Propojení kyberútoků s kinetickými údery na ukrajinskou infrastrukturu posunulo v únoru 2026 kyberválku na novou úroveň. Zatímco Moskva neprodyšně uzavírá domácí informační prostor, na frontě čelí komunikačnímu kolapsu. Spolupráce Ukrajiny se společností SpaceX totiž ukončila využívání pašovaných terminálů Starlink ruskou armádou.
Ruské ofenzivní operace v únoru prokázaly synergii mezi digitálním průnikem a kinetickou destrukcí. Skupina Sandworm (APT44), spadající pod vojenskou rozvědku GRU, změnila taktiku u útoků na ukrajinské energetické sítě. Namísto okamžitého vypínání elektřiny nyní útočníci v sítích vyčkávají a mapují infrastrukturu, aby získali zpravodajské informace pro přesnější cílení raket a dronů. Sledují pohyb opravárenských čet a vyhodnocují rychlost obnovy systémů, což ruské armádě umožňuje kalibrovat údery tak, aby efektivně narušily logistiku oprav. Stejná skupina se zaměřila na globální obranný průmysl, konkrétně na ukrajinské jednotky bezpilotních letounů, výrobní závody zbraní a vládní instituce v USA a Francii. K infiltraci využívají pokročilé sociální inženýrství přes dotazníky Google Forms a specializovaný malware.
Vysokou aktivitu vykázala také další GRU řízená skupina APT28 (Fancy Bear), která zahájila rozsáhlou špionážní operaci cílící na ukrajinské vládní úřady a námořní či diplomatické subjekty od Polska až po Spojené arabské emiráty. K infiltraci zneužili čerstvě opravenou kritickou zranitelnost v aplikacích Microsoft Office pomocí podvržených dokumentů RTF. Ty do systémů doručují specializovaný malware MiniDoor k exfiltraci e-mailů a loader PixyNetLoader, přičemž k udržení perzistentního přístupu agresorům slouží framework Covenant. Tato skupina navíc od září 2025 vede operaci „MacroMaze“, která cílí na západní Evropu pomocí jednoduchých skriptů VBS, BAT a CMD nasazených přes infikovaná makra, jež chytře maskují svou komunikaci v legitimním provozu cloudových služeb.
Zajímavým trendem uplynulého měsíce bylo opakované zneužití legitimního softwaru pro vzdálenou správu Remote Manipulator System (RMS). V lednu jej blíže neurčení útočníci využili jako trojského koně při věrohodné phishingové kampani proti ukrajinským státním institucím, kdy se vydávali za finanční monitoring Národní banky Ukrajiny a k distribuci škodlivého kódu zneužili kompromitované routery MikroTik a obfuskované skripty JavaScriptu. Ruskem řízená skupina Mercenary Akula (UAC-0050) nasadila tentýž software RMS, ukrytý pomocí techniky dvojité přípony a šifrovaných archivů z platformy Pixeldrain, proti evropským finančním institucím zapojeným do rekonstrukce Ukrajiny, čímž potvrdila svůj přesun k západním cílům.
Evropská infrastruktura čelí tlaku i z dalších směrů. V Německu zpravodajské služby varovaly před státem podporovaným přebíráním účtů v aplikaci Signal. Útočníci manipulují politiky a armádní důstojníky k autorizaci nových zařízení přes QR kódy nebo k vyzrazení registračních PIN kódů, čímž získávají stálý přístup k citlivým strategickým chatům. Souběžně s tím nově odhalená skupina Laundry Bear stupňuje hybridní útoky v Nizozemsku, kde se pokouší o sabotáže řídicích systémů veřejné infrastruktury a podmořských kabelů.
Na poli dezinformací Rusko masivně nasadilo generativní umělou inteligenci a falešné zprávy. Skupina Storm-1516, nástupce nechvalně známé Prigožinovy agentury Internet Research Agency známé také jako “Trollí továrna”, využívá deepfake videa a padělané dokumenty k diskreditaci francouzského prezidenta Macrona a německého kancléře Merze. Tyto vlivové operace pomáhají šířit pro-kremlští influenceři jako John Mark Dougan. Podobně jedná i dezinformační síť Matrjoška, která šíří falešné zprávy o údajné účasti státníků v kauze Jeffreyho Epsteina. Útočníci dokonale padělají obálky francouzských deníků i zprávy agentur Reuters či France 24 k útokům na reputaci Volodymyra Zelenského a Emmanuela Macrona, přičemž k distribuci využívají automatizované boty na platformách X, Telegram a Bluesky.
Ruská rozvědka SVR převzala přímou kontrolu nad vlivovou divizí Wagnerovy skupiny zvanou Africa Politology a zaměřuje se na země globálního Jihu, kde s měsíčními rozpočty v řádech stovek tisíc dolarů podkopává pozice Západu. Technologický gigant Google reagoval ústy svého týmu TAG, který plošně zablokoval tisíce kanálů a domén napojených na vládní aktéry Ruska a Číny cílících na Moldavsko a Ukrajinu. O sofistikovanosti ruského ekosystému svědčí i unikátní zpráva společnosti CheckFirst, která pomocí OSINT analýzy 118 specifických vojenských medailí a insignií rozkryla dosud utajovanou infrastrukturu informačních jednotek GRU (VIO), jež realizují skryté kampaně napříč Evropou.
Proruský hacktivismus se v únoru upnul na nadcházející Zimní olympijské hry 2026 v Itálii. Skupiny NoName057(16), CyberArmyofRussia_Reborn a BD Anonymous zahájily masivní kampaň proti více než 120 cílům v Miláně a Cortině. Útočníci využili svůj proprietární nástroj DDoSia k zasažení letiště Malpensa, olympijských portálů a serverů italského ministerstva zahraničí jako odplatu za podporu Ukrajiny. Italským úřadům se však podařilo tuto vlnu kybernetické agrese úspěšně odrazit.
Vnitřní politika Ruska se vyznačuje dalším posunem k totální cenzuře a technologické izolaci. Roskomnadzor úplně zablokoval platformu WhatsApp, čímž odřízl 100 milionů uživatelů od šifrované komunikace a začal vynucovat přechod na domácí aplikaci MAX, která umožňuje invazivní státní sledování. Zároveň probíhá drastické škrcení rychlosti (throttling) aplikace Telegram, což ruské úřady podpořily zahájením trestního stíhání jejího zakladatele Pavla Durova, kterého viní z usnadňování terorismu a sdílení dat s ukrajinskými tajnými službami. Legislativní rámec pak upevnila Státní duma schválením novely, která FSB dává pravomoc svévolně blokovat internetové připojení bez dokládání konkrétní bezpečnostní hrozby.
Tento izolacionismus se však střetává s neutěšenou realitou. Úřad FSTEK přiznal, že pouhá třetina ruské kritické infrastruktury splňuje bezpečnostní standardy a více než 1200 odhalených porušení u klíčových podniků ukazuje na fatální zranitelnost země v důsledku závislosti na zahraničním softwaru. Že je ruský kyberprostor plný chaosu, potvrzuje i případ Ruslana Satučina, muže, který se vydával za agenta FSB a beztrestně vydíral kyberkriminální skupinu Conti, od níž inkasoval výpalné za fiktivní ochranu před stíháním. Skutečné spolupracovníky ale Rusko chrání – Moskva udělila politický azyl španělskému aktivistovi Enrique Ariasu Gilovi, který stál za telegramovým kanálem „Russian Disinformer“ a koordinoval pro-kremelské útoky.
Ruská a běloruská infrastruktura čelí trvalému tlaku, což potvrdila výroční zpráva F6 uvádějící, že na ruské cíle nyní aktivně útočí nejméně 27 organizovaných skupin typu APT. Skupina PseudoSticky maskuje své operace za pro-ukrajinský hacktivismus a proniká do ruského obranného průmyslu pomocí phishingových návnad s výkresy raket, jež generuje umělá inteligence. Skupina Cloud Atlas mezitím využívá zastaralé zranitelnosti v editoru rovnic MS Office a napadá vládní sektor s pomocí modulárního malwaru VBShower.
Infiltraci doplňují i destruktivní údery. Hackeři zcela zašifrovali systémy ruské federální pojišťovny a ochromili provoz ruské ropné společnosti tím, že přepsali firmware průmyslových kontrolérů a vyvolali rozsáhlé výpadky výroby. Obdobný úder zasadila v Bělorusku skupina Kyberpartyzáni, která na státní podnik Chimvolokno – klíčového dodavatele pro ruskou armádu – svrhla digitální „kyberbomby“. Útok vymazal osm serverů a zničil 1000 pracovních stanic, čímž naprosto zlikvidoval chod ERP systémů.
Demokratické země v únoru demonstrovaly posun od reaktivní obrany k aktivní ofenzivě. Doktrínu „předsunuté obrany“ si osvojují státy jako Finsko, Japonsko či Jižní Korea, které budují vojenská kybernetická velitelství připravená degradovat systémy útočníků dříve, než zasáhnou domácí sítě. S tím koresponduje rozhodnutí dánské vojenské rozvědky, jež po šesti letech obnovila svou elitní Hackerskou akademii zaměřenou na nácvik ofenzivních dovedností. Francie pro změnu tvrdě udeřila proti ruským dezinformacím a odstranila přibližně stovku webů navázaných na sítě Copicop a Portal Kombat, které se snažily destabilizovat nadcházející komunální volby.
Zásadním strategickým úspěchem se stala i koordinovaná akce ukrajinského ministerstva obrany a společnosti SpaceX, která výrazne omezila ruské zneužívání terminálů Starlink na bojišti. SpaceX zavedla rychlostní limit 75 km/h a přísnou verifikaci koncových zařízení, čímž zneškodnila pašované systémy, které ruská armáda nelegálně využívala k navádění útočných dronů. Toto odříznutí představovalo pro ruské síly fatální ránu, obzvláště v kontextu jejich domácích blokád nezávislých komunikačních aplikací.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 5. 3. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
