Hackeři bez pravidel: Když útoky řídí zisk, chaos nebo ideologie
Ne všechny hackerské skupiny pracují pro vlády. Část z nich útočí samostatně – kvůli zisku, ideologii nebo chaosu. Vydírají nemocnice, napadají kritickou infrastrukturu a manipulují veřejný prostor. Představujeme pět skupin kyberpodsvětí, jejich taktiky a cíle. Seznamte se s nimi – a doufejte, že se nebudou chtít představit oni vám.
Zatímco státem řízené APT skupiny postupují skrytě a s přesně daným cílem, svět kyberkriminality je ve skutečnosti mnohem chaotičtější a poháněný okamžitým ziskem nebo ideologickým tlakem. Tito útočníci jsou často rychlejší, méně předvídatelní a destruktivnější. Nezajímají je vždy tajné dokumenty, ale přímý zisk, mediální pozornost nebo čistá destrukce cíle. Tato skupina aktérů je rozmanitá – od vysoce organizovaných ransomware gangů s firemní strukturou až po anonymní protestní hnutí bez jasného vedení.
Operační vzorce kyberútoků
Tyto skupiny mají společné jedno: umějí využít slabiny systémů, lidské chyby i samotných technologií ve svůj prospěch. Kyberútok přitom nemusí být primárně o konkrétním cíli, ale o způsobu, jakým je proveden. Útočníci volí svůj operační styl podle toho, co chtějí – peníze, pozornost nebo čistý rozvrat. Níže uvidíte, jak se tyto přístupy liší v praxi.
Jak (ne)státní aktéři útočí? Technické varianty!
Kyberkriminalita nebývá o jemné špionáži. Tito útočníci jdou po okamžité hodnotě – přístupech, vlivu. Jejich „toolbox“ ale často vypadá podobně jako u státních APT…
|
|
Brute force |
Command & Control (C2) |
Reconnaissance |
Privilege Escalation |
|
Typ |
Destruktivní útok bez maskování.
|
Dálkové řízení strojů přes skrytý kanál.
|
Tichý průzkum a mapování prostředí. |
Zvyšování oprávnění po počátečním přístupu. |
|
|
Ochromit systémy/servery, |
Udržet kontrolu nad botnetem, koordinovat šíření malwaru a spuštění útoku. |
Najít slabiny: topologie sítě, technologie, účty či například otevřené služby. |
Získat admin práva, přístup k citlivým datům a plné ovládnutí systému. |
|
Způsob |
Nasazení ransomwaru, masivní lámání hesel (brute force/spraying), DDoS; zastavení služeb a šifrování dat s požadavkem na zaplacení. |
C2 servery a domény; šifrované tunelování, stahování modulů, spouštění příkazů a koordinace laterálního pohybu – útočník „tahá za nitky“ na dálku, a to efektivně. |
OSINT, pasivní monitoring, fingerprinting, skenování portů, v praxi to znamená sledování provozu a chování pro přípravu vektoru |
Exploitace chyb a misconfigů (zero-day, kernel, UAC bypass), krádež tokenů/credential dumping, zneužití služeb a plánovačů; po povýšení práv, vypínání ochran. |
1 / Ransomware-as-a-Service (RaaS)
Organizovaný model, kde „jádro“ vyvíjí šifrovací nástroj a provozuje zázemí (řídicí servery, stránky s úniky), zatímco jejich partneři dělají průniky a vyjednavači tlačí na platbu. Postup: vstup do sítě → zvýšení oprávnění → odcizení dat → šifrování. Nátlak bývá dvojí/trojí: výkupné + hrozba zveřejnění dat a/nebo DDoS.
2 / Hacktivismus
Tyto útoky slouží k prosazení názoru a k získání pozornosti. Cílí se na symbolické instituce (úřady, média, firmy), aby vznikl mediální dopad. Postup bývá přímý: přetížení služeb (DDoS), přepsání webu (defacement), případně zveřejnění vybraných dat a intenzivní kampaň na sítích. Důraz je na rychlé zveřejnění a publicitu, ne na dlouhé skrývání.
3 / Hybridní válka
Kyberútok jako součást konfliktu. Kombinuje technické útoky a informační tlak. Cíl je vyřadit služby, podkopat důvěru a ovlivnit veřejné mínění. Postup: cílené podvodné e-maily, průnik do sítě, škodlivý kód co vše smaže, přetížení služeb (DDoS), zásahy do průmyslových systémů; současně úniky a manipulace informací.
Útoky probíhají stále...
Než přejdeme k představení skupin, zastavme se na malou chvíli ještě u samotných útoků. Ty se dějí 24/7. Ověř si to v online Cyber Map. Živá mapa z dat bezpečnostních senzorů ukazuje, odkud kam útoky míří a jak rychle přibývají. Geolokace je jen orientační — ber ji jako barometr dění pod povrchem, ne jako kompletní mapu kyberpodsvětí.
Hlavní aktéři
Každá z těchto skupin má jinou logiku, nástroje a cíle.
WIZARD SPIDER: pavouk s firemní strukturou
„V naší pavučině každé vlákno končí výkupným.“
- Motiv: zisk z ransomwaru a vydírání (RaaS = šifrování + únik dat za výkupné; „pure extortion“ = bez šifrování, vydírání)
- Teritorium: celosvětově, se zaměřením na USA a země Evropy
- Specializace: organizace s vysokou hodnotou pro vydírání — korporace, nemocnice, kritická infrastruktura
WIZARD SPIDER je chladně zisková kybergarnitura fungující jako „firma“: do sítí se dostává přes škodlivé programy (např. TrickBot či QakBot), tiše se rozšíří pomocí útočných nástrojů, ukradne citlivá data a pak tlačí na oběť – buď je zašifruje a žádá výkupné, nebo vydírá samotným zveřejněním ukradených informací. Její operace zasáhly zdravotnictví, logistiku i vládní úřady po celém světě. V roce 2021 skupina ochromila irský zdravotnický systém Health Service Executive útokem ransomwaru Conti, který vyřadil nemocnice z provozu, zastavil poskytování péče a zadržel pacientská data jako rukojmí. Dalším útokem skupiny byla kybernetická kampaň proti vládním úřadům Kostariky v roce 2022, rovněž provedená prostřednictvím ransomwaru Conti. Útočníci napadli desítky ministerstev, včetně ministerstva financí, čímž zablokovali výběr daní i výplaty mezd státním zaměstnancům. Vláda byla nucena vyhlásit stav nouze – vůbec poprvé v dějinách země kvůli kyberútoku. Skupina požadovala výkupné 20 milionů dolarů a po jeho odmítnutí začala postupně zveřejňovat ukradená data. To potvrdilo, že Wizard Spider dokáže paralyzovat i celý stát.
ANONYMOUS: stín, který dává internetu hlas
„Jsme legie. Neodpouštíme. Nezapomínáme.“
- Motiv: ideologický aktivismus, boj proti cenzuře, korupci, vládnímu dohledu a korporátní moci
- Teritorium: celosvětově, bez hranic a hierarchie
- Specializace: DDoS útoky, úniky dat, defacementy webů, online kampaně a „digitální protesty“
ANONYMOUS nejsou klasická „organizace“, ale volné hnutí spojené maskou Guye Fawkese a myšlenkou odporu proti cenzuře a zneužívání moci: zrodilo se kolem fóra 4chan a od recese a protestů proti Scientologii přerostlo v globální hacktivistickou síť bez vůdců a hranic. Do dějin vstoupili především útoky proti institucím, které podle nich brání svobodě internetu: v roce 2010 spustili Operation Payback, v níž DDoS útoky cílili na Visa, Mastercard a PayPal po zablokování plateb pro WikiLeaks; akce ochromila weby a přitáhla masovou pozornost. Po ruské invazi na Ukrajinu v roce 2022 zahájili rozsáhlou Operation Russia, v jejímž rámci pronikli do databází ruského ministerstva obrany, státní televize i průmyslových podniků, unikly desítky gigabajtů interních e-mailů a dokumentů. Anonymous fungují bez velení, ale s jednotným cílem — tam, kde se šíří propaganda, umlčuje opozice nebo mizí pravda, objevuje se jejich symbol.
SANDWORM: červ z hlubin
„My nesbíráme data. My vypínáme státy.“
- Motiv: sabotáž a hybridní destrukce infrastruktury; zastrašování a podpora vojensko-politických cílů státu
- Teritorium: primárně Ukrajina a evropské cíle, operace s globálními dopady
- Specializace: útoky na kritickou infrastrukturu (elektrárny, distribuční sítě), destruktivní malwary a kyber-fyzické útoky
SANDWORM je kyberobranná jednotka, která neškádlí — činí škodu. Do povědomí se zapsala sérií destruktivních útoků proti ukrajinské energetice, kdy v prosinci 2015 a opět v dalších letech poškodila rozvodné sítě a vyvolala výpadky proudu, čímž ilustrovala schopnost „kyber-fyzického“ boje. V roce 2017 jejich taktiky vyústily v NotPetya – destruktivní malware, který se během hodin lavinovitě rozšířil a způsobil celosvětové škody v řádech miliard; nešlo už o špionáž, ale o cílené paralyzování provozu. Na začátku ruské invaze ochromil útok na satelitní síť KA-SAT od Viasatu desítky tisíc modemů v Ukrajině i části EU, takže lidé a úřady přišli na čas o internetové spojení. Hlavním cílem tohoto útoku bylo ztížit velení ukrajinských sil. Útočníci použili škodlivý program, který „vymazal“ software v modemech, takže je bylo nutné fyzicky vyměnit. Byla to ukázka toho, že jediný dobře mířený zásah může během pár minut vypnout celý stát.
LAPSUS$: drzost, která prolomí firewally
„Nezajímá nás tajemství — chceme to, co se prodá.“
- Motiv: zastrašování; nátlak zveřejněním citlivého zdrojového kódu a interních dat
- Teritorium: převážně velké technologické firmy a poskytovatelé služeb (USA, Evropa)
- Specializace: sociální inženýrství, krádeže interních nástrojů a dat, následné veřejné úniky
LAPSUS$ je volně organizovaná skupina známá tím, že nekomplikovaně „vyleze na povrch“ tam, kde lze rychle vydělat tlakem na reputaci — místo klasických technických backdoorů spoléhá na sociální inženýrství a kompromitaci podpůrných účtů, aby získala přístup ke zdrojovým kódům a interním datům. V roce 2022 na sebe LAPSUS$ strhla pozornost sérií drzých útoků na technologické giganty. Skupina se přihlásila k odcizení téměř 1 TB interních dat ze společnosti NVIDIA, včetně přihlašovacích údajů zaměstnanců a citlivého zdrojového kódu ovladačů grafických karet. Požadovala, aby NVIDIA odstranila omezení pro těžbu kryptoměn – jinak začne data zveřejňovat, což také postupně splnila. Krátce poté pronikla do interních systémů společnosti Okta, poskytující správu identit a přístupů, a zveřejnila screenshoty z interní konzole podpory. Útok otřásl důvěrou firem využívajících Okta ke správě uživatelských účtů po celém světě. Tyto incidenty ukázaly, že LAPSUS$ nemá sofistikované zbraně ani vojenské zázemí – její síla spočívá v drzosti, rychlosti a schopnosti využít lidskou chybu jako vstupní bránu.
NONAME057(16): hejno botů ve službách propagandy
„Neválčíme zbraněmi, ale připojením.“
- Motiv: útoky na země a organizace podporující Ukrajinu, NATO či sankce vůči Moskvě
- Teritorium: Evropa, Severní Amerika — zejména státy NATO
- Specializace: DDoS útoky, defacementy, šíření propagandy a dezinformací
NONAME057(16) se po začátku ruské invaze v roce 2022 rychle vyprofilovala jako jedno z nejaktivnějších proruských hacktivistických uskupení — cíleně útočí na symbolické instituce, aby „digitálně odvetila“ zemím podporujícím Ukrajinu. V roce 2023 zasáhli například polské a české státní weby a portály dopravců a letišť, poté rozšířili kampaň na pobaltské země a energetické firmy, čímž se soustředili na viditelný politický dopad spíše než na tajné průniky. Během vstupu Finska do NATO v dubnu 2023 provedli cílený DDoS útok proti webům parlamentu a kanceláři premiérky. Jejich akce jsou často doprovázeny propagandistickými videi a prohlášeními šířenými přes Telegram — kanál, který slouží současně jako PR, náborové i koordinanční místo. Neprovádí sofistikovanou špionáž — sází na rychlé, hlasité a mediálně viditelné útoky, které mají vyvolat paniku a ovlivnit veřejné mínění.
Pár slov na závěr...
Ne všechny kyberhrozby nosí viditelné státní prapory; mnohé vznikají z chamtivosti, z ideologie nebo z prostého chaosu a jsou často rychlejší a nevyzpytatelnější než klasické APT. Tito aktéři útočí tam, kde to bolí — na nemocnice, úřady, infrastrukturní služby i na důvěru veřejnosti — a jejich hlavní zbraň je jednoduchá: zranitelnost + čas.
