Článek
Ruské kyberútoky
Konec léta přinesl hned několik významných odhalení ruských kybernetických operací, které ukazují, jak široké spektrum metod Moskva a její spojenci využívají – od sofistikované špionáže přes nové druhy ransomwaru až po zapojování mladistvých do zpravodajské činnosti.
Bezpečnostní tým Amazonu odhalil a narušil rozsáhlou watering hole kampaň skupiny APT29 (známé také jako Midnight Blizzard či Cozy Bear), která spadá pod ruskou zahraniční rozvědku SVR. Útočníci kompromitovali legitimní webové stránky a část návštěvníků přesměrovávali na podvodné domény imitující ověřovací portály Cloudflare. Cílem bylo vylákat autorizaci zařízení přes mechanismus Microsoft device code authentication.
Také skupina APT28 (Fancy Bear) rozšiřuje svůj arzenál. Bezpečnostní analytici z LAB52 popsali nový backdoor „NotDoor“ pro Microsoft Outlook, který se šíří prostřednictvím techniky DLL side-loading zneužívající legitimní binární soubor OneDrive.exe. NotDoor dokáže sledovat příchozí e-maily s konkrétními klíčovými slovy, například „Daily Report“, a umožňuje útočníkům krást data. Součástí útoku je i vypínání bezpečnostních opatření proti škodlivým makrům a manipulace s registry Windows k zajištění dlouhodobé přítomnosti v systému.
Kyberprostor však Rusko využívá i k čistě destruktivním operacím. Ransomware skupiny CyberVolk, která se dříve soustředila na DDoS útoky, je zaměřen na instituce v zemích považovaných za nepřátelské vůči Moskvě – mimo jiné ve Velké Británii, Francii či Japonsku. Malware používá dvojí šifrování pomocí AES-256 GCM a ChaCha20-Poly1305, přičemž díky absenci uloženého nonce je dešifrování prakticky nemožné. Oběti se tedy ke svým datům nedostanou ani pokud zaplatí výkupné.
Samotná Ukrajina čelí nadále mnoha cíleným kampaním. Společnost Silent Push popsala nasazení nového loaderu „CountLoader“, dostupného ve verzích pro .NET, PowerShell i JScript. Tento nástroj byl šířen prostřednictvím phishingových e-mailů s PDF dokumenty, které se tvářily jako oficiální sdělení ukrajinské policie. CountLoader podle analytiků nese výrazné stopy napojení na ruské ransomware gangy.
Dvě dlouhodobě známé skupiny napojené na ruskou FSB, Gamaredon a Turla, rozvíjejí aktivní spolupráci. Zatímco první působí z okupovaného Krymu a je znám masovým kompromitováním ukrajinských zařízení, Turla operující z Moskvy se soustředí na strategicky cenné cíle. ESET popsal případy, kdy Gamaredon nejen obnovoval, ale i aktivně nasazoval backdoor Kazuar patřící skupině Turla.
Kybernetická fronta se ale neomezuje jen na profesionální zpravodajské týmy. V Nizozemsku byli zatčeni dva sedmnáctiletí chlapci, kteří podle tamních úřadů vykonávali úkoly pro ruské tajné služby. Pomocí tzv. „wifi-snifferu“ mapovali sítě a pokoušeli se odposlouchávat komunikaci v okolí sídel Europolu, Eurojustu a kanadského velvyslanectví v Haagu. Podle vyšetřovatelů byli naverbováni přes Telegram a nyní jim hrozí až osm let vězení.
Ruské dezinformace a hacktivismus
Zářijové parlamentní volby v Moldavsku se staly hlavním bojištěm ruských vlivových operací. Moskva se snažila za každou cenu oslabit proevropský kurz prezidentky Maii Sandu a její strany PAS, a to kombinací dezinformačních kampaní, podpory proruských politických bloků, financování propagandistických struktur i kybernetických útoků.
Podle analýz Insikt Group i ISW Kreml navázal na loňské neúspěšné pokusy ovlivnit prezidentské volby a referendum o vstupu do EU. Aktivní byly sítě Operation Overload (známá též jako Matryoshka či Storm-1679), Operation Undercut, Foundation to Battle Injustice nebo mediální ekosystém Portal Kombat, které šířily narativy o údajné volební manipulaci či ekonomických hrozbách spojených s evropskou integrací. Ruská strategie se opírala o podporu proruských bloků vedených Igorem Dodonem či Ionem Cebanem, přičemž zakázaný Victory bloc oligarchy Ilana Shora dále organizoval protesty. Moskva využívala i finanční toky přes ruské banky a kryptoplatformy a udržovala v záloze proruskou Our Party Renata Usatîiho.
Na vnitřní destabilizaci pracovala i síť placených aktivistů, odhalená investigací DFRLab, BBC a moldavského deníku Ziarul de Gardă. Takzvaní „InfoLeaders“ byli rekrutováni od podzimu 2024, dostávali přesné instrukce i finanční odměny a produkovali masově obsah na TikToku, Facebooku a Instagramu. Vyšetřovatelé identifikovali více než 250 falešných účtů, které vytvořily přes 28 tisíc příspěvků s desítkami milionů zhlédnutí – primárně zaměřených na diskreditaci Sandu a podporu Shora.
Moldavská policie zároveň rozkryla schéma praní peněz, které financovalo proruskou propagandu. Razie se zaměřila na firmu Trust Media, napojenou na Shorovu zločineckou síť, která zajišťovala distribuci dezinformačního obsahu.
Krátce před samotnými volbami Moldavsko čelilo masivnímu kybernetickému útoku, který vyřadil až čtyři tisíce vládních a veřejných webů. Podle premiéra Dorina Receana šlo o součást hybridní války, vedené přímo z území Ruské federace. Útočníci použili DDoS útoky i pokusy o prolomení databází e-Governmentu, nicméně moldavské obranné složky nápor odrazily.
Výsledky voleb přinesly jasnou porážku proruských sil – PAS získala 50,2 % hlasů, zatímco proruský blok jen 24,2 %. Reakcí Kremlu bylo spuštění dezinformační kampaně o údajném volebním podvodu. Šířila se videa o falšování hlasů v zahraničí či pálení lístků, ve skutečnosti však šlo o starší záběry z jiných zemí nebo inscenace známé operace Storm-1516. Organizace pro bezpečnost a spolupráci v Evropě (OBSE) přitom potvrdila, že volby proběhly hladce a bez závažných nepravidelností. Prezidentka Sandu v projevu zdůraznila, že „Rusko selhalo“.
Moldavsko ovšem není jediným cílem. Insikt Group upozornila, že operátoři sítě CopyCop (Storm-1516) od března 2025 zřídili nejméně 200 nových falešných zpravodajských webů zaměřených na USA, Francii a Kanadu, čímž celkový počet provozovaných domén přesáhl 300. Tyto weby publikují AI-generovaný obsah, deepfake videa a falešné zprávy s cílem diskreditovat prozápadní aktéry. CopyCop využívá masové registrace domén, zrcadlení subdomén, maskování hostingu přes Cloudflare i self-hosted jazykové modely založené na Llama-3, přičemž šíření obsahu je zajištěno rozsáhlou sítí falešných účtů na sociálních sítích.
Ruská opatření
Ruské Ministerstvo pro digitální rozvoj na začátku září zveřejnilo seznam domácích aplikací, které mají fungovat i během častých výpadků mobilního internetu. Ty Kreml zavádí zejména při obraně proti ukrajinským dronovým útokům, což v posledních měsících způsobuje běžným uživatelům značné komplikace.
Na seznamu se objevily především státní či státem podporované služby – vládní portály, online tržiště, platební systém Mir nebo messenger MAX. Naproti tomu zahraniční platformy, jako WhatsApp či YouTube, mezi „chráněnými“ aplikacemi chybí. Úřady tvrdí, že speciální technické řešení umožní vybraným službám obcházet blokace a má tak zmírnit dopad výpadků na obyvatele.
Opatření zapadá do dlouhodobého kurzu Kremlu: posílit kontrolu nad domácím internetovým prostorem, vytlačovat zahraniční služby a zároveň prosazovat ruské alternativy, které umožňují dohled nad obyvatelstvem.
Útoky na Rusko
Září ukázalo, že kyberprostor zůstává pro Moskvu slabým místem, a to jak kvůli cíleným operacím ukrajinské rozvědky, tak aktivitám různorodých hacktivistických skupin.
Podle nové analýzy Kaspersky Lab proti Rusku od roku 2022 operují tři hlavní klastry útočníků. První tvoří směs hacktivistických a finančně motivovaných skupin, jako jsou Twelve, BlackJack či Crypt Ghouls. Druhý zahrnuje APT aktéry se specifickými taktikami, například Awaken Likho nebo XDSpy. Třetí klastr pak tvoří nezávislé hacktivistické entity bez úzkého propojení s ostatními. Společným jmenovatelem je však využívání sdílené infrastruktury a nástrojů, což umožňuje kyberšpionáž, finanční krádeže i destruktivní útoky. Studie podtrhuje, že útočníci proti Rusku se stále více profesionalizují a systematicky koordinují.
Výraznou roli v těchto operacích hraje ukrajinská vojenská rozvědka HUR. Její specialisté 14. září během tzv. „jednotného dne hlasování“ paralyzovali servery ruské Ústřední volební komise (CIK). Cílem DDoS útoku bylo především zablokovat online hlasování, které Moskva pořádala i na okupovaných územích Ukrajiny. Předsedkyně CIK Ella Pamfilovová sice potvrdila nedostupnost webu, avšak popřela jakýkoli dopad na průběh samotného hlasování.
Jen o týden později HUR oznámila další zásah – tentokrát proti ruskému systému rychlých plateb (SBP). Rozsáhlý DDoS útok podle Ukrajinců paralyzoval digitální transakce v několika regionech a zasáhl i poskytovatele TransTeleCom, což vyústilo ve výpadky internetu a interaktivní televize pro statisíce uživatelů. Obyvatelé údajně nemohli platit za dopravu či pohonné hmoty, přičemž škody HUR předběžně odhaduje až na 30 milionů dolarů. Moskva se k incidentu dosud nevyjádřila a rozsah útoku zatím nebyl nezávisle potvrzen.
Kyberútoky zasahují i ruský dopravní sektor. Regionální aerolinka KrasAvia v polovině září oznámila výpadek svých digitálních služeb – webu, online prodeje letenek i odbavovacího systému. Přestože lety pokračovaly podle plánu, incident se nápadně podobal červencovému útoku na Aeroflot, za kterým stáli pro-ukrajinští hackeři Silent Crow a běloruští Cyber Partisans. Na Telegramu se objevily snímky údajného defacementu webu KrasAvia s logy Silent Crow, jejich autenticita však nebyla potvrzena.
Politika západu
Západní země v září pokračovaly v tlaku na ruské kybernetické a dezinformační struktury, zároveň se však objevily i signály oslabující společný postup.
Spojené státy vyhlásily odměnu až 10 milionů dolarů za informace vedoucí k dopadení tří důstojníků ruské Federální bezpečnostní služby (FSB) – Marata Tjukova, Michaila Gavrilova a Pavla Akulova. Všichni jsou součástí nechvalně známého Centra 16, označovaného také jako Berserk Bear nebo Blue Kraken, které stojí za řadou útoků na americkou kritickou infrastrukturu.
Evropští vyšetřovatelé se zaměřili na proruské hacktivistické sítě v EU. Europol zařadil mezi nejhledanější osoby Španěla Enrique Ariase Gila, obviněného z vedení španělské buňky skupiny NoName057. Tato síť provedla stovky DDoS útoků na evropské instituce i společnosti. Arias Gil čelí obvinění z kyberterorismu a členství v zločinecké organizaci, přičemž podle vyšetřovatelů se nyní skrývá v Rusku.
Zásadní změnu ale přinesla politika Washingtonu. Administrativa Donalda Trumpa vypověděla memorandum o porozumění z roku 2024, které sjednocovalo USA a evropské státy v boji proti dezinformačním kampaním Ruska, Číny a Íránu. Dohodu spravovalo americké ministerstvo zahraničí prostřednictvím Global Engagement Centre, jež se dlouhodobě specializovalo na monitoring extremistické a státní propagandy. Kritici krok označili za „jednostranné odzbrojení“ v informační válce, zvlášť v době, kdy se umělá inteligence stále častěji využívá k manipulaci veřejného mínění.
V Rumunsku bylo od začátku roku vydáno přes 400 příkazů k odstranění obsahu, který se týkal proruských dezinformačních kampaní – v součtu šlo o tisíce videí a příspěvků, především na TikToku. Zatímco většina platforem reagovala, sociální síť X podle rumunského regulátora odmítá s úřady spolupracovat.
Ani evropské sankce proti infrastruktuře podporující ruské kyberútoky zatím nepřinášejí očekávané výsledky. Investigace KrebsOnSecurity odhalila, že poskytovatel tzv. bulletproof hostingu Stark Industries Solutions Ltd., sankcionovaný v květnu 2025, se sankcím vyhnul prostým přejmenováním a přesunem aktiv do nových právních entit. Rebrand na „the[.]hosting“ pod nizozemskou firmou WorkTitans BV a vznik moldavské odnože PQ Hosting Plus S.R.L. umožnily pokračování provozu. Zásadní roli hraje i MIRhosting vedený Andrejem Nesterenkem, jehož infrastruktura slouží jako jádro celé sítě. Podle analytiků Recorded Future zůstávají služby Stark Industries prakticky beze změn, což ukazuje na neúčinnost sankcí.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 1. 10. 2025, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
