Ruským útočníkům se v prosinci dařilo. Provedli spektakulární útok na ukrajinské státní registry a předvedli několik nových technik, jako je například napadení Wi-Fi sítě na vzdálenost tisíců kilometrů nebo využití prostředků jiných hackerů bez jejich vědomí. Na druhou stranu, bezprecedentní narušení volebního procesu členského státu NATO snad povede k probuzení na západě.
Jedním z nejzávažnějších incidentů posledních měsíců byl útok na ukrajinské státní databáze spravované Ministerstvem spravedlnosti. Hackeři, podezřelí ze spojení s ruskou vojenskou zpravodajskou službou GRU, dočasně znemožnili přístup k registrům obsahujícím citlivá data, jako jsou biometrické údaje nebo vlastnické záznamy. K odpovědnosti se přihlásila proruská skupina XakNet, která tvrdí, že získala a smazala jak primární, tak záložní databáze. Přesto ukrajinské úřady ujišťují veřejnost, že data budou obnovena díky zálohám. Incident ale vyústil v situaci, kdy byly administrativní procesy, jako registrace sňatků či převodů nemovitostí, zpracovávány ručně.
Nové taktiky ruských aktérů
Skupina TAG-110, spojená se zpravodajskou službou GRU, se zaměřuje na kyberšpionáž v Asii a Evropě pomocí vlastního malwaru a phishingových útoků. Jejím cílem jsou zejména organizace zabývající se lidskými právy a vzděláváním. Skupina RomCom využila zero-day zranitelnosti ve Firefoxu a Windows k šíření malwaru, zatímco další entita známá jako Turla napadla ukrajinské systémy s využitím nástrojů jiných hackerských skupin, čímž komplikuje jejich identifikaci. Skupina UAC-0185 (APT29, Midnight Blizzard, Cozy Bear, The Dukes, Earth Koshchei), zahájila novou špionážní kampaň zaměřenou na ukrajinské vojenské a obranné podniky. Útočníci rozesílají phishingové e-maily maskované jako pozvánky na legitimní obrannou konferenci, která se konala v Kyjevě.
Nejzajímavější byl ale sofistikovaný útok na americkou firmu, který také provedl aktér APT28 spojovaný s GRU. Útočníci použili taktiku známou jako “Nearest Neighbour Attack” k průniku do Wi-Fi sítě oběti na vzdálenost tisíců kilometrů. Pronikli totiž do bezdrátové sítě společnosti sídlící ve vedlejší budově a přes ni se dostali ke svému cíli.
Další novinkou je používání prostředků jiných útočníků ruskými aktéry. Hned ve dvou různých případech to předvedla skupina známá jako Turla, která je napojená na kontrarozvědku FSB. V prvním napadla servery pákistánských hackerů a jejich přístupy využila k průniku do afghánských vládních systémů. Ve druhém obdobným způsobem využila kriminálního botnetu Amadey.
Zajímavý je objev proruské hacktivistické skupiny CyberVolk z Indie, která od června do října 2024 provedla několik ransomwarových útoků na veřejné instituce ve prospěch ruských zájmů. Mezitím ruská Social Design Agency rozjela operaci Undercut, zaměřenou na šíření dezinformací a oslabení západní podpory Ukrajině. Tato kampaň využívá pokročilé technologie, včetně AI generovaných videí, k manipulaci veřejného mínění.
Ruské aktivity se neomezují pouze na kyberprostor. Ukrajinská bezpečnostní služba (SBU) odhalila síť, která rekrutovala ukrajinské dospívající k provádění špionáže a dalších operací. Pod záminkou "quest her" byli mladí lidé zneužíváni k navádění raketových útoků či zakládání požárů. SBU také identifikovala ruského policistu, který se na těchto aktivitách podílel.
Rusko v posledních týdnech pokračuje v sérii překvapivých zásahů proti kyberkriminalitě, zároveň však prohlubuje svou kontrolu nad digitálním prostředím a utužuje represivní opatření vůči opozici a nezávislým médiím.
Ruské úřady v Kaliningradu zatkly Michaila Pavloviče Matvejeva, známého pod přezdívkou Wazawaka, jednoho z nejvýznamnějších kyberzločinců posledních let. Matvejev je obviněn z vývoje malwaru a podílu na ransomware útocích, které cílily mimo jiné na americké policejní oddělení a kritickou infrastrukturu. Spojené státy na něj již dříve uvalily sankce a nabídly odměnu 10 milionů dolarů za informace vedoucí k jeho dopadení. Toto zatčení navazuje na předchozí akce ruských bezpečnostních složek, například proti skupině REvil, což naznačuje snahu Kremlu demonstrovat vůli bojovat s kyberkriminalitou. Podobně skončil i případ Stanislava Moiseyeva, hlavního organizátora darknetového tržiště Hydra Market. Moiseyev, který řídil platformu specializovanou na prodej drog a praní peněz, byl odsouzen na doživotí. Tresty v délce 8 až 23 let si vyslechlo i dalších 15 jeho spolupracovníků. Hydra Market, který byl uzavřen mezinárodní operací v roce 2022, představoval jednu z největších kriminálních struktur na darknetu s obratem přesahujícím miliardu dolarů ročně.
Na druhé straně barikády se však ocitají i obyčejní občané. Ruský programátor Kirill Parubets, obviněný z podpory Ukrajiny, obdržel po svém propuštění zabavený telefon infikovaný spywarem Monokle. Tento software umožňuje rozsáhlé sledování uživatele, včetně přístupu k šifrovaným zprávám a lokalizačním datům. Parubets uvedl, že během zadržení čelil nátlaku FSB, což ilustruje, jak ruské bezpečnostní složky využívají kybertechnologie k monitorování a zastrašování svých odpůrců.
Kromě individuálního sledování Moskva pokračuje v systematické cenzuře. V roce 2024 zablokovala více než 279 domén nezávislých médií a komunikačních platforem. Na seznam zakázaných nástrojů se nově dostala aplikace pro šifrovanou komunikaci Viber. Roskomnadzor, ruský cenzurní úřad, obvinil Viber z porušování zákonů a šíření "nelegálního obsahu".
V rámci posilování kontroly nad digitálním prostředím Rusko znovu testovalo schopnost provozovat tzv. suverénní internet, tedy izolovanou síť nezávislou na globálním internetu. Tyto testy zahrnovaly přerušení internetového připojení zejména v regionech s etnickými menšinami, jako jsou Čečensko či Dagestán, a trvaly až 24 hodin. Uživatelé byli odříznuti od populárních služeb, jako jsou YouTube, Google nebo Telegram, což vyvolává obavy z možného zneužití této technologie k izolaci obyvatel a potlačení informací.
Sankce uvalené na Rusko a jeho subjekty ovlivnily i kyberbezpečnostní sektor. Společnost F.A.C.C.T., která vznikla po odchodu Group-IB z ruského trhu, prodala svá aktiva investičnímu fondu Cyberus, jenž je spojen s FSB. Bývalý vlastník Group-IB a F.A.C.C.T, Igor Sečkov, byl nedávno zatčen a odsouzen na 14 let vězení za vlastizradu.
Jedním z útoků, kterým Rusko čelilo, je nasazení malwaru Trinper, který vyvinula dosud neznámá skupina označovaná jako TaxOff. Útoky byly prováděny prostřednictvím phishingových e-mailů obsahujících odkazy na falešné aktualizace softwaru. Skupina využila k distribuci malwaru falešné instalační balíčky oficiálního softwaru ruské vlády, což napomohlo oklamat oběti a získat přístup k jejich systémům. Trinper funguje jako backdoor, který umožňuje útočníkům špionáž a přípravu dalších potenciálních útoků.
Ukrajinská vojenská rozvědka HUR úspěšně narušila činnost Gazprombanky, jedné z největších ruských bank. DDoS útok, který HUR provedla, způsobil výpadky online i mobilních bankovních služeb, čímž zkomplikoval přístup stovkám tisíc klientů k jejich financím. Webové stránky banky i mobilní aplikace byly dočasně nedostupné, což paralyzovalo schopnost klientů provádět platební transakce.
Rumunský ústavní soud zrušil výsledky prvního kola prezidentských voleb, ve kterých překvapivě zvítězil krajně pravicový kandidát Călin Georgescu. Toto rozhodnutí přišlo poté, co prezident Klaus Iohannis odtajnil zprávy zpravodajských služeb, které poukazovaly na ruské vměšování do volebního procesu ve prospěch Georgeska. Georgescu, známý svými proruskými postoji a kritikou NATO, zaznamenal během krátké doby výrazný nárůst podpory. Jeho preference vzrostly z 1 % na téměř 23 %, což vyvolalo podezření ohledně legitimity jeho kampaně. Významnou roli v jeho vzestupu sehrála masivní přítomnost na sociálních sítích, zejména na platformě TikTok, kde byl propagován prostřednictvím placených influencerů a automatizovaných účtů. Analytici upozorňují na podobnosti mezi Georgescuovou kampaní a nedávnými aktivitami strany Shor v moldavských volbách, ktejovány s ruským vlivem. Rumunské úřady kritizovaly TikTok za nedostatečnou regulaci politického obsahu a pomalou reakci na šíření propagandy. I když platforma nakonec přistoupila k blokování problematických účtů, opatření byla omezena pouze na území Rumunska, což umožnilo pokračující ovlivňování rumunských voličů žijících v zahraničí.
TOMÁŠ FLÍDR, 4. 1. 2025 ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
Powered by Froala Editor
