Ruské hackerské skupiny zesílily kyberútoky a dezinformační kampaně po celé Evropě i Střední Asii. Musíme se zejména připravit na novou realitu, kdy se ruské dezinformační kampaně se staly nedílnou součástí jakýchkoli voleb v demokratických státech. Současně sílí i kyberútoky proti Rusku, zejména ze strany ukrajinských skupin, kterým se podařilo zasáhnout i kritickou informační infrastrukturu.
Pro-ruská hackerská skupina NoName057(16) pokračovala v DDoS útocích na politické cíle. Tentokrát se její obětí staly italské webové stránky, včetně milánských letišť Malpensa a Linate nebo portálu Ministerstva zahraničních věcí Itálie. Skupina se k útokům přihlásila na platformě Telegram a označila je za reakci na údajné "rusofobní" postoje Itálie.
Ruskou kyberšpoinážní operaci "Double-Tap", vedenou proti zemím střední Asie, odhalila společnost Sekoia. Tuto kampaň vedla skupina UAC-0063, pravděpodobně spojená s ruskou vojenskou rozvědkou GRU (APT28). Útočníci využívali spear-phishingové e-maily s dokumenty maskovanými jako oficiální materiály Ministerstva zahraničních věcí Kazachstánu. Tyto přílohy obsahovaly malware HATVIBE a CHERRYSPY, který umožňuje krádež citlivých informací a vzdálené ovládání infikovaných zařízení.
Neobvyklou metodu zvolila hackerská formace Star Blizzard (známá též jako SEABORGIUM). Její členové cílili na uživatele WhatsApp, které lákali podvodnými e-maily maskovanými za zprávy od amerických úředníků. Oběti následně přesměrovali na falešné stránky vybízející k naskenování QR kódu – ten poté umožnil přístup k jejich účtům. Podle expertů šlo o cílený útok na osoby a neziskové organizace spojené s podporou Ukrajiny.
Další hrozba se objevila na platformě Microsoft Teams, kde se kyberzločinci vydávali za technickou podporu. Tato podvodná metoda využívá zranitelnosti v nástrojích Microsoft Office 365, které externím uživatelům umožňují oslovit interní zaměstnance firem. Hackeři výměnou zpráv přesvědčí oběť, že její zařízení má bezpečnostní problém a že je nutné nainstalovat "opravný" software, který ve skutečnosti obsahuje ransomware. Podle společnosti Sophos bylo takto napadeno nejméně patnáct firem.
Další zákeřnou kampaň odhalili ukrajinští výzkumníci. Hackeři se při ní vydávali za specialisty ukrajinské vládní agentury CERT-UA a pokoušeli se oběti přimět k povolení vzdáleného přístupu na jejich zařízení. K tomuto účelu zneužívali legitimní software AnyDesk, který prezentovali jako nástroj pro bezpečnostní audit. CERT-UA na tyto útoky reagovala prohlášením, že veškeré takové audity provádí pouze se souhlasem uživatelů a skrze ověřené komunikační kanály.
Polské úřady odhalily operaci, kterou údajně řídí ruská vojenská rozvědka GRU, a jejímž cílem je ovlivnit prezidentské volby v květnu 2025. Přesné metody šíření dezinformací zatím nebyly zveřejněny, ale podle bezpečnostních odborníků může jít o kombinaci falešných zpravodajských webů, sociálních médií a automatizovaných botů.
Podobná situace byla zaznamenána v Chorvatsku, kde výzkumníci odhalili rozsáhlou dezinformační kampaň namířenou proti EU a NATO. Šířené zprávy podporovaly tehdejšího prezidenta Zorana Milanoviće, který nakonec volby s velkým náskokem vyhrál. Kampaň zahrnovala manipulativní obsah šířený na sociálních sítích i prostřednictvím falešných médií.
V Německu se mezitím proruská síť Storm-1516 připravuje na parlamentní volby. Bylo odhaleno více než 95 webových stránek, které byly vytvořeny pomocí generativní umělé inteligence a mají podobné charakteristiky jako předchozí ruské kampaně, například MAGAstan, která ovlivňovala americké prezidentské volby. Obsah těchto webů je šířen prostřednictvím proruských influencerů, zatímco servery jsou hostovány u poskytovatelů Hostinger, NameCheap a SIM-Networks.
Ruské sledovací technologie založené na systému SORM se rozšiřují do dalších částí světa, zejména do Střední Asie a Latinské Ameriky. Podle zprávy Recorded Future jsou tyto technologie exportovány společnostmi Citadel, Norsi-Trans a Protei, přičemž jejich nasazení bylo zaznamenáno i v Africe a na Blízkém východě. Z dostupných informací vyplývá, že minimálně 15 telekomunikačních společností využívá ruské sledovací systémy, přičemž existuje podezření, že díky zabudovaným backdoorům může mít ruská vláda přístup k zachyceným datům.
Mezitím v ruském internetovém prostoru dochází k zásadní změně v oblasti online platforem. Poprvé v historii překonala ruská sociální síť VKontakte Video (VK) YouTube v měsíčním dosahu mezi ruskými uživateli. V prosinci 2024 zaznamenal VK téměř 92 milionů aktivních uživatelů, zatímco YouTube klesl na 89,6 milionu. Tento pokles lze přičíst zejména zásahům ruských úřadů, které YouTube v posledních měsících částečně blokovaly nebo zpomalovaly jeho provoz prostřednictvím místních operátorů. VK tak těží z omezení konkurence a posiluje svou pozici jako dominantní platforma ruského internetu.
Jedním z nejzásadnějších útoků na Rusko v lednu 2025 byla akce skupiny Ukrainian Cyber Alliance, která napadla ruského poskytovatele internetových služeb Nodex se sídlem v Petrohradě. Hackeři pronikli do systémů společnosti, odcizili citlivé dokumenty a následně smazali data, čímž zničili síťovou infrastrukturu Nodexu. Společnost potvrdila útok na sociální síti VKontakte a uvedla, že probíhá obnova ze záloh.
9. ledna, oznámila hackerská skupina Silent Crow průnik do systému ruské státní agentury Rosreestr, která spravuje záznamy o nemovitostech a pozemcích. Jako důkaz zveřejnili část databáze obsahující osobní údaje ruských občanů, včetně jmen, adres a telefonních čísel. Rosreestr sice útok popřel, ale investigativní novináři ověřili pravost části uniklých záznamů.
Dne 13. ledna se terčem kybernetického útoku stala ruská platforma Roseltorg, která zajišťuje administraci vládních nákupů. K odpovědnosti se přihlásila nová pro-ukrajinská hackerská skupina Yellow Drift, která podle svých slov vymazala 550 terabajtů dat. Ruské úřady však tvrdí, že žádné citlivé informace nebyly kompromitovány.
Ve stejné době provedla kyberšpionážní skupina Sticky Werewolf útoky na ruské vědecko-průmyslové podniky. Hackeři využili phishingové e-maily, které se vydávaly za oficiální komunikaci ruského Ministerstva průmyslu a obchodu. Obsahovaly infikované přílohy se škodlivým softwarem Ozone RAT, jenž umožnil vzdálený přístup ke kompromitovaným systémům.
Další sofistikovanou operaci také odhalili analytici společnosti F.A.C.C.T., kteří identifikovali kampaň FakeTicketer. Útočníci se zaměřili na ruské vládní úředníky a sportovní funkcionáře prostřednictvím phishingových e-mailů s falešnými vstupenkami. Malware Zagrebator používaný v této kampani umožňoval získávání citlivých dokumentů a dálkové ovládání napadených systémů.
Ruská hackerská skupina Silent Crow 21. ledna napadla několik online portálů největší telekomunikační společnosti Rostelecom, která mimo jiné spravuje vládní e-government portál Gosuslugi. Ruská vláda přiznala incident, ale tvrdí, že uniklá data nebyla citlivého charakteru a provoz portálu nebyl narušen. Podle oficiálního vyjádření byl útok způsoben kompromitací jednoho z dodavatelů Rostelecomu.
Čínská bezpečnostní firma Knownsec404 odhalila operaci GamaCopy, která navenek připomínala aktivity ruské hackerské skupiny Gamaredon, řízené FSB. Ve skutečnosti však šlo o operaci pod falešnou vlajkou, která mířila proti ruské armádě a kritické infrastruktuře. Identita skutečných útočníků zůstává neznámá.
TOMÁŠ FLÍDR, 31. 1. 2025 ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
Powered by Froala Editor
