Ruská kyberválka eskaluje z Ukrajiny. Vyšetřování odhalilo ruskou odpovědnost za loňský útok na Jaguar Land Rover (JLR), který způsobil škodu 2,5 mld. USD a představuje přelomovou ekonomickou sabotáž vůči západním státům.
Digitální bojiště na Ukrajině i nadále zažívá intenzivní ofenzivu ruských státem řízených skupin, které kombinují kybernetickou špionáž s ekonomickou sabotáží. K nejaktivnějším hrozbám patří skupina Gamaredon (ACTINUM, Armageddon, UAC-0010 či BlueAlpha), řízená přímo ruskou tajnou službou FSB. Ta napadá ukrajinskou vládní, vojenskou i kritickou infrastrukturu pomocí phishingových e-mailů, které zneužívají systémovou zranitelnost CVE-2025-8088 a platformy jako Telegram či Cloudflare. K průniku slouží nástroj GammaPhish, na nějž navazuje červ GammaWorm, který se samostatně šíří přes síťové disky a USB flash disky. Na vládní a vojenské cíle se soustředí také známá skupina Turla (SUMMIT, Secret Blizzard, VENOMOUS BEAR či UAC-0194). Její špionážní modulární backdoor STOCKSTAY zneužívá trhliny ve vzdáleném přístupu (RDP) nebo programu WinRAR a maskuje se za běžné kalkulačky či čtečky PDF. Škodlivý kód komunikuje šifrovaně a sdílí techniky se starším malwarem KAZUAR. Nově se objevila také skupina GhostShell (MB-0009), která útočí na ukrajinské operátory dronů; vydává se za výrobce bezpilotních letounů Besomar a podvrženými dokumenty šíří nebezpečný zavaděč stahující finální malware. Proruská skupina IT Army of Russia napadla ukrajinskou poštu Ukrposhta, vyřadila z provozu její mobilní aplikaci a stáhla uživatelskou databázi. Ruští aktéři nadále využívají digitální platformy k verbování postradatelných agentů pro fyzické útoky. Podle zjištění ukrajinské policie ruské tajné služby verbují přes Telegram mladé ženy, aby na seznamkách lákaly ukrajinské vojáky na schůzky a otrávily je methadonem s cílem fyzické likvidace či krádeže dat z mobilů, přičemž od začátku roku 2026 došlo už k šesti takovým případům.
Ruské operace však tvrdě zasahují i západní země a infrastrukturu zemí NATO. Vyšetřování srpnového útoku na britskou automobilku Jaguar Land Rover odhalilo, že za masivním výpadkem stála ruská státem podporovaná skupina, ačkoliv se k činu původně hlásil kriminální gang Scattered Lapsus$ Hunters. Hackeři pronikli do sítě přes starší software od jordánského překupníka a nasadili složitý ransomware, který zastavil výrobu a způsobil britské ekonomice rekordní škodu 2,5 miliardy dolarů bez jakéhokoli požadavku na výkupné. Příkladem globální hrozby je i kampaň FortiBleed ruskojazyčných útočníků, kteří skenováním a testováním uniklých hesel kompromitovali přes 86 000 přihlašovacích údajů k firewallům Fortinet FortiGate ve 194 zemích. Podobně agresivně působí armádní skupina APT28 (Fancy Bear, Forest Blizzard či jednotka GRU 26165), jež napadá zranitelné síťové routery k přesměrování provozu a krádežím přihlašovacích údajů, zatímco paralelně vede phishingové útoky přes podvodné QR kódy na platformách Signal, WhatsApp či Microsoft 365. Touto metodou ruští hackeři metodou cíleného phishingu a vydáváním se za známou osobu úspěšně pronikli do účtu amerického kongresmana a předsedy kybernetického podvýboru Dona Bacona v aplikaci Signal. V Polsku zase běloruská skupina UNC1151 (Ghostwriter) rozesílala politikům a novinářům falešná bezpečnostní varování od Googlu, pomocí nichž na falešných portálech služby Netlify zachycovala přihlašovací hesla i ověřovací kódy.
Ruský vlivový aparát stále více spoléhá na úzkou spolupráci státních tajných služeb s hacktivisty. Podle zprávy Google Threat Intelligence Group opouští tento ekosystém výhradní zaměření na Ukrajinu a šíří svůj vliv do států NATO i na domácí ruské publikum. Útočníci nejčastěji přebírají vizuální identitu zavedených médií nebo zakládají falešné zpravodajské weby, přičemž v rámci těchto psychologických operací nešíří žádný škodlivý software.
Ukázkou obcházení mezinárodních sankcí je nově odhalená síť, kterou ruská televize Russia Today (RT) řídí ze Spojených arabských emirátů. Vytvořila zde zdánlivě nezávislou agenturu Viory, jež používá ruskou technickou infrastrukturu a masivně dodává proruská videozpravodajství mediálním domům v zemích globálního Jihu.
Cílem propagandistických kampaní je také narušování demokratických voleb v Evropě. Proruští aktéři Pravda Network, Big News Network a skupina Storm 1519 se před bulharskými volbami pokusili podkopat důvěru voličů masivním šířením falešných zpráv o údajném vměšování Evropské unie za pomoci zrcadlových webů televize RT. Podobný scénář zasáhl Arménii, kde skupiny Overload, Pravda (Portal Kombat) a Storm-1516 šířily obsah generovaný umělou inteligencí na sítích TikTok, Telegram a X proti premiérovi Nikolu Pašinjanovi, k čemuž využily sedmnáct podvodných domén.
Moskva paralelně s útoky v zahraničí drasticky posiluje cenzuru a kontrolu nad domácím internetem. Ruští operátoři Beeline a T2 aktuálně jednají s úřady o povolení takzvaných „legálních“ VPN služeb podřízených státní cenzuře, protože stávající blokování šifrovaných protokolů úřadem Roskomnadzor způsobuje nechtěné výpadky běžných sítí. Kontrolu upevňuje i nová novela schválená Státní dumou z dílny poslanců Gorelkina a Lugovojho. Ta zavádí pokuty až 700 tisíc rublů pro weby a aplikace, které umožní přihlášení přes zahraniční služby, a vyžaduje ověřování identity výhradně přes ruská telefonní čísla, státní portál Gosuslugi či biometrický systém.
Přísný státní dohled se rozšiřuje rovněž do mobilních komunikací. Úřady plánují regulaci M2M (machine-to-machine) SIM karet a eSIM, jež zahrnuje povinnou identifikaci uživatelů a zákaz přenosu hlasu či SMS. Ministerstvo digitálního rozvoje navíc připravilo novou databázi kódů IMEI, která umožní sledovat přímo konkrétní fyzické telefony a okamžitě odpojovat zařízení do jedné hodiny od aktivace. Ruské úřady proužívají k prolomení soukromí všemožné metody.kk neoprávněnému průniku do zabaveného iPhonu 12 opozičního aktivisty Andreje Pivovarova prokazatelně použily izraelské forenzní sady UFED od společnosti Cellebrite, přestože výrobce s ruskou vládou již dříve zrušil smlouvu.
Paranoická atmosféra z možného západního sledování se projevila v okolí ruského prezidenta. Bezpečnostní složky dočasně odpojily část kamerového systému chránícího Vladimira Putina kvůli obavám z americko-izraelského kyberútoku. Reagovaly tak na zprávy, že západní tajné služby zneužily zadní vrátka a umělou inteligenci v teheránských kamerách k úspěšnému sledování a likvidaci íránských představitelů; ruské kamery byly znovu zapojeny až po hloubkové kontrole a pokusu o jejich úplnou izolaci od internetu.
Zatímco Rusko buduje digitální hradby, samo čelí odvetným úderům a monitoringu. Bývalý generálmajor tajné služby FSB Alexander Perelygin otevřeně varoval před špionáží západních rozvědek, které podle něj systematicky využívají přístup k datům globálních technologických firem ke skrytému odposlouchávání mobilních telefonů na ruském území.
Pod stálým tlakem je především ruská armáda, na kterou cílí špionážní skupina SiribClone. Útočníci se na sociálních sítích vydávají za ženy či dobrovolníky a lákají vojáky na podvodné stránky k odcizení přístupů na Telegramu. Pro mobily s Androidem využívají spyware SafeLoveStealer ukrytý ve falešných fotografických aplikacích, zatímco počítače napadají malwarem SiribGrabber v dokumentech s vojenskou tematikou, který krade soubory přes nástroj rclone.
Úspěšné kyberútoky zasahují i klíčové dodavatele státní správy. Ruská softwarová společnost Kaluga Astral, zajišťující IT služby vládním úřadům a bankám, čelila rozsáhlému útoku neznámých hackerů, který na celý týden vyřadil z provozu systémy pro daňové výkaznictví a správu dokumentů.
Západní spojenci reagují na ruskou agresi technologickou izolací a koordinovanými zásahy proti infrastruktuře kyberzločinců. Společnost Apple odstranila z App Store ruskou státní komunikační aplikaci Max, což zasáhlo asi 20 milionů uživatelů a zablokovalo notifikace zpráv. Krátce nato Apple stáhl i populární sociální sítě VKontakte a Odnoklassniki v návaznosti na sankce uvalené na generálního ředitele firmy VK Vladimira Kirijenka. Japonská certifikační autorita GlobalSign zase v souladu se sankcemi zrušila bezpečnostní SSL/TLS certifikáty pro 15 až 20 tisíc ruských webů a bank, které nyní zahraniční prohlížeče plošně blokují jako nezabezpečené.
Spojené státy zároveň zintenzivňují právní kroky proti konkrétním aktérům. Americké úřady obvinily Rusa Denise Obrezka z podpory špionážní kampaně skupiny Void Blizzard (LAUNDRY BEAR, UAC-0190), jež pomocí kryptoměn a serverů napadala sítě firem v USA, NATO i na Ukrajině. Vládní program Rewards for Justice vypsal odměnu až 10 milionů dolarů za informace o členech ruských vojenských skupin UNC5792 a UNC4221, kteří manipulací kradli přístupové klíče k platformám Signal a WhatsApp vládním představitelům a novinářům.
Západ slaví úspěchy také na poli mezinárodní justice. Obří policejní operace Endgame pod vedením Europolu a Eurojustu rozbila síť šířící malwary SocGholish, Amadey a StealC napojenou na skupinu Evil Corp. Zásah po celém světě odstavil 326 serverů, zablokoval 142 domén a zabavil kryptoměny za 41 milionů eur. Ukrajinské úřady navíc poprvé v historii převedly státní agentuře ARMA zabavená kryptoaktiva v hodnotě 8,3 milionu USDT od člena hackerské skupiny, která západním firmám způsobila škody přes sto milionů dolarů. Rada Evropské unie schválila přijetí Ukrajiny do unijní kybernetické rezervy, což zemi zajistí preventivní obranu a expertní podporu pod dohledem agentury ENISA.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 6. 7. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.