Robert Šuman

Vedoucí pražského detekčního a analytického týmu společnosti ESET

Pražský výzkum se za těch 15 let vyvinul do podoby mezinárodního týmu o 23 lidech, který pokrývá širokou agendu kybernetické bezpečnosti. Kromě kolegů z Česka či ze Slovenska s námi v Praze spolupracují také odborníci ze Španělska, Itálie či Ukrajiny.

Specializací pražské pobočky jsou globální ransomwarové hrozby, analytické a forenzní služby pro ostatní pobočky a divize či spolupráce na monitoringu APT skupin, což jsou dlouhodobě přetrvávající hrozby v podobě skupin útočníků podporovaných státy či pracujícími na objednávku států.

V Praze se v tomto směru například dlouhodobě specializujeme na Severní Koreu.

Na základě analýzy škodlivého kódu wiper a souvisejících taktik, technik a postupů připisujeme útok s velkou pravděpodobností APT skupině Sandworm. Důvodem je výrazná podobnost s řadou předchozích útoků za použití wiperů, které jsme u této skupiny již v minulosti viděli.

Termínem APT jsou označovány pokročilé trvalé hrozby. Jedná se o útočníky nebo skupiny útočníků, kteří získávají přístupy do počítačových sítí zpravidla významných soukromých či vládních organizací.

V mnohých případech je jejich aktivita financována státy. Hackeři ze skupiny Sandworm jsou spojováni s ruskou vojenskou zpravodajskou službou GRU.

V roce 2026 přitáhne rozmach bezpilotních letounů (UAV) ve vojenské i komerční sféře pozornost hlavních aktérů hrozeb takzvané Velké čtyřky - tedy Číny, Ruska, Íránu a Severní Koreje. Tyto státy se budou snažit ukrást duševní vlastnictví a shromažďovat vojensko-zpravodajské informace s cílem urychlit modernizaci svých arzenálů.

Geopolitická situace povede i k novým taktikám jednotlivých států. Rusko se nově zaměří na Evropu, konkrétně na země jako Německo, Francie a Polsko, které zahajují programy přezbrojení. Zároveň očekáváme, že běloruské APT skupiny, které se stávají agresivnějšími, by mohly s Ruskem vytvořit integrovanou zpravodajskou alianci.

Čína mezitím prohloubí své angažmá v Latinské Americe v reakci na přítomnost USA a doma zpřísní dohled nad zahraničními návštěvníky.

Severní Korea a Írán budou muset reagovat na mezinárodní tlak - zatímco Pchjongjang se pravděpodobně zaměří na ransomware jako nový zdroj příjmů, Írán bude hledat nové cesty v regionech, kde byli jeho tradiční spojenci oslabeni.

V průběhu tohoto roku jsme detekovali aktivity skupiny Turla na sedmi zařízeních na Ukrajině. Vzhledem k tomu, že skupina Gamaredon kompromituje stovky, ne-li tisíce zařízení, se zdá, že útočníci z Turla mají zájem pouze o konkrétní cíle, pravděpodobně ty, které obsahují vysoce citlivé informace. Skupina Gamaredon je známá tím, že využívá spearphishing a škodlivé soubory LNK na ovladačích, které lze odinstalovat.

Jeden z těchto vektorů s největší pravděpodobností použila při kompromitaci. S vysokou mírou jistoty věříme, že obě skupiny - každá samostatně napojená na FSB - spolupracují a že Gamaredon umožňuje skupině Turla počáteční přístup k jejím cílům.

APT skupinu Gamaredon sledujeme dlouhodobě. Kromě nyní nově odhalené spojitosti se skupinou Turla spolupracuje například i s další APT skupinou InvisiMole, kde sledujeme podobný vzorec chování.

APT skupinu Gamaredon sledujeme dlouhodobě. Jedná se o útočníky, kteří nevyužívají sofistikované nástroje, byť patří mezi státem podporované skupiny, které k tomu obvykle mají finanční prostředky. Spolupracují s další APT skupinou InvisiMole, která za ně tento nedostatek kompenzuje.

Skupina Gamaredon se historicky specializovala především na Ukrajinu, i když v poslední době můžeme vidět rozšíření jejích aktivit i na státy NATO. Další nechvalně proslulá skupina napojená na Rusko, Sandworm, ve sledovaném období silně útočila na ukrajinskou energetickou infrastrukturu.

Ta byla jejím cílem již několikrát v minulosti. V nedávných případech nasadila nový typ wiperu s názvem ZEROLOT. Útočníci k tomu účelu zneužili zásady skupiny - Group Policy - ve službě Active Directory u postižených organizací.