Phishingové útoky sú dnes oveľa viac než len podvodné e-maily, ktoré sa snažia z nič netušiacich obetí vytiahnuť bankové heslá. Z jednoduchého nástroja kyberzločincov sa stali preferovanou zbraňou štátom sponzorovanej špionáže. A ako upozorňuje portál TechRadar, s nástupom umelej inteligencie a deepfake technológií sa táto hrozba dostáva na novú, oveľa nebezpečnejšiu úroveň.
Výskumná platforma zerothreat.ai uvádza, že deepfake phishingové útoky vzrástli v rokoch 2023 až 2025 o viac ako 310 percent. Viacerí bezpečnostní analytici pritom zdôrazňujú, že AI dokáže v 5 pokusoch a za 5 minút vytvoriť phishingový útok rovnako účinný ako ten, ktorý ľudskému “odborníkovi” zaberie 16 hodín, a to ho možno ešte automatizovane rozoslať v tisícoch variantoch naraz.
Čo sú APT skupiny a o čo im ide
V tomto smere stoja za zmienku takzvané APT skupiny, čo je akronym pre Advanced Persistent Threat. Ide o kybernetické skupiny zvyčajne naviazané na štátnych aktérov. Na rozdiel od bežných hackerov, ktorých cieľom je rýchly finančný zisk, hľadajú niečo iné, a síce dlhodobý, neodhalený prístup k systémom, kde môžu ticho zbierať kritické spravodajské informácie.
Analytická spoločnosť TeamT5 vo svojej správe o APT hrozbách za rok 2025 uvádza, že sledovala viac ako 510 APT operácií zasahujúcich 67 krajín. Práve vládne a technologické sektory čelili najvyššiemu počtu útokov spomedzi všetkých sledovaných odvetví.
Phishing pritom zostáva najobľúbenejšou vstupnou metódou pre tieto skupiny nie preto, že by obchádzal pokročilé technológie, ale preto, že cielia na ľudský faktor. Útočníci vedia, že najslabším článkom akéhokoľvek bezpečnostného systému je človek. Preto stavajú na manipulácii s dôverou: profesionálne formulované správy, originálne logá organizácií, perfektná napodobenina internej firemnej komunikácie.
Správy navyše prichádzajú v kontextoch, kde je ostražitosť prirodzene nižšia. Ako príklady možno použiť pozvánky na semináre, žiadosti o zdieľanie dokumentov, pracovné ponuky alebo upozornenia z IT oddelenia.
MuddyWater a OilRig
Dvoma z najaktívnejšie sledovaných APT skupín sú MuddyWater a OilRig, obe napojené na iránske štátne záujmy. Bezpečnostná spoločnosť Group-IB zdokumentovala, ako MuddyWater realizovala phishingovú kampaň zameranú na viac ako 100 vlád a niekoľko medzinárodných organizácií s cieľom zbierať geopolitické spravodajstvo v oblasti Blízkeho východu a severnej Afriky.
V jednej z kampaní MuddyWater najprv kompromitovala reálnu e-mailovú schránku dôveryhodnej organizácie a potom cez ňu rozosielala phishingové správy, ktoré sa javili ako autentická korešpondencia. Na zakrytie stôp pritom zneužívala legitímnu komerčnú VPN službu. Výsledkom bolo, že správy prišli z overených adries, bez akéhokoľvek technického signálu, ktorý by príjemcu upozornil.
V januári tohto roku Certfa Radar zdokumentoval ďalšiu kampaň tejto skupiny pod názvom Operation Olalampo, zameranú predovšetkým na región MENA. Útočníci nasadili nové varianty škodlivého softvéru, pričom jeden z nich využíval Telegram bot ako riadiaci a kontrolný kanál. V inej phishingovej kampani sa MuddyWater vydávala za náborovú agentúru spojenú s renomovanou finančnou firmou Rothschild & Co, pričom cielila na finančných riaditeľov naprieč Európou, Severnou Amerikou, Afrikou a Áziou.
Skupina OilRig, sledovaná tiež pod názvami APT34 alebo Helix Kitten a spájaná s iránskym Ministerstvom pre spravodajstvo a bezpečnosť, pôsobí od roku 2014. Server Brandefense uvádza, že OilRig sa postupne preorientoval z relatívne jednoduchých phishingových kampaní na dlhodobé operácie zamerané na zhromažďovanie spravodajstva a trvalý prístup do kritickej infraštruktúry.
Typickým postupom skupiny je kompromitovanie e-mailových účtov vládnych agentúr a ich následné využitie na rozosielanie phishingových správ. Útočník sa tak aj v tomto prípade skrýva za totožnosť dôveryhodného odosielateľa.
Neprehliadnite
Dodávateľský reťazec ako vstupná brána
Štátom sponzorované kybernetické skupiny si dobre uvedomujú, že priamy útok na vládne systémy je mimoriadne náročný. Preto siahajú po inej taktike, a síce útoku na dodávateľský reťazec. Každý dodávateľ, subdodávateľ alebo externý konzultant s akýmkoľvek prepojením na štátne systémy sa môže stať vstupnou bránou.
Najznámejším príkladom je útok na spoločnosť SolarWinds, odhalený ešte v decembri 2020. Podľa databázy MITRE ATT&CK ho realizovala ruská skupina APT29. Útočníci sa do systémov SolarWinds dostali ešte v septembri 2019 a trpezlivo testovali injekciu škodlivého kódu až do chvíle, keď sa v marci 2020 spustila distribúcia aktualizácie softvéru Orion s vloženým záškodníckym modulom. Kompromitovanú aktualizáciu si stiahlo zhruba 18 000 organizácií po celom svete, vrátane viacerých amerických vládnych agentúr.
Vlani sa tento model ešte prehĺbil. Správa TeamT5 popisuje tzv. „Fail-of-Trust Model“, pri ktorom útočníci zámerne cielia na poskytovateľov IT služieb a cloudových riešení, aby cez ich kompromitovanú infraštruktúru získali prístup k desiatkam ďalších organizácií naraz.
TechRadar v tejto súvislosti upozorňuje otázku, ktorá rezonuje celým odvetvím: môžu súkromné firmy s istotou tvrdiť, že ich kybernetická obrana je rovnako silná ako najslabší článok v ich dodávateľskom reťazci? Asi nie.
Slovensko ako terč ruských APT skupín
Výskumníci z bezpečnostnej firmy Mandiant, citovaní portálom KnowBe4, varujú, že ruská skupina APT29 sa cielene zameriava na technologické firmy v krajinách NATO s cieľom uskutočniť útoky na dodávateľský reťazec a preniknúť tak do vládnych organizácií.
Ešte konkrétnejšie to dokumentuje kampaň ruskej skupiny APT28 z marca tohto roku. Vtedy bezpečnostní analytici upozornili, že skupina nasadila nový malvér PRISMEX, pričom medzi jej primárnymi cieľmi boli výslovne menované Česká republika, Poľsko, Rumunsko a Slovensko, teda krajiny s priamou väzbou na vojenskú logistiku NATO. Slovenské organizácie, ktoré pôsobia v obrane, energetike, štátnej správe alebo kritickej infraštruktúre, by preto mali vnímať phishing nie ako bežné IT riziko, ale ako strategickú bezpečnostnú hrozbu.
Ako sa brániť
Obrana pred APT útokmi si vyžaduje kombináciu technických opatrení, procesov aj vzdelávania. Základom je kybernetická hygiena, teda pravidelné záplaty systémov, aktualizácie softvéru a sledovanie nových taktík, techník a procedúr útočníkov. Organizácie by tiež podľa expertov mali zavádzať viacfaktorovú autentifikáciu na všetkých účtoch, monitorovať odchádzajúcu sieťovú prevádzku a nasadiť sandboxing a skenovanie príloh v e-mailovej komunikácii.
Zásadné je aj pravidelné simulovanie phishingových útokov voči vlastným zamestnancom, a to preto, aby vedeli, ako takýto pokus vyzerá v praxi, nie len v teórii. Z dlhodobého hľadiska je ďalej kľúčové aplikovať princíp minimálnych oprávnení a nasadiť behaviorálnu detekciu anomálií, ktorá dokáže odhaliť podozrivú aktivitu skôr, než napácha vážne škody.
Technológia môže obranné kapacity výrazne posilniť, no základnou líniou ostáva vzdelanosť a ostražitosť ľudí. Geopolitické napätia vo svete narastajú. A žiaľ, spolu s nimi rastie aj sofistikovanosť digitálnych hrozieb.
