Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

V roce 2026 přitáhne rozmach bezpilotních letounů (UAV) ve vojenské i komerční sféře pozornost hlavních aktérů hrozeb takzvané Velké čtyřky - tedy Číny, Ruska, Íránu a Severní Koreje. Tyto státy se budou snažit ukrást duševní vlastnictví a shromažďovat vojensko-zpravodajské informace s cílem urychlit modernizaci svých arzenálů.

Geopolitická situace povede i k novým taktikám jednotlivých států. Rusko se nově zaměří na Evropu, konkrétně na země jako Německo, Francie a Polsko, které zahajují programy přezbrojení. Zároveň očekáváme, že běloruské APT skupiny, které se stávají agresivnějšími, by mohly s Ruskem vytvořit integrovanou zpravodajskou alianci.

Čína mezitím prohloubí své angažmá v Latinské Americe v reakci na přítomnost USA a doma zpřísní dohled nad zahraničními návštěvníky.

Severní Korea a Írán budou muset reagovat na mezinárodní tlak - zatímco Pchjongjang se pravděpodobně zaměří na ransomware jako nový zdroj příjmů, Írán bude hledat nové cesty v regionech, kde byli jeho tradiční spojenci oslabeni.

V průběhu tohoto roku jsme detekovali aktivity skupiny Turla na sedmi zařízeních na Ukrajině. Vzhledem k tomu, že skupina Gamaredon kompromituje stovky, ne-li tisíce zařízení, se zdá, že útočníci z Turla mají zájem pouze o konkrétní cíle, pravděpodobně ty, které obsahují vysoce citlivé informace. Skupina Gamaredon je známá tím, že využívá spearphishing a škodlivé soubory LNK na ovladačích, které lze odinstalovat.

Jeden z těchto vektorů s největší pravděpodobností použila při kompromitaci. S vysokou mírou jistoty věříme, že obě skupiny - každá samostatně napojená na FSB - spolupracují a že Gamaredon umožňuje skupině Turla počáteční přístup k jejím cílům.

APT skupinu Gamaredon sledujeme dlouhodobě. Kromě nyní nově odhalené spojitosti se skupinou Turla spolupracuje například i s další APT skupinou InvisiMole, kde sledujeme podobný vzorec chování.

APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje.

Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO. Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu.

Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny - Group Policy - ve službě Active Directory u postižených organizací.

Celý útok se skládá z vytvořené falešné webové stránky, která přesměruje potenciální oběť na server, který hostuje exploit, a pokud je exploit úspěšný, spustí se další škodlivý kód, který stáhne a spustí zadní vrátka skupiny RomCom.

I když nevíme, jakým způsobem skupina distribuuje odkaz na falešnou webovou stránku, pokud oběť na stránku přistupuje pomocí zranitelného, neaktualizovaného prohlížeče, je na jejím počítači bez jakékoli další interakce spuštěn škodlivý kód.

Chtěli bychom poděkovat organizaci Mozilla za její velmi rychlou reakci, kdy vydala opravu zjištěné zranitelnosti během jednoho dne.

APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje. Skupina Gamaredon se historicky specializovala především na Ukrajinu a rozšíření jejích aktivit na státy NATO není typické.

Na druhou stranu a s ohledem na polohu těchto zemí je jejich zájem o tento region v konečném důsledku očekávaný. I přestože v tuto chvíli nevidíme žádný útok zacílený na Českou republiku, nelze ho do budoucna vyloučit.