V marci tohto roku nasadila ruská skupina APT28 nový malvér PRISMEX a medzi jej primárnymi cieľmi boli výslovne menované Česká republika, Poľsko, Rumunsko a Slovensko, teda krajiny s priamou väzbou na vojenskú logistiku NATO. Bezpečnostní analytici o tom informovali s odvolaním sa na kampaň zameranú na organizácie v obrane, energetike a štátnej správe.
Nie je to izolovaný prípad. Analytická spoločnosť TeamT5 vo svojej správe o APT hrozbách za rok 2025 uvádza, že sledovala viac ako 510 APT operácií zasahujúcich 67 krajín, pričom vládne a technologické sektory čelili najvyššiemu počtu útokov spomedzi všetkých sledovaných odvetví. APT skupiny, teda Advanced Persistent Threat, sú kybernetické skupiny naviazané na štátnych aktérov, ktorých cieľom nie je rýchly finančný zisk, ale dlhodobý a neodhalený prístup k systémom, kde môžu ticho zbierať kritické spravodajské informácie.
Vstupnou metódou zostáva phishing. Nie preto, že by obchádzal pokročilé technológie, ale preto, že cielia na ľudský faktor. Správy prichádzajú ako pozvánky na semináre, žiadosti o zdieľanie dokumentov, pracovné ponuky alebo upozornenia z IT oddelenia. Kontext, v ktorom je ostražitosť prirodzene nižšia.
MuddyWater a 100 vlád
Dve z najaktívnejšie sledovaných APT skupín sú MuddyWater a OilRig, obe napojené na iránske štátne záujmy. Bezpečnostná spoločnosť Group-IB zdokumentovala, ako MuddyWater realizovala phishingovú kampaň zameranú na viac ako 100 vlád a niekoľko medzinárodných organizácií s cieľom zbierať geopolitické spravodajstvo v oblasti Blízkeho východu a severnej Afriky. V jednej z kampaní skupina najprv kompromitovala reálnu e-mailovú schránku dôveryhodnej organizácie a potom cez ňu rozosielala phishingové správy, pričom na zakrytie stôp zneužívala legitímnu komerčnú VPN službu. Správy prišli z overených adries, bez akéhokoľvek technického signálu.
V januári tohto roku Certfa Radar zdokumentoval ďalšiu kampaň tejto skupiny pod názvom Operation Olalampo, zameranú predovšetkým na región MENA. Útočníci nasadili nové varianty škodlivého softvéru, pričom jeden z nich využíval Telegram bot ako riadiaci a kontrolný kanál. V inej kampani sa MuddyWater vydávala za náborovú agentúru spojenú s finančnou firmou Rothschild & Co a cielila na finančných riaditeľov naprieč Európou, Severnou Amerikou, Afrikou a Áziou.
Skupina OilRig, sledovaná tiež pod názvami APT34 alebo Helix Kitten a spájaná s iránskym Ministerstvom pre spravodajstvo a bezpečnosť, pôsobí od roku 2014. Server Brandefense uvádza, že OilRig sa postupne preorientoval z relatívne jednoduchých phishingových kampaní na dlhodobé operácie zamerané na zhromažďovanie spravodajstva a trvalý prístup do kritickej infraštruktúry. Typickým postupom je kompromitovanie e-mailových účtov vládnych agentúr a ich následné využitie na rozosielanie phishingových správ.
SolarWinds a 18 000 obetí
Priamy útok na vládne systémy je náročný. Preto APT skupiny siahajú po útoku na dodávateľský reťazec. Každý dodávateľ, subdodávateľ alebo externý konzultant s akýmkoľvek prepojením na štátne systémy sa môže stať vstupnou bránou, a práve tu sa phishing a špionáž prelínajú najnebezpečnejšie.
Najznámejším príkladom zostáva útok na spoločnosť SolarWinds, odhalený v decembri 2020. Podľa databázy MITRE ATT&CK ho realizovala ruská skupina APT29. Útočníci sa do systémov SolarWinds dostali v septembri 2019 a trpezlivo testovali injekciu škodlivého kódu až do chvíle, keď sa v marci 2020 spustila distribúcia aktualizácie softvéru Orion s vloženým záškodníckym modulom. Kompromitovanú aktualizáciu si stiahlo zhruba 18 000 organizácií po celom svete, vrátane viacerých amerických vládnych agentúr.
Správa TeamT5 popisuje tzv. Fail-of-Trust Model, pri ktorom útočníci zámerne cielia na poskytovateľov IT služieb a cloudových riešení, aby cez ich kompromitovanú infraštruktúru získali prístup k desiatkam ďalších organizácií naraz. Tá istá skupina APT29, ktorá stojí za útokom na SolarWinds, sa podľa výskumníkov z bezpečnostnej firmy Mandiant, citovaných portálom KnowBe4, cielene zameriava na technologické firmy v krajinách NATO práve s týmto zámerom.
Portál TechRadar v tejto súvislosti upozorňuje na otázku, ktorá rezonuje celým odvetvím: môžu súkromné firmy s istotou tvrdiť, že ich kybernetická obrana je rovnako silná ako najslabší článok v ich dodávateľskom reťazci.
AI a 310 percent nárast
Výskumná platforma zerothreat.ai uvádza, že deepfake phishingové útoky vzrástli v rokoch 2023 až 2025 o viac ako 310 percent. Viacerí bezpečnostní analytici zdôrazňujú, že AI dokáže v piatich pokusoch a za päť minút vytvoriť phishingový útok rovnako účinný ako ten, ktorý ľudskému odborníkovi zaberie 16 hodín, a to ho možno ešte automatizovane rozoslať v tisícoch variantoch naraz. Slovenské organizácie pôsobiace v obrane, energetike alebo kritickej infraštruktúre, ktoré sú podľa marcovej kampane APT28 explicitne menovanými cieľmi, čelia tejto hrozbe v čase, keď sú nástroje útočníkov lacnejšie a rýchlejšie než kedykoľvek predtým.
Obrana: viacfaktorová autentifikácia
Obrana pred APT útokmi si vyžaduje kombináciu technických opatrení aj vzdelávania. Základ tvorí kybernetická hygiena: pravidelné záplaty systémov, aktualizácie softvéru a sledovanie nových taktík útočníkov. Organizácie by mali zavádzať viacfaktorovú autentifikáciu na všetkých účtoch, monitorovať odchádzajúcu sieťovú prevádzku a nasadiť sandboxing a skenovanie príloh v e-mailovej komunikácii.
Zásadné je aj pravidelné simulovanie phishingových útokov voči vlastným zamestnancom. Z dlhodobého hľadiska analytici odporúčajú aplikovať princíp minimálnych oprávnení a nasadiť behaviorálnu detekciu anomálií, ktorá dokáže odhaliť podozrivú aktivitu skôr, než napácha vážne škody. Technológia môže obranné kapacity posilniť. Základnou líniou ostáva ostražitosť ľudí.
Slovenské organizácie v sektoroch, ktoré APT28 v marci výslovne menovala, zatiaľ verejne nekomentovali, či zaznamenali konkrétne pokusy o prienik.
