V listopadu pokračovaly obvyklé ruské kyberútoky na ukrajinské i západní cíle. Dočkali jsme se ale i velkých překvapení. Rusko začalo stíhat kyberzločince, kteří tam doted byli v naprostém bezpečí. Ale také zasadilo úder západu - společnost Google by mu měla zaplatit velkou pokutu. Má to jen jeden zádrhel: Googlu na to nebudou stačit ani všechny peníze na světě.
Operace Overload, označovaná také jako Matryoshka, představuje další pokus Ruska ovlivnit politické procesy ve Spojených státech. Tato vlivová kampaň využívá sofistikované metody, jako jsou falešné zpravodajské weby a generovaný obsah napodobující renomovaná média. Primárním cílem kampaně je diskreditace kandidátů v prezidentských volbách 2024, zejména viceprezidentky Kamaly Harrisové, šíření nedůvěry vůči demokratickému systému a eskalace politické polarizace. Podobné taktiky byly použity i při manipulaci veřejného mínění během francouzských voleb a kolem olympiády v Paříži, což naznačuje širší ruskou strategii destabilizace Západu.
Součástí ruských aktivit je také kampaň Doppelgänger, která využívala ukrajinskou platformu kehr.io k distribuci falešných verzí webů prestižních médií. Po upozornění byla spolupráce této platformy ukončena, avšak analýzy odhalily, že přístupy k některým účtům pocházely přímo ze sítí ruského Ministerstva obrany. To poukazuje na propojení mezi státními strukturami a těmito operacemi.
Spear-phishingové útoky skupiny Midnight Blizzard cílí na vládní instituce, akademickou obec či obranný sektor. Tato skupina, známá také pod názvy Nobelium či Cozy Bear, využívá falešné soubory Remote Desktop Protocol k získání přístupu k citlivým datům a systémům.
Nejsofistikovanější ruský kyberšpionážní aktér, skupina Turla, využívá techniky maskování škodlivých komponent jako legitimních systémových souborů Windows, čímž ztěžuje jejich detekci.
DDoS útoky jako odveta na západní instituce se už dostaly na obecní úroveň. V listopadu jim čelily například britské obecní rady.
Kybernetické útoky ruských skupin se stále zaměřují hlavně na Ukrajinu. Hackeři například vytvořili falešnou aplikaci „Sunspinner,“ která místo slíbených map šíří malware infikující zařízení s Windows i Androidem. Zero-day (dosud neznámá) zranitelnost, označená jako CVE-2024-43451, umožňuje spouštění škodlivého kódu prostřednictvím běžných uživatelských akcí a byla využívána k útokům na ukrajinské organizace. Útočníci maskovali škodlivé soubory jako oficiální akademické certifikáty, což zvyšovalo pravděpodobnost úspěšného útoku.
Ruský cenzorní úřad Roskomnadzor zavedl blokování technologie Encrypted Client Hello (ECH) od společnosti CloudFlare, která skrývá metadata o navštěvovaných stránkách. Tato technologie byla aktivována ve výchozím nastavení a výrazně omezila možnosti cenzury a sledování. Podobné kroky byly podniknuty také v Číně, kde je tato technologie rovněž blokována.
Ruské soudy odsoudily čtyři členy kybernetické skupiny REvil, kteří byli shledáni vinnými z šíření ransomwaru a nezákonného použití platebních prostředků. Skupina byla zodpovědná za řadu útoků, včetně útoku na společnost Kaseya v roce 2021, jenž vyvolal mezinárodní tlak na Rusko, aby zasáhlo proti kyberkriminalitě. Na základě žádosti Spojených států ruská FSB v roce 2022 částečně rozbila síť této skupiny a zadržela několik jejích členů. Jde už o několikátý případ, kdy ruské orgány zasáhly proti místní kyberkriminalitě. To bylo dosud velmi vzácné a ruští kyberzločinci se mohli cítit velmi bezpečně, pokud útočili jen na západní cíle. Rusko navíc evidentně zasahuje proti skupinám, které sankcionují USA.
Dalším krokem k posílení kontroly nad internetem je plánovaný test izolace ruského segmentu internetu, známého jako Runet. Tento každoroční test, plánovaný na prosinec 2024, má ověřit schopnost ruské internetové infrastruktury fungovat nezávisle na globální síti.
Hackerská skupina Ukrajinská kybernetická aliance podnikla útok na administrativní síť ruského města Tver, což vedlo k výpadku místního parkovacího systému na dva dny. Útok podle dostupných informací způsobil zničení virtuálních serverů i záloh, což výrazně narušilo provoz. Administrativa města však incident popřela a označila problém za „technickou chybu“.
V oblasti kritické infrastruktury byl v roce 2023 odhalen sofistikovaný backdoor pro Linux nazvaný GoblinRAT, který infikoval systémy telekomunikační infrastruktury v Rusku. Tento malware se vyznačuje vysokou schopností skrývat svou přítomnost a využívá pokročilé techniky komunikace prostřednictvím kompromitovaných webových stránek a dynamických DNS služeb. Každý vzorek GoblinRAT obsahoval unikátní adresu pro komunikaci a používal odlišné názvy souborů, knihoven a služeb pro každý napadený systém, což značně komplikovalo jeho detekci. Analýza ukázala, že malware byl aktivní minimálně od roku 2020 a ovlivnil čtyři různé systémy poskytující služby státním organizacím.
Linus Torvalds, tvůrce linuxového jádra, rozhodl o vyloučení vývojářů z Ruska z projektu Linux. Toto rozhodnutí se týká osob s ruskými emailovými adresami nebo trvalým pobytem v Rusku. Torvalds uvedl, že tento krok není reakcí na konkrétní sankce, ale odráží obecné protiruské sankce zavedené v souvislosti s pokračující agresí vůči Ukrajině. Tento krok vyvolal rozporuplné reakce v rámci komunity open source, která se dlouhodobě zaměřuje na neutralitu a spolupráci napříč národními hranicemi.
Společnost Amazon identifikovala a zabavila internetové domény zneužité ruskou hackerskou skupinou APT29, známou také jako Midnight Blizzard. Tyto domény imitovaly stránky Amazon Web Services (AWS) a byly využívány k phishingovým útokům na vládní instituce a podniky, jejichž cílem bylo získat přihlašovací údaje prostřednictvím Microsoft Remote Desktop. Ve spolupráci s ukrajinským kybernetickým bezpečnostním centrem CERT-UA se podařilo tyto aktivity zastavit, což vedlo k významnému narušení schopnosti skupiny pokračovat v kampani.
Velká Británie se připojila k sankčnímu tlaku na Rusko uvalením sankcí na tři ruské PR agentury a jejich vedoucí, kteří se podílejí na šíření dezinformací. Organizace Social Design Agency, Structura a ANO DIALOG byly identifikovány jako klíčoví aktéři šířící ruskou propagandu prostřednictvím falešných webů a koordinace protestů v Evropě. Tato opatření mají za cíl narušit schopnost Ruska destabilizovat západní společnost pomocí informačních operací.
Jurij Myronenko, který v prosinci 2023 převzal vedení Státní služby pro speciální komunikace a informační ochranu Ukrajiny (SSSCIP) po odvolání předchozího vedení kvůli korupčnímu skandálu, odstoupil po roce z funkce. Po rezignaci plánuje Myronenko přejít na Ministerstvo digitální transformace, ačkoli konkrétní pozice zatím nebyla zveřejněna. Jeho nástupcem v SSSCIP se stal dosavadní zástupce Oleksandr Potii, který ve službě působí od roku 2020.
Tyto změny ve vedení SSSCIP odrážejí širší trend personálních obměn v ukrajinském kybernetickém sektoru v posledních dvou letech. V listopadu 2023 byli například odvoláni tehdejší vedoucí SSSCIP Jurij Ščyhol a jeho zástupce Viktor Zhora v souvislosti s vyšetřováním údajné zpronevěry státních prostředků.
SSSCIP hraje klíčovou roli v ochraně státních informačních zdrojů a kritické infrastruktury Ukrajiny. Od začátku války zaznamenal tým CERT-UA, spadající pod SSSCIP, téměř 4 000 kybernetických incidentů, což je trojnásobek počtu před válkou. Agentura také dohlíží na financování projektu „armáda dronů“, který zajišťuje nákup dronů pro ozbrojené síly.
Ruský soud uložil společnosti Google pokutu ve výši 2 undecilionů rublů, což je číslo s 36 nulami, za blokování 17 ruských státních a provládních kanálů na platformě YouTube. Tato částka mnohonásobně převyšuje celkový objem všech finančních prostředků na planetě Zemi. Pokuta vychází z denní sankce 100 000 rublů, která se každý týden zdvojnásobuje, počínaje rokem 2020, kdy Google zablokoval kanály jako Tsargrad TV a RIA FAN v souladu s americkými sankcemi. Toto exponenciální navyšování vedlo k astronomické částce, která je prakticky nevymahatelná.
Kreml označil tuto pokutu za symbolickou, vyjadřující nespokojenost s omezením ruských mediálních kanálů na YouTube. Mluvčí Dmitrij Peskov uvedl, že doufá, že pokuta upoutá pozornost vedení Googlu a povede k nápravě situace. Google v roce 2022 ukončil většinu svých operací v Rusku a zavřel svou místní pobočku. Proto se nepředpokládá, že by měl tendence pokutu zaplatit.
TOMÁŠ FLÍDR, 3. 12. 2024 ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop https://eshop.team4ukraine.eu/ . Případně můžete podpořit některý z našich projektů i na platformě Donio: https://donio.cz/team
Powered by Froala Editor
