Přejít k obsahu | Přejít k hlavnímu menu

Hackerské elity: Jak operují nejnebezpečnější APT skupiny

Zapomeňte na klišé hackera v kapuci. Skutečné hrozby dnes představují dobře organizované skupiny, jednající ve službách států. Kradou data, ovlivňují volby, narušují infrastrukturu – systematicky a s politickým zadáním. Tento článek představuje pět nejaktivnějších APT skupin současnosti, jejich metody, cíle i prostředí, ve kterých operují.

7. 7. 2000 Natalia Peterková

Dnes se zaměříme na útočníky, kteří nehrají sami za sebe. Nejde o jednotlivce, ale o profesionálně organizované skupiny řízené státem. Advanced Persistent Threats (APT) působí ve službách armád, zpravodajských služeb nebo vládních agentur. Cílí na vládní sítě, obranný průmysl, zdravotnictví, výzkum i energetiku. Místo granátů používají malware. Místo agentů – exploit kódy. V tomto digitálním bestiáři představíme pět elitních skupin, které ve službách státu vedou nejnebezpečnější operace současného kybersvěta.

Skupina lidí v tmavém prostředí s obličeji osvětlenými neónovými barvami, které tvoří vzory připomínající lebky.

Jak APT skupiny útočí?

Kybernetické útoky totiž nevznikají nahodile. Každá metoda útoku má svou funkci – některé skupiny spoléhají na manipulaci lidí, jiné na technické zranitelnosti nebo na skrytý pohyb v síti. Rozpoznání těchto „dovedností“ je základem kybernetické obrany: pomáhá pochopit, co přesně daný protivník hledá, jak postupuje – a proč je nebezpečný.

 
Social engineering
Exploit mastery
Stealth mode
Supply chain attack

Typ

Psychologický útok, manipulace lidí místo pc.

 Technický útok na neznámé zranitelnosti.

Skrytý průnik, dlouhodobá infiltrace bez odhalení.

 Nepřímý útok skrze třetí stranu, dodavatele.

Cíl

Lidé, e-mailové schránky, přihlašovací údaje.

 Nezáplatované systémy, aplikace, operační prostředí. Sítě, systémy a data oběti – bez spuštění poplachu. Softwarové aktualizace, IT služby, důvěryhodný SW, HW.

 

Způsob

  Využívá psychologii a důvěru oběti k získání přístupů. Taktiky zahrnují phishing (podvodné e-maily), pretexting (falešné identity) a baiting (lákat oběť k nechtěné akci). Využívá tzv. zero-day chyby – bezpečnostní trhliny, které ještě nemají opravu. Hackeři je odhalí dřív než obrana zareaguje. Taktiky zahrnují vývoj vlastního malwaru a cílený průnik do systémů. Infekce se maskuje jako běžná součást sítě a zůstává neviditelná i měsíce. Využívá rootkity, backdoory a laterální pohyb k tichému sběru dat a kontrole systému. Hluk nedělá, tím je nebezpečná. Hacker neútočí přímo na organizaci, ale infikuje dodavatele (např. poskytovatele softwaru). Po nasazení aktualizace nebo synchronizaci dochází k infikaci cíle bez podezření.

Klíčová prostředí kybernetických operací

Útoky se neodehrávají ve vzduchoprázdnu. Hackerská skupina si pečlivě vybírá prostředí, ve kterém operuje – a každé z těchto prostředí klade jiné nároky, skrývá jiné slabiny a přináší jiný druh rizika. Jinak se útočí na datové centrum, jinak na elektrárnu. Čím citlivější je cíl, tím promyšlenější bývá útok.

Level 1 / Datová centra: základní infrastruktura internetu – servery, cloudové služby, úložiště. Častý cíl phishingových kampaní, šíření malwaru a prvotního průniku do sítě. Snadno zneužitelné jako vstupní brána k dalším cílům.

Level 2 / Vládní sítě: složité, vícevrstvé systémy chránící citlivé státní informace. Hackeři zde hledají strategická data, diplomatické komunikace nebo zázemí pro dlouhodobou špionáž. Vyžadují pokročilé techniky i dokonalé maskování.

Level 3 / Kritická infrastruktura: energetika, doprava, zdravotnictví. Tady útoky nezpůsobují jen ztrátu dat – mohou ohrozit životy. Napadení těchto systémů bývá součástí hybridních operací, jejichž cílem je narušit funkčnost státu.

Level 4 / Globální digitální prostor: zde se hrají nejnebezpečnější partie současnosti, kde kyberšpionáž a dezinformační kampaně hrají klíčovou roli. Útoky ovlivňují výběr politických lídrů, konflikty i technologický vývoj.

Dvě masky nasvícené černým světlem s křídovým kreslením ve tmavé místnosti.

Jedna hackerská skupina, nespočet různých názvů. Proč?

Hackerské skupiny mívají desítky různých názvů – a není to náhoda. Každá kyberbezpečnostní firma si vytváří vlastní systém označování, takže stejná skupina může mít různé „identity“ podle toho, kdo ji sleduje. Například notoricky známá APT28 vystupuje pod jmény jako APT-C-20, ATK5, Blue Athena, BlueDelta, FROZENLAKE, Fancy Bear, Fighting Ursa, Forest Blizzard, G0007 nebo Grey-Cloud. Výsledek? Nepřehlednost a zmatek v komunikaci mezi bezpečnostními týmy i partnery.

Aby se v tom dalo lépe vyznat, firmy jako Microsoft, CrowdStrike a Mandiant (Google Cloud) spustily iniciativu pro sjednocení názvosloví [1]. Nechtějí vynutit jeden název, ale mapují si vzájemně používané označení, aby bylo možné snáze porovnávat analýzy a sdílet hrozby napříč systémy. Každá firma přitom zůstává u svého stylu:

      • Microsoft používá názvosloví inspirované počasím (např. Blizzard pro Rusko, Typhoon pro Čínu) [2].
      • CrowdStrike využívá názvy dle zvířat (např. Panda pro Čínu, Bear pro Rusko, Spider pro kyberzločince) [3].
      • Google Cloud je známý tím, že používá formát APT[číslo] a UNC[číslo].

Cíle APT skupin

Jejich záměrem může být tajný dokument, technologie s vojenským potenciálem nebo strategické rozhodování nepřítele. Jejich mise nejsou chaotické ani náhodné. Jde o strategicky řízené operace, které mají dlouhodobé cíle:

ZÍSKAT CITLIVÉ INFORMACE

ROZVRÁTIT STRUKTURY

OVLIVNIT VEŘEJNÉ MÍNĚNÍ

OSLABIT KLÍČOVÉ SEKTORY

Portrét pandy v kybernetickém obleku se zářícími červenými očima na temném pozadí.

STONE PANDA (APT10): tichá panda z říše středu

„Když chceš vědět všechno, nesmíš být slyšet vůbec.“

  • Motiv: Kyberšpionáž čínského státu, zaměřená na průmysl, zdravotnictví a infrastrukturu
  • Teritorium: USA, Japonsko, Evropa
  • Specializace: Zneužívání poskytovatelů IT služeb, datové sklady, zdravotnictví

STONE PANDA s přímým napojením na čínský stát. Jejím cílem není sabotáž, ale tiché získávání dat. Smyslem jejich existence je zajistit přístup k technologickým inovacím a průmyslovým datům, které mají pro Čínu strategický význam. Největší pozornost na sebe strhla operací Cloud Hopper (2017), kdy přes poskytovatele IT služeb infiltrovala stovky firem a institucí po celém světě. Získaný přístup jí umožnil sbírat data nejen z komerční sféry, ale i z vládních a vojenských struktur. Cílem byla cloudová infrastruktura, datová centra i strategická technologická odvětví. Stone Panda se však zaměřila i na zdravotnictví – během let 2016 a 2017 podnikla řadu útoků na farmaceutické firmy a výzkumná centra, kde kradla data o vývoji léků a biotechnologiích. Používala při tom malware RedLeaves, navržený k tomu, aby zůstal neodhalený i několik let. Její operace probíhají nenápadně a s minimálním šumem – právě proto je Stone Panda tak účinná.

Digitální ilustrace černého hada s červenými očima na temně modrém pozadí s mřížkou.

TURLA (AKT13): had, co se ti dostane pod kůži

„Naše útoky nejsou jen rychlé, jsou nevyhnutelné.“

  • Motiv: Strategická kyberšpionáž pro ruský stát
  • Teritorium: Vládní úřady, diplomacie, obranné organizace, ambasády
  • Specializace: Vojenská špionáž, dlouhodobé cyklické infiltrace

TURLA, pod velením Ruska, je známá svou filozofií vytrvalosti. Každá její operace je součástí širšího strategického plánu zaměřeného na politickou a vojenskou špionáž. Skupina se specializuje na infiltraci vládních úřadů, obranných organizací a ambasád, přičemž své cíle vyhledává zejména v Evropě a na Blízkém východě. V roce 2014 úspěšně napadla sítě NATO a několik evropských vládních agentur. TURLA se vyznačuje sofistikovaným používáním custom malware, jako jsou Snake (Uroburos), Gazer a Kazuar, které jí umožňují dlouhodobý přístup k napadeným systémům s minimálním rizikem odhalení. Tato dlouhodobá infiltrace je klíčová pro její strategii, která je inspirována symbolem Uroboros – hadem, jenž požírá vlastní ocas. Operace Turla Watering Hole z roku 2014, kdy TURLA využila kompromitované webové stránky zaměřené na africké diplomaty, aby infiltrovala jejich sítě a získala citlivé informace. Dalším útokem byla operace Agent BTZ, která se zaměřila na americkou armádu a přístup do jejích vnitřních systémů, což vedlo k odhalení citlivých vojenských dokumentů. TURLA také využívala techniku „web shell“ k infiltraci a šíření malwaru prostřednictvím kompromitovaných webových serverů. Skupina neútočí kvůli okamžitému zisku, ale kvůli dosažení širších geopolitických cílů a vojenské dominanci.

Digitální umělecké zobrazení medvěda s červeným a černým zbarvením a žhnoucíma červenýma očima na tmavě červeném pozadí s mřížkou.

FANCY BEAR (APT28): ruský medvěd geopolitiky

„Geopolitika je pro nás šachovnice – v jejich stínech jsme vždy o tah napřed.“

  • Motiv: Státem řízená kyberšpionáž
  • Teritorium: NATO, EU, USA
  • Specializace: Volby, vládní instituce, think-tanky

FANCY BEAR je šelma, která neřve – ale šlape rovnou přes státní hranice. Stojí za ní ruská vojenská rozvědka GRU a její lovecké území tvoří politické instituce, volební systémy a armádní servery Západu. Fancy Bear nekrade peníze – krade důvěru, stabilitu a někdy i výsledky voleb. Nejviditelnější stopu zanechala v roce 2016, kdy během amerických prezidentských voleb pronikla do e-mailových schránek Demokratického národního výboru a zveřejnila citlivou komunikaci. Ale to byl jen začátek. Zasahovala do francouzských voleb, infiltrovala německý Bundestag a cíleně pronikala do struktur NATO. Její styl? Tichý průnik – vojenská disciplína v digitálním provedení. Nepotřebuje dělat hluk, když může sbírat data měsíce nepozorovaně. Používá phishingové kampaně šité na míru a nástroje jako X-Agent, které jí umožňují zůstat v systému tak dlouho, dokud to potřebuje – nebo dokud to nevybuchne. Fancy Bear je víc než hackerská skupina. Je to geopolitický nástroj. Pokud se někde hroutí důvěra ve volby, rozpadá politická jednání nebo unikají tajné dokumenty – podívejte se do stínů. Možná tam najdete medvědí stopu.

Digitální ilustrace červeného chobotnice s červenými očima na tmavě modrém mřížkovém pozadí.

LAZARUS GROUP (APT38): chobotnice s chapadly v kryptoměnách

„Peněžní tok je naším hlavním motorem – každé hacknutí je investice do státní moci.“

  • Motiv: Státem řízená kyberšpionáž i finanční kriminalita
  • Teritorium: Asie, USA, Jižní Korea, EU
  • Specializace: Banky, kryptoburzy, kritická infrastruktura, zdravotnictví

LAZARUS je jako hlubinná chobotnice – klidná, ale všude. Chapadla této skupiny sahají od bank v Bangladéši až po kryptoburzy v Japonsku. Funguje jako kybernetická bankovní pokladna režimu v Severní Koreji: krade, ničí a sponzoruje jaderný program. V roce 2016 málem vybrala Bangladéšské centrální bance celý účet u americké Federální rezervy – jen překlep v jednom slově zabránil ztrátě miliardy dolarů. V roce 2017 rozšířila ničivý ransomware WannaCry, který ochromil nemocnice, firmy i dopravní systémy ve více než 150 zemích. Lazarus útočí jako celek, ale každé chapadlo má svou specializaci: špionáž, ransomware, hackerské průniky, zneužívání dodavatelských řetězců. Cílí na kryptoburzy, banky, vývojáře – kdekoliv, kde tečou peníze nebo citlivá data. Na rozdíl od jiných APT skupin Lazarus nemaskuje své motivace. Potřebuje peníze – pro stát, pro armádu, pro přežití režimu. Proto se nebojí ničit systémy ani vykrádat kritickou infrastrukturu či útočit na jaderné programy.

Ilustrace pandy s červenými očima na neonově modro-červeném pozadí s mřížkou.

CHARMING KITTEN (APT35) – íránská kočka s drápky

„Chytáme oběti na slova, ne na kód.“

  • Motiv: Špionáž ve službách Íránu, zaměřená na disidenty, novináře a akademiky
  • Teritorium: Blízký východ, Evropa, USA
  • Specializace: Kompromitace účtů, cílené kampaně proti oponentům režimu

CHARMING KITTEN je skupina, která místo silových průniků sází na klam a manipulaci. Místo malwaru používá falešné identity, důvěru a psychologii – jako kočka, která si nejprve získá pozornost, než vytasí drápy. Skupina se často vydává za novináře, akademiky nebo bezpečnostní výzkumníky, aby nalákala své cíle – disidenty, novináře, výzkumníky či vládní pracovníky – k otevření phishingových e-mailů nebo falešných přihlašovacích stránek. Jejím cílem je dlouhodobý přístup k e-mailům, kalendářům a komunikaci, kterou může režim využít k potlačování opozice nebo sledování zahraničních vztahů. V roce 2018 kompromitovala účty členů think-tanku Chatham House a amerických univerzit. Stejně tak cílila na americké vládní zaměstnance pomocí věrohodných phishingových stránek napodobujících Google či Microsoft. Nechyběl ani pokus o útok na e-maily prezidentských kandidátů v USA (2020), nebo falešná pozvání na konference OSN. Charming Kitten není technicky nejsofistikovanější, ale její schopnost dostat se k citlivým datům pomocí důvěry a iluze z ní činí jednoho z nejnebezpečnějších hráčů íránské kyberšpionáže.

Co si z bestiáře odnést? 

Fancy Bear, Lazarus, Turla, Stone Panda a Charming Kitten nejsou běžní hackeři, ale skupiny, které realizují cílené operace s geopolitickým dopadem. Nejde jim o publicitu, ale o vliv. Infiltrují, sbírají data a sledují cíle, které slouží zájmům jejich vlád. Tato první část bestiáře uvedla elitní APT skupiny, které jednají jménem států. Ale to je teprve začátek. Ve druhé části se podíváme na zcela jiný svět: kybernetické žoldáky, vyděrače a anarchisty, kteří útočí pro výdělek, slávu, chaos – nebo jen proto, že mohou.

Bez popisku

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info