Únor přinesl novinky o aktivitách ruských hackerů napojených na GRU. Přišli s novými metodami útoku a zaměřili se i na evropskou kritickou infrastrukturu. Zdá se, že se ruská armáda tímto způsobem připravuje na větší konflikt se Západem.
Hranice mezi státními aktéry a kyberkriminalitou je stále méně zřetelná. Platí to i pro Rusko a jeho vojenskou zpravodajskou službu GRU (APT44, Sandworm), která začala používat malware Radthief a Warzone, dosud využívaný výhradně zločinci. GRU stojí také za vlnou útoků na ukrajinskou kritickou infrastrukturu a průmyslové řídící systémy, které cílily na logistiku a přepravu obilí. Cílem se stala i dodavatelská firma z České republiky.
Velmi znepokojující jsou pokusy o průnik ruských vojenských hackerů také do evropské kritické infrastruktury. Dokládají, že Rusko se připravuje na rozsáhlejší konflikt se západní Evropou, kterou by narušení provozu kritické infrastruktury mohlo výrazně zasáhnout. Cílem je energetika, doprava, obranný průmysl a vládní instituce.
Sandworm stojí i za inovativními metodami kyberšpionáže. Začal pronikat do komunikace vládních orgánů, firem a neziskových organizací využívajících šifrované platformy Teams, WhatsApp nebo Signal. Útočníci přitom používají metodu známou jako „device code phishing“. Obětem zasílají podvodné pozvánky do skupin nebo škodlivé QR kódy. Po jejich naskenování se účet oběti propojí se zařízením ovládaným útočníky, což jim umožní v reálném čase přistupovat k jejich zprávám. Další odnož GRU (APT28, Fancy Bear) zase své kyberšpionážní aktivity rozšiřuje ze Střední Asie do dalších zemí, zejména evropských.
Co se týče dalších ruských skupin, byl v loňském roce zaznamenán pokles počtu hacktivistických aktérů, věnujících se zejména DDoS útokům, defacementu a doxingu. Výrazný podíl na něm mělo loňské zatčení Pavla Durova a následné vypuzení těchto skupin z platformy Telegram.
Ukázalo se, že ještě před posledními britskými volbami ruští hackeři kompromitovali soukromý email současného britského premiéra Keira Starmera. Za útokem stál aktér Callisto (Coldriver, Seaborgium) řízený FSB. Poněkud znepokojující je, že budoucí premiér nepoužíval základní zabezpečení účtu pomocí dvoufaktorové autentizace a zapnul si ho až po útoku.
Po delší odmlce se objevila další kampaň běloruského aktéra Ghostwriter. Jejím cílem byli běloruští aktivisté a ukrajinské vojenské a civilní orgány. Jako prostředek útoky byly využity dokumenty Excel se škodlivými makry.
Cílem ruských dezinformačních kampaní byly v poslední době prakticky všechny významné volby v demokratických státech. Týká se to i proběhlých voleb v Německu a nadcházejících prezidentských voleb v Polsku. V Německu se kampaň zaměřila se na Roberta Habecka (Zelení) a Friedricha Merze (CDU). Byly šířeny falešné články a videa, které zpochybňovaly Merzovo duševní zdraví. Dezinformace jsou publikovány na falešných zpravodajských webech a následně šířeny falešnými účty na sociálních sítích. Schopnost německé vlády na tyto hrozby reagovat je podle jejích vlastních slov velmi nízká, kvůli široce garantované svobodě slova. Ruským cílům v Německu nahrávají i algoritmy sociálních sítí TikTok a X, které přispívají k šíření krajně pravicového obsahu.
V Polsku zase Rusové najímali místní občany a za ovlivnění voleb jim nabízeli tři až čtyři tisíce eur.
Zatímco v cizích zemích Rusko v době voleb šíří dezinformace, loutkový Lukašenkův režim v době konání voleb internet zcela vypnul. Chtěl tak zabránit situaci z posledních voleb, kdy jejich flagrantní zfalšování vedlo k masovým protestům.
Zajímavý benefit v podobě hromadné dopravy zdarma přinesly povolební protesty obyvatelům gruzínského Tbilisi. Někdo hacknul platební automaty v autobusech tak, že přehrávaly písně podporující evropskou a demokratickou orientaci země. Vedení dopravního podniku tomu nedokázalo zabránit a tak nechalo terminály omotat páskou a vyhlásilo dočasné používání hromadné dopravy zdarma.
Ukrajina v reakci na ruskou agresi provádí odvetné kybernetické operace. Ukrajinští specialisté zaútočili na společnosti napojené na Gazprom, způsobili výpadky serverů a způsobili škody v řádech milionů dolarů. Rusko také čelilo útoku na svůj finanční sektor, kdy hackeři napadli společnost LANIT, klíčového poskytovatele IT služeb, což mohlo ovlivnit bankovní technologie v zemi.
Na Rusko pravidelně útočí i jeho spojenci. Čínská hackerská skupina Erudite Mogwai prováděla kyberšpionážní operace proti ruským vládním institucím a technologickým společnostem.
Skupina Angry Likho zase útočila na ruské organizace pomocí malwaru Lumma Stealer, který byl šířen skrze e-maily s falešnými dokumenty.
Evropská unie například přidala tři ruské důstojníky spojené s jednotkou 29155 GRU na sankční seznam za jejich podíl na kyberútocích proti Estonsku. Spojené státy spolu s Velkou Británií a Austrálií uvalily sankce na ruského poskytovatele hostingu Zservers za podporu ransomwarové skupiny LockBit.
Austrálie se připojila k řadě dalších západních států a zakázala používání softwaru společnosti Kaspersky Lab na vládních počítačích kvůli obavám z možného napojení firmy na ruskou vládu.
Ransomware skupina BlackBasta, jedna z nejaktivnějších v minulém roce, se zdá být minulostí. Její rozpad pravděpodobně odstartovaly vnitřní spory, které vyvrcholily únikem interní komunikace na dark web. Jeden z členů, nesouhlasící s útoky na ruské banky, zveřejnil citlivé informace ze strachu z odvetných opatření ruských úřadů. Uniklé zprávy odhalily chaos uvnitř skupiny – konflikty mezi členy, finanční podvody a dokonce i případy, kdy oběti zaplatily výkupné, ale dešifrovací klíče nikdy neobdržely. BlackBasta tak sdílí osud svého předchůdce, skupiny Conti, která se rovněž rozpadla po úniku interních materiálů.
TOMÁŠ FLÍDR, 28. 2. 2025 ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
Powered by Froala Editor
