Kyberválka se v dubnu opět dotkla i Česka, když se zdejší vojenské zpravodajství podílelo na likvidaci sítě kompromitovaných domácích routerů využívaných Ruskem ke kyberšpionáži.
V dubnu 2026 se ruské kybernetické operace vyznačovaly návratem k dříve kompromitovaným cílům a zneužíváním globální síťové infrastruktury. Ukrajinský tým CERT-UA varoval, že státní aktéři jako APT28 (známý také jako Fancy Bear či Forest Blizzard) a Void Blizzard znovu infiltrují dříve napadenou infrastrukturu vládních institucí a obranného sektoru za účelem dlouhodobé špionáže. K opětovnému získání přístupu útočníci využívají neošetřené zranitelnosti a dříve odcizené přihlašovací údaje, přičemž k budování důvěry nasazují pokročilé sociální inženýrství prostřednictvím telefonátů a videochatů v ukrajinštině.
Skupina APT28 rozšířila své operace i na globální úrovni, když od srpna 2025 kompromitovala tisíce SOHO routerů v domácnostech a malých kancelářích po celém světě. Tato kampaň, vedená podskupinou Storm-2754, zneužívá zranitelná zařízení k neoprávněné změně konfigurace DNS, což útočníkům umožňuje přesměrovat síťový provoz více než 200 organizací na servery pod jejich kontrolou. Cílem těchto útoků typu Adversary-in-the-Middle (AiTM) je zachycování přihlašovacích údajů a e-mailové komunikace v rámci služeb Microsoft Outlook. Stejná skupina spustila rozsáhlou kampaň s novým modulárním malwarem PRISMEX, který využívá pokročilou steganografii (ukrývání dat v obrázcích) k ovládnutí systémů prostřednictvím implantátů Covenant Grunt. Tato operace zneužívá kombinaci zero-day zranitelnosti v MSHTML (CVE-2026-21513) a chyby v Microsoft Office (CVE-2026-21509) k infiltraci kritické infrastruktury a je často doprovázena pokusy o sabotáže pomocí wiperů.
Ruská vojenská rozvědka GRU se v polovině dubna zaměřila na ukrajinské vyšetřovatele a prokurátory odpovědné za dokumentaci válečných zločinů, přičemž úspěšně kompromitovala více než 170 e-mailových účtů skrze zranitelnost v e-mailovém klientu Roundcube. Navzdory těmto úspěchům se skupina Fancy Bear dopustila fatální chyby v operační bezpečnosti, když ponechala veřejně přístupný svůj řídicí server. Analýza odhalila tisíce exfiltrovaných e-mailů z vládních a vojenských institucí Ukrajiny i států NATO, které útočníci sbírali více než 500 dní pomocí automatizovaného vykrádání schránek v emailových službách Roundcube a SquirrelMail.
Kromě útoků na státní sektor se Rusko zaměřilo i na humanitární cíle. Skupina UAC-0244 infiltrovala ukrajinská zdravotnická zařízení a orgány samosprávy pomocí phishingových e-mailů s nabídkou pomoci, které instalovaly software AGINGFLY a skripty SILENTLOOP pro sledování stisků kláves a krádež dat z aplikací jako WhatsApp. V zahraničí pak skupina APT29 (Cozy Bear) nasadila vysoce sofistikovaný implantát EasterBunny proti španělským vládním institucím. Tento malware je unikátní svou striktní vazbou na hardware oběti, kdy díky identifikátorům BIOSu funguje výhradně na konkrétním infikovaném stroji. Útoičníci tak omezují možnost odhalení a nalýzy malwaru.
V Moldavsku útok na zdravotní pojišťovnu CNAM kompromitoval osobní a finanční data milionů občanů, což zasáhlo přibližně 30 % vnitřních záznamů agentury. Ruský původ útoku nebyl potvrzen, ale zůstává nejpravděpodobnější vyšetřovací variantou.
Širší geopolitické ohrožení potvrdila zpráva nizozemské MIVD, která upozornila na koordinované mapování podmořských kabelů a satelitních systémů Ruskem a Čínou pro přípravu budoucích sabotáží v Evropě. V Německu pak ruský phishingový útok na platformu Signal zasáhl nejméně 300 účtů, včetně předsedkyně Spolkového sněmu Julie Klöckner.
Informační válka v dubnu zahrnovala jak sofistikované sítě botů, tak vlivové operace v zahraničí. Ukrajinská tajná služba SBU zlikvidovala v Žytomyru farmu botů, která měsíčně generovala přes 3 000 fiktivních profilů na Telegramu pro ruské zpravodajské služby. Tyto účty byly využívány k šíření propagandy a rozesílání poplašných zpráv o zaminování civilních objektů. Na mezinárodní scéně působí marocký kanál ODC TV jako zástupce Kremlu pro francouzsky mluvící publikum, kde prostřednictvím sankcionovaných ideologů šíří dezinformace namířené proti stabilitě západních vlád, což této síti vyneslo přes deset milionů zhlédnutí.
Ruský stát v dubnu zpřísnil kontrolu nad digitálním prostorem, což mělo nezamýšlené dopady na vlastní obyvatelstvo. Snaha úřadu Roskomnadzor zablokovat VPN služby pomocí techniky hloubkové inspekce paketů (DPI) neúmyslně vyřadila z provozu platební brány a mobilní aplikace největších národních bank. Kvůli těmto restrikcím a omezením Telegramu začali ruští uživatelé k tajné komunikaci hromadně využívat netradiční platformy, jako je aplikace pro výuku jazyků Duolingo, šachové simulátory nebo inzertní portál Avito, což však vedlo ke zvýšené aktivitě kybernetických podvodníků. Roskomnadzor rovněž zablokoval sociální síť Bluesky.
Vojenský sektor reagoval na úniky dat striktním zákazem používání Telegramu pro služební účely, přičemž vojáci v zóně bojů musí nově využívat certifikovaný ruský messenger Postlink nebo armádní komplexy Svjaz a Groza.
Represe se dotkly i fyzických hranic, kde FSB získala pravomoc kontrolovat osobní elektroniku cestujících bez soudního povolení, přičemž odmítnutí odemknout zařízení může vést až k patnáctidennímu zadržení.
Zároveň rostou náklady na provoz, kdy ceny softwaru v Rusku stouply až o 30 % kvůli nedostatku konkurence způsobenému zákazem zahraničních produktů, a operátoři musí přesměrovávat datové toky přes nákladné asijské uzly, aby uspokojili rostoucí poptávku po VPN a AI nástrojích.
Ukrajinské síly a spojenecké skupiny v dubnu zasáhly kritické uzly ruské komunikace a průmyslu. Nejvýznamnějším úspěchem byla infiltrace ruské satelitní sítě Gonets 256. kybernetickou útočnou divizí ukrajinské armády. Útočníci kompromitovali doménové řadiče a získali přístup k interní dokumentaci o vojenských zakázkách, k čemuž přispělo využívání zastaralého softwaru vynuceného sankcemi. Ruský telekomunikační gigant Rostelekom čelil 6. dubna masivnímu DDoS útoku, který si vyžádal dočasnou filtraci veškerého příchozího provozu.
Skupina Shedding Zmiy, složená z bývalých kyberkriminálníků, infiltrovala ruskou státní organizaci na více než šest měsíců, přičemž k průniku využila neaktivní VPN účty propuštěných zaměstnanců. Podobně skupina PhantomCore nasadila legitimní forenzní nástroj Velociraptor k napadení firem skrze zranitelnosti v serverech TrueConf, přičemž v případech ztráty strategického zájmu o data nasazovala ransomware LockBit 3.0 k způsobení ekonomických škod. Ruský letecký průmysl se stal terčem skupin CapFix, využívající backdoor CapDoor, a HeartlessSoul, která se zaměřila na krádeže geoinformačních dat pomocí modulárního malwaru JavaScript RAT. Finanční sektor v Rusku a okolních zemích pak napadla skupina Hive0117, která skrze trojan DarkWatchman ovládla účetní oddělení více než 3 000 organizací a převáděla miliony na účty nastrčených osob. K dálkovému řízení útoků na rusky hovořící subjekty byla využita i platforma GitHub, přes jejíž rozhraní Gist komunikovala skupina Rare Werewolf.
Západní státy reagovaly na kybernetické hrozby sankcemi i aktivním odhalováním útočníků. Německý Spolkový kriminální úřad (BKA) zveřejnil totožnost vůdce obávaných skupin REvil a GandCrab, Daniila Maksimoviče Ščukina, který způsobil škody přes 35 milionů eur metodou dvojího vydírání. Rada Evropské unie uvalila sankce na ruské subjekty Agentura sociálního designu (SDA) a Structura National Technologies za jejich účast v dezinformační kampani Doppelgänger, která zneužívala identitu legitimních médií k destabilizaci Evropy.
V Estonsku proběhlo největší světové cvičení kybernetické obrany Locked Shields 2026, kde přes 4 000 expertů ze 41 zemí čelilo 8 000 útokům v reálném čase. Scénář zahrnoval ochranu 5G sítí a energetiky proti technikám založeným na umělé inteligenci, přičemž nejlepších výsledků dosáhl tým složený z lotyšských a singapurských odborníků.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 10. 5. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
