trhů hlásí rekordní zisky díky rostoucí poptávce v Rusku a expanzi na trzích v Asii, Africe a Latinské Americe.
Útoky na Rusko
Srpen 2025 přinesl sérii výrazných úderů proti ruským institucím a firmám, na nichž se podílely především ukrajinské a prorozvědné hacktivistické skupiny. V rámci operace OpsHackRussia’sDay, kterou zorganizovala komunita InformNapalm spolu se skupinou Militant Intelligence (INTMIL), hackeři pronikli do interních komunikací ruských podniků spojených s vojensko-průmyslovým komplexem a odhalili, jak Moskva prostřednictvím zahraničních společností obchází evropské sankce. Podle zveřejněných dokumentů hraje klíčovou roli Maďarsko, jehož firmy a úřady měly ruským výrobcům zbraní poskytovat přístup k zakázaným komponentům i zboží ze států NATO.
Vedle toho pokračovaly cílené útoky kyberšpionážní skupiny Paper Werewolf (Goffee), která využívá zranitelnosti v populárním kompresním nástroji WinRAR. Útočníci šířili phishingové e-maily, maskované jako oficiální dokumenty, obsahující heslem chráněné archivy se škodlivým kódem. Ten dokázal infikovat počítače už při rozbalování souboru. Skupina využila jak známou zranitelnost CVE-2025-6218 ve verzích do 7.11, tak i dosud neopravenou zero-day chybu ve verzi 7.12. Mezi oběťmi byl i ruský výrobce „speciálního vybavení“, kde se útočníkům podařilo kompromitovat e-mailovou adresu a zasílat falešné zprávy zaměstnancům. Paradoxně stejnou chybu začali podle výzkumníků později využívat i ruští státní aktéři, konkrétně skupina RomCom (Storm-0978, UAT-5647).
Na seznamu cílů se ocitl také ruský finanční sektor. Pro-ukrajinská hackerská skupina Cyber Anarchy Squad se přihlásila k útoku na investiční a analytickou platformu Investment Projects, provozovanou společností PKR Group. Útok vyřadil platformu z provozu, narušil část její infrastruktury a vedl k úniku interních databází a dokumentů zaměstnanců. Útočníci zveřejnili ukradené materiály s cílem poškodit reputaci služby, kterou využívají klíčové ruské firmy – mimo jiné Norilsk Nickel, Rusagro, Konar či S7 Airlines.
Politika západu
Západní státy pokračovaly v srpnu 2025 ve zpřísňování tlaku na Rusko i jeho spojence. Velká Británie oznámila nové sankce zaměřené na finanční infrastrukturu v Kyrgyzstánu, která podle Londýna napomáhá Moskvě obcházet mezinárodní restrikce a financovat válku na Ukrajině. Na sankčním seznamu se ocitla například společnost Old Vector, která vydala stablecoin A7A5 s obratem přes 51 miliard dolarů, či Capital Bank spolu s jejím ředitelem Kantemirem Chalbajevem. Britské úřady uvedly, že právě tato banka se podílela na zajišťování vojenského materiálu pro Rusko. Postihy se dotkly také lucemburské Altair Holding, která převzala dříve sankcionovanou kyrgyzskou Keremet Bank, a řady osob napojených na praní peněz a ruské špionážní sítě.
V USA vzbudila pozornost zpráva, podle které má ruský vývojář z firmy Yandex, Denis Malinochkin, plnou kontrolu nad open-source knihovnou fast-glob, používanou ve více než 5 000 projektech amerického ministerstva obrany. Tento nástroj pro vyhledávání souborů je součástí třicítky populárních softwarových balíčků a týdně se stahuje více než 70 milionkrát. Ačkoliv dosud nebyly nalezeny žádné známky škodlivých úprav, fakt, že jediný zaměstnanec ruské firmy spravuje komponentu využívanou v kritických systémech Pentagonu, vyvolává vážné obavy o bezpečnost a možnost nátlaku ze strany ruských bezpečnostních služeb.
Evropa se mezitím vrátila k incidentu z počátku ruské invaze. Německá prokuratura vznesla obvinění proti třicetiletému Němci, který se podle vyšetřovatelů podílel na útoku proti Rosneft Deutschland GmbH v březnu 2022. Hackeři tehdy odcizili zhruba 20 terabajtů dat a způsobili škody za 13 milionů eur. Útok ochromil interní komunikaci společnosti i logistiku dodávek paliva v regionu Berlín-Brandenburg na několik dní. Podle žaloby byl obviněný napojen na síť Anonymous, která ukradená data následně zveřejnila.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 2. 9. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.