Leden 2026 potvrdil, že ruská kybernetická strategie se stále méně soustředí na symbolické demonstrace síly a stále více na reálné narušování fungování států podporujících Ukrajinu. Nejvýraznějším incidentem měsíce byl koordinovaný destruktivní útok na polskou energetickou infrastrukturu, který svým rozsahem a technickým provedením patří k nejvážnějším kybernetickým incidentům v Evropě za poslední roky.
Na konci roku 2025 se terčem operace staly desítky energetických objektů po celém Polsku – především větrné a solární elektrárny a jedna velká teplárna zásobující stovky tisíc obyvatel. Podle dostupných informací útočníci pronikli do sítí přes špatně zabezpečená zařízení FortiGate bez vícefaktorového ověřování a dokonce i pomocí výchozích přístupových údajů k průmyslovým řídicím systémům značek Hitachi a Mikronika. Jakmile získali přístup, nasadili destruktivní nástroje DynoWiper a LazyWiper, jejichž cílem nebyla špionáž, ale nevratné poškození systémů řízení a dohledu nad rozvodnou soustavou. Polský premiér Donald Tusk oznámil, že se útok podařilo zastavit dříve, než došlo k výpadkům dodávek elektřiny nebo tepla. Přesto šlo o varovný signál: podle polských úřadů za operací stála skupina Sandworm, známá také jako APT44 nebo Seashell Blizzard, přímo řízená ruskou vojenskou rozvědkou GRU. Použití wiper malwaru ukazuje, že Moskva je připravena i mimo Ukrajinu sáhnout po otevřeně destruktivních kybernetických nástrojích, pokud to považuje za strategicky výhodné.
Vedle přímých útoků na kritickou infrastrukturu pokračovaly i dlouhodobé špionážní operace. Skupina BlueDelta, známá rovněž jako APT28 nebo Fancy Bear, během roku 2025 výrazně rozšířila phishingové kampaně zaměřené na krádeže přihlašovacích údajů. Cílem se staly vládní instituce, energetické výzkumné organizace a think-tanky v Evropě, Turecku a Uzbekistánu. Útočníci vsadili na precizně připravené falešné přihlašovací stránky imitující služby Microsoft OWA nebo Sophos VPN a na podvržené dokumenty s geopolitickou tematikou. Zajímavým prvkem bylo i zneužívání legitimních služeb, jako jsou Webhook.site nebo ngrok, k hostování škodlivého obsahu a exfiltraci dat, což útokům dodávalo punc důvěryhodnosti a komplikovalo jejich detekci.
Přímo proti Ukrajině pokračovaly cílené kampaně zaměřené na lidský faktor. Tým CERT-UA v lednu upozornil na aktivity skupiny UAC-0190, známé také jako Void Blizzard nebo Laundry Bear, která se soustředila na příslušníky ukrajinských ozbrojených sil. Útočníci se vydávali za charitativní organizace a prostřednictvím messengerů rozesílali spustitelné soubory maskované jako dokumenty s dvojitou příponou. Po jejich otevření byl do systémů obětí nahrán Pythonový backdoor PLUGGYAPE, umožňující vzdálené ovládání kompromitovaných zařízení.
Dalším příkladem adaptace ruských aktérů je skupina Gamaredon, která aktualizovala své skripty GamaLoad tak, aby obcházely bezpečnostní opatření pomocí legitimní služby Windows BITS. Ta běžně slouží k přenosu dat na pozadí, například při aktualizacích systému, a v tomto případě byla zneužita jako záložní kanál pro stahování dalších fází malwaru pomocí nástroje bitsadmin.
Ruské operace se zároveň pohybují na škále od vysoce sofistikovaných útoků až po hrubou sílu. Na Štědrý den zasáhl polskou telekomunikační síť Orange Polska extrémně silný DDoS útok, který dosáhl intenzity 1,5 terabitu za sekundu a více než 134 milionů paketů za sekundu. Útočníci zkombinovali několik technik včetně DNS a UDP floodů, IP fragmentace a amplifikace přes NetBIOS. Přestože se jednalo o jeden z nejsilnějších zaznamenaných útoků tohoto typu, služby pro zákazníky zůstaly díky odolné infrastruktuře dostupné.
Specifickou, ale stále častější formou útoků jsou kampaně ruských kyberzločinců proti civilním sektorům v Evropě. V lednu se jejich pozornost soustředila na hotelový průmysl, kde útočníci rozesílali falešné e-maily o zrušení drahých rezervací. Pomocí techniky „ClickFix“ obětem zobrazili fingovanou modrou obrazovku smrti a přiměli je k manuálnímu spuštění škodlivého skriptu. Výsledkem byla instalace malwaru DCRat umožňujícího krádeže hesel i plné převzetí kontroly nad systémem.
Vedle státem řízených operací pokračoval i tlak ruských hacktivistických skupin, které fungují jako levný a popíratelný nástroj hybridní války. Britské Národní centrum kybernetické bezpečnosti v lednu varovalo před rostoucí aktivitou skupin, zejména NoName057(16), zaměřených na místní samosprávy a prvky kritické infrastruktury. Tyto skupiny využívají relativně jednoduché DDoS útoky k narušování dostupnosti veřejných on-line služeb, přičemž koordinace probíhá převážně přes Telegram a nástroj DDoSia. Přestože technicky nejde o sofistikované operace, jejich dopad na každodenní fungování státu může být citelný.
Současně s ofenzivními operacemi Moskva dál utahuje kontrolu nad vlastním digitálním prostorem. Ministerstvo digitálního rozvoje navrhlo výrazné zpřísnění sankcí za nelegální distribuci SIM karet mimo oficiální prodejní místa, s pokutami až do výše jednoho milionu rublů. Změny se dotknou i operátorů, kteří budou odpovědní za nepřetržitý provoz státního systému „Antifrod“.
Roskomnadzor zároveň plánuje masivní investice do cenzurní infrastruktury. Úřad chce nasadit systémy strojového učení kombinované s hlubokou inspekcí paketů, které mají efektivněji blokovat VPN služby a automatizovaně filtrovat zakázaný obsah. Tyto snahy doplnilo i vynucené oddělení IP adres povolených služeb, což od 24. ledna vedlo k masivním výpadkům řady VPN aplikací po celém Rusku.
Kybernetický konflikt zůstává obousměrný. Na přelomu roku provedli ukrajinští hackeři útok na krymského poskytovatele internetu SimStar, který vyřadil z provozu síťové připojení pro velké množství zákazníků a vyžádal si rozsáhlou obnovu infrastruktury.
Další rozsáhlý útok zasáhl poskytovatele bezpečnostních systémů Delta, jehož infrastruktura byla kompromitována natolik, že došlo k výpadkům satelitních alarmů u desítek tisíc automobilů a objektů. Přestože se k útoku nikdo nepřihlásil, incident ukázal zranitelnost civilních systémů s přímým dopadem na bezpečnost obyvatel.
Současně čelí Rusko i špionážním kampaním. Skupina Vortex Werewolf zahájila operaci zaměřenou na ruskou státní správu a obranný průmysl, při níž využívá phishingové stránky imitující Telegram a škodlivé LNK soubory k získání trvalého, skrytého přístupu do kompromitovaných systémů.
V kyberšpionáži proti Rusku pokračuje i Čína, kterou s Ruskem údajně pojí neomezené spojenectví. Státem řízená skupina HoneyMyte (známá také jako Mustang Panda či Bronze President) v posledních kampaních mířila na vládní sektor v jihovýchodní Asii a zároveň i na ruské cíle. Útočníci zvolili nenápadnou, ale účinnou taktiku DLL side-loading, kterou do napadených systémů propašovali aktualizovaný backdoor CoolClient.
Západní státy reagují na eskalaci v kyberprostoru posilováním spolupráce. V lednu podepsaly Německo a Izrael strategický pakt o kybernetické a vnitřní bezpečnosti, jehož klíčovým prvkem je společný vývoj systému „Cyber-Dome“ pro detekci a automatizovanou reakci na kybernetické útoky. Dohoda se zaměřuje také na ochranu energetické infrastruktury, autonomní dopravu a využití umělé inteligence v obranných centrech – tedy přesně na oblasti, které se v ruských operacích dlouhodobě objevují jako prioritní cíle.
_____________________________________________________________________________
TOMÁŠ FLÍDR, 5. 2. 2026, ANALÝZA
Líbí se vám naše činnost a chcete také podpořit pomoc Ukrajině? Prosím pošlete nám příspěvek na transparentní účet 2801169198/2010 nebo navštivte náš dobročinný eshop. Případně můžete podpořit některý z našich projektů i na platformě Donio.
