Představte si, že jednoho prosincového večera roku 2015, kdy venku panuje tuhá ukrajinská zima, náhle zhasnou všechna světla. Nejde jen o váš dům – celé město se ponoří do tmy.

Netuší to, ale vy jste právě svědky prvního úspěšného kybernetického útoku na elektrickou síť v historii. Za obrazovkami počítačů tisíce kilometrů daleko sedí hackeři z ruské vojenské rozvědky a právě změnili podobu moderního válčení.

Kdo je Sandworm: Elitní hackerská jednotka ruské GRU

Málokdo o nich slyšel před rokem 2015, ale dnes patří mezi nejobávanější kybernetické skupiny na světě. Jednotka 74455, známá pod krycím názvem Sandworm (Písečný červ), je elitní hackerská skupina operující pod ruskou vojenskou rozvědkou GRU.

Základní fakta o Sandworm:

Oficiální označení: Jednotka 74455

Alternativní názvy: Sandworm Team, BlackEnergy Group, Voodoo Bear, ELECTRUM

Afiliace: GRU (Hlavní správa rozvědky Generálního štábu ozbrojených sil RF)

Aktivní: Minimálně od roku 2009

Tato jednotka není jen skupinou amatérských hackerů. Jedná se o vysoce organizovaný tým kybernetických specialistů s vojenským výcvikem, jasnou hierarchií a státní podporou. Jejich útoky nejsou náhodné – jsou součástí koordinované strategie hybridní války, kterou Rusko vede proti Ukrajině již od anexe Krymu v roce 2014.

První blackout: Jak Sandworm v roce 2015 vypnul světlo 230 000 lidem

Těsně před Vánocemi, 23. prosince 2015, se Ivano-Frankivská oblast na západní Ukrajině ponořila do tmy. Bez elektřiny zůstalo přibližně 230 000 lidí. Výpadky trvaly od jedné do šesti hodin, a to uprostřed mrazivé zimy.

Jak útok probíhal:

Počáteční průnik – Hackeři rozeslali zaměstnancům energetických společností e-maily s infikovanými přílohami Word. Stačilo jedno kliknutí a malware BlackEnergy se usadil v systému. Mapování sítě – Malware několik měsíců sbíral informace, sledoval, jak systém funguje, a hledal přístupové cesty k nejcitlivějším částem infrastruktury. Krádež přihlašovacích údajů – Útočníci získali VPN přístupy, které jim umožnily dostat se do řídicích systémů (SCADA) rozvoden. Příprava útoku – Nahráli upravený firmware do sériově-ethernetových převodníků, což později znemožnilo jejich vzdálené ovládání. Koordinovaný úder – V připravený den spustili skripty, které postupně vypnuly třicet rozvoden. Současně zahájili DDoS útok na call centra energetických společností, aby zákazníci nemohli nahlásit výpadky.

Technici museli přejít na manuální režim a fyzicky cestovat na rozvodny, aby obnovili dodávky elektřiny. Obnovit všechny systémy trvalo několik týdnů.

Vývoj kybernetických zbraní: Od BlackEnergy k Industroyer2

Útok z roku 2015 byl jen začátkem. Sandworm postupně zdokonaloval své nástroje, vyvíjel sofistikovanější malware a testoval nové metody útoku.

BlackEnergy (2015) – Modulární malware původně navržený pro DDoS útoky, postupně rozšířený o funkce špionáže a sabotáže. Umožnil prvotní průnik do systémů.

Industroyer/CrashOverride (2016) – První malware specificky navržený pro útok na elektrickou infrastrukturu. Dokázal přímo komunikovat s průmyslovými protokoly používanými v rozvodnách. V prosinci 2016 způsobil výpadek elektřiny v části Kyjeva.

NotPetya (2017) – Navenek se tvářil jako ransomware, ve skutečnosti byl navržen k trvalému poškození napadených systémů. Útok začal na Ukrajině, ale rychle se rozšířil do celého světa a způsobil škody přesahující 10 miliard dolarů.

Industroyer2 (2022) – Vylepšená verze původního malwaru, zjištěná v dubnu 2022 po začátku ruské invaze. Byl namířen opět proti ukrajinské energetické infrastruktuře, ale tentokrát byl včas odhalen a zastaven díky spolupráci ukrajinských obránců se společností ESET.

NotPetya: Když se kybernetický útok vymkne kontrole

V červnu 2017 spustil Sandworm to, co se později ukázalo jako jeden z nejničivějších kybernetických útoků v historii. Malware NotPetya byl původně distribuován prostřednictvím aktualizace populárního ukrajinského účetního softwaru M.E.Doc, používaného většinou ukrajinských firem.

Na první pohled vypadal jako ransomware – zobrazil zprávu požadující výkupné. Ve skutečnosti ale neexistoval způsob, jak data obnovit. Jeho skutečným cílem bylo trvalé zničení dat a infrastruktury.

NotPetya se rychle rozšířil po celém světě, zasáhl:

Dánskou lodní společnost Maersk

Farmaceutickou firmu Merck

Potravinářského giganta Mondelez

Logistickou společnost FedEx

A tisíce dalších organizací po celém světě

Celkové škody jsou odhadovány na více než 10 miliard dolarů. I když byl útok zaměřen primárně proti Ukrajině, jeho důsledky ukázaly, jak nebezpečné mohou být kybernetické zbraně v propojeném světě.

Obrana Ukrajiny: Jak se země adaptovala na novou formu války

Ukrajina se po sérii útoků stala nedobrovolným průkopníkem v kybernetické obraně. Země byla nucena rychle reagovat a vyvinout strategie, jak se bránit před dalšími útoky.

Klíčové složky ukrajinské kybernetické obrany:

Státní služba speciální komunikace a ochrany informací (SSSCIP) – Hlavní vládní orgán zodpovědný za kybernetickou bezpečnost

– Hlavní vládní orgán zodpovědný za kybernetickou bezpečnost CERT-UA (Computer Emergency Response Team Ukraine) – Tým rychlé reakce na kybernetické incidenty

(Computer Emergency Response Team Ukraine) – Tým rychlé reakce na kybernetické incidenty IT Army of Ukraine – Dobrovolnická organizace založená po ruské invazi v roce 2022

Ukrajina zavedla řadu preventivních opatření:

Segmentace sítí – oddělení kritických systémů od internetu

Multi-faktorová autentizace pro přístup k citlivým systémům

Pravidelné bezpečnostní audity a penetrační testování

Implementace systémů pro detekci průniků

Jedním z nejdůležitějších kroků byla příprava na výpadky. Ukrajina se naučila:

Rychle izolovat napadené systémy

Přejít na manuální řízení kritické infrastruktury

Obnovit systémy z nezasažených záloh

Díky těmto opatřením se podařilo v dubnu 2022 odvrátit útok malwarem Industroyer2, který mohl způsobit další rozsáhlý blackout.

Důsledky pro svět: Co se můžeme naučit z ukrajinské zkušenosti

Ukrajina se stala nedobrovolnou laboratoří kybernetické války. Zkušenosti této země jsou cenným zdrojem poučení pro zbytek světa:

Kybernetické útoky jsou součástí širší strategie – Nejedná se o izolované incidenty, ale o součást hybridní války. Nejslabším článkem jsou často lidé – Většina útoků začala spear-phishingovými e-maily. Školení zaměstnanců je klíčové. Dodavatelský řetězec je kritický – NotPetya se rozšířil přes legitinní aktualizaci softwaru. Bezpečnost celého řetězce dodavatelů je nezbytná. Připravit se na nemožné – Mít plány pro nejhorší scénáře včetně úplného výpadku digitálních systémů. Mezinárodní spolupráce je nezbytná – Sdílení informací o hrozbách a společná obrana jsou efektivnější než izolované úsilí.

Kybernetická válka už není sci-fi. Je realitou, kterou Ukrajina zažívá každý den. Schopnost napadnout kritickou infrastrukturu z velké vzdálenosti bez jediného výstřelu představuje novou formu konfliktu, na kterou musí být připraven celý svět.

Sandworm a podobné skupiny budou pokračovat ve vývoji stále sofistikovanějších metod útoku. Jedinou obranou je neustálé učení, adaptace a spolupráce v globálním měřítku.

