Hackerská skupina APT28 napojená na ruský stát vytvořila dvě nová zadní vrátka, kterými napadla vládní a dopravní organizace na Ukrajině a v osmi dalších zemích.
Obvykle bezpečnostní záplata umožňuje opravit zranitelnost a zapomenout na ni. Právě opak se stal na konci ledna poté, co společnost Microsoft vydala naléhavou, neplánovanou bezpečnostní aktualizaci pro sadu Office pro zranitelnost CVE-2026-21509. Během necelých 48 hodin hackeři napojení na ruský stát záplatu zpětně analyzovali a vyvinuli exploit (metoda nebo nástroj, který využívá chybu v programu k provádění neautorizovaných akcí) , který nainstaloval dvě nová, dosud neviděná zadní vrátka určená ke špehování počítače. Tímto způsobem mohli provést útoky typu spear phishing, které jim umožnily kompromitovat vládní a dopravní organizace na Ukrajině a v osmi dalších zemích.
Spear phishing je typ cíleného a personalizovaného phishingu, který spočívá v tom, že útočníci namísto hromadného rozesílání mailů připravují cílené zprávy konkrétní osobě nebo instituci, často se vydávají za skutečný kontakt, aby oběť přiměli otevřít soubor, kliknout na odkaz nebo předat přihlašovací údaje. V tomto případě e-maily napodobovaly legitimní sdělení vládních agentur, což značně zvyšovalo pravděpodobnost, že jim příjemce bude důvěřovat.
Podle výzkumníků z firmy Trellix, která se zabývá kybernetickou bezpečností, byla kampaň skupiny známé jako APT28 navržena tak, aby útok nebyl odhalen systémovými ochranami . Kromě toho, že exploity a payloady byly nové, byly zašifrované a spouštěly se v paměti, což ztěžovalo odhalení škodlivé aktivity. Takové techniky, známé jako fileless, nezanechávají na pevném disku jasné stopy a komplikují práci tradičního antivirového softwaru.
Zranitelnost CVE-2026-21509 se týkala komponent sady Microsoft Office a umožňovala vzdálené spuštění kódu, tj. útočník mohl přimět počítač oběti ke spuštění instrukcí bez jejího vědomí. Společnost Microsoft označila chybu za kritickou a opravila ji záplatou mimo svůj obvyklý cyklus aktualizací, což již dávalo tušit závažnost problému. Rychlost, s jakou byla zneužita, však ukazuje, jak se ekosystém hrozeb profesionalizoval: nejpokročilejší skupiny neustále sledují bulletiny zabezpečení a hledají příležitosti dříve, než organizace stihnou provést aktualizaci.
Tento jev není nový, ale je stále výraznější. Nedávné zprávy bezpečnostních firem, jako jsou Mandiant a CrowdStrike, naznačují, že časové okno mezi vydáním záplaty a aktivním zneužitím se v posledních letech zkracuje, v některých případech na pouhé hodiny. V praxi to znamená, že už nestačí „záplatovat, kdy se dá“: pro kritické systémy se rychlá aktualizace stala závodem s časem tváří v tvář politicky motivovaným a vynalézavým útočníkům.
Kampaň typu spear phishing
Útok začal využitím dříve kompromitovaných vládních účtů v několika zemích, které již příjemci cílených e-mailů pravděpodobně znali. Zprávy tak vypadaly, že pocházejí od legitimních odesílatelů, jako jsou ministerstva nebo velvyslanectví, což snižovalo podezření. Řízení útoku bylo řízeno prostřednictvím legitimních cloudových služeb, které jsou často na seznamech povolených služeb v rámci citlivých sítí, jako jsou úložné platformy nebo firemní poštovní služby.
Podle Trellixe útočníci za necelé dva dny zvrátili záplatu společnosti Microsoft, aby přesně pochopili, co opravuje, a na základě toho obnovili původní chybu. Tato technika, známá jako patch diffing, spočívá v porovnání kódu před a po aktualizaci, aby bylo možné najít změnu a odvodit zranitelnost. Po identifikaci vyvinuli funkční exploit a začlenili jej do modulárního řetězce útoku od počátečního mailu až po instalaci zadních vrátek.
Využití CVE-2026-21509 ukazuje, jak rychle mohou aktéři se státním zájmem využít nové zranitelnosti jako zbraň a zkrátit tak obráncům čas na opravu kritických systémů. Modulární infekční řetězec kampaně, od počátečního phishingu až po backdoor v paměti a sekundární implantáty, byl pečlivě navržen tak, aby využíval důvěryhodné kanály (HTTPS ke cloudovým službám, legitimní poštovní toky) a techniky bez souborů, které se skrývají před zraky ostatních,“ poznamenávají výzkumníci.
Kampaň spear phishingu začala 28. ledna a trvala 72 hodin. Za tuto dobu bylo doručeno nejméně 29 podvodných e-mailů organizacím v devíti zemích, převážně ve východní Evropě. Trellix uvádí osm z nich: Ukrajinu, Polsko, Slovinsko, Turecko, Řecko, Spojené arabské emiráty, Rumunsko a Bolívii. Cílovými organizacemi byla ministerstva obrany (40 %), provozovatelé dopravy a logistiky (35 %) a diplomatické subjekty (25 %). Ačkoli se počet e-mailů může zdát nízký, v takto cílených kampaních není důležitá kvantita, ale kvalita cílů a úroveň přístupu, kterou lze získat jediným kliknutím.
Zprávy obsahovaly škodlivé dokumenty Office nebo odkazy vedoucí na soubory připravené ke zneužití zranitelnosti. V mnoha případech se jednalo o údajně interní komunikaci, diplomatické verbální nóty nebo dokumentaci týkající se logistiky a dopravy, což jsou běžná témata v každodenním životě cílových institucí. Tato volba témat není náhodná: čím více se obsah shoduje se skutečnou prací příjemce, tím větší je pravděpodobnost, že jej nic netušící otevře.
Jakmile oběť soubor otevřela nebo následovala odkaz, spustil se několikastupňový prováděcí řetězec. Nejprve byla zneužita chyba v Office ke spuštění kódu v systému. Poté tento kód stáhl nebo vygeneroval v paměti komponenty potřebné ke komunikaci s řídicími servery útočníků, umístěnými na zdánlivě neškodných cloudových službách. Odtud se rozhodovalo, zda nasadit BeardShell, NotDoor nebo obojí, v závislosti na zájmu cíle.
Tento typ kampaně zapadá do širšího vzorce kybernetických útoků zaměřených na Ukrajinu a spojenecké země od začátku ruské invaze v roce 2022. Agentury, jako je NATO a Evropská unie, opakovaně varovaly před výrazným nárůstem kybernetických a sabotážních operací spojených se skupinami, jako je APT28, které se snaží získat citlivé informace o vojenských přesunech, dodavatelských řetězcích nebo politických rozhodnutích.
Nové zadní vrátka BeardShell a NotDoor
Útok vedl k instalaci payloadů BeardShell nebo NotDoor, což jsou názvy, které Trellix těmto novým backdoorům dal. V oblasti kybernetické bezpečnosti se zadními vrátky rozumí program, který útočníkovi umožňuje udržet si vzdálený a skrytý přístup k napadenému systému i po ukončení původního útoku.
BeardShell umožňoval útočníkům „zachytit tep“ napadeného počítače (zjistit, co je na něm nainstalováno, jak je nakonfigurován a kteří uživatelé jej používají) a navíc zůstat uvnitř i v případě, že byl počítač restartován. Aby toho dosáhl, byl „zamaskován“ do běžného procesu systému Windows (svchost.exe), což bezpečnostním systémům znesnadňuje jeho odhalení. Tento proces je jedním z nejběžnějších procesů v operačním systému a obvykle je stále aktivní, což z něj činí ideální úkryt. Odtud se jim také otevřely dveře k přesunu do jiných počítačů ve stejné síti, což je technika známá jako laterální pohyb.
Kromě shromažďování základních systémových informací obsahoval BeardShell funkce pro spouštění dalších příkazů, stahování nových modulů a nastavování různých metod perzistence (způsobů, jak se znovu aktivovat po restartu nebo pokusu o vyčištění). To vše probíhalo prostřednictvím šifrované komunikace s příkazovými a řídicími servery umístěnými v cloudových službách, což způsobovalo, že škodlivý provoz byl zaměňován za legitimní organizační provoz.
NotDoor měl přitom podobu „makra„, tedy jakéhosi miniprogramu vloženého do dokumentů nebo e-mailů, a mohl být nainstalován až poté, co se útočníkovi podařilo vyřadit ochranu aplikace Outlook, která takový kód běžně blokuje. Makra jsou legitimní funkcí sady Office pro automatizaci opakujících se úkolů, ale již několik let jsou oblíbeným vektorem útočníků, a to do té míry, že společnost Microsoft jejich používání ve výchozím nastavení zpřísnila.
Jakmile se dostal dovnitř, NotDoor se věnoval sledování pošty oběti, kontroloval složky, jako je Doručená pošta, Koncepty nebo Nevyžádaná pošta, a shromažďoval zprávy. Jeho hlavním cílem byla kybernetická špionáž: získat kopie citlivých zpráv, příloh a případných přihlašovacích údajů nebo interních dat, která se mohou v e-mailech objevit. Mohla být také použita k pochopení struktury organizace, kdo s kým a o jakých tématech hovoří – což byly cenné informace pro pozdější přípravu ještě věrohodnějších útoků.
Poté tyto e-maily zabalil do archivu aplikace Outlook a odeslal je na účty ovládané útočníky prostřednictvím legitimní cloudové služby (filen.io), aby získávání informací vypadalo jako běžný provoz. Kromě toho se snažil zahladit stopy tím, že zprávy označil jako „již přeposlané“ a nakonfiguroval doručování tak, aby po přeposlání zmizely ze složky Odeslané položky, což by uživateli nebo správci ztížilo odhalení toho, co se stalo. Cílem takových antiforenzních technik je zkomplikovat další vyšetřování a získat čas, než bude průnik odhalen.
Podle společnosti Trellix vykazovaly oba backdoory úroveň propracovanosti odpovídající státnímu aktérovi: rozsáhlé použití šifrování, modularita (tj. možnost přidávat nebo odebírat funkce v závislosti na cíli) a zjevná snaha integrovat se do prostředí oběti, aniž by vzbudily podezření. Nejednalo se o opakovaně použitý obecný malware, ale o nástroje zjevně vyvinuté nebo upravené speciálně pro tuto kampaň.
Na základě technických ukazatelů a vybraných cílů Trellix kampaň s „vysokou důvěrou“ přisoudil APT28. Ukrajinský CERT-UA rovněž přisoudil útoky UAC-0001, sledovacímu názvu, který odpovídá APT28.
APT28 má za sebou dlouhou historii kybernetické špionáže a vlivových operací. Modus operandi v této kampani (vícestupňový malware, rozsáhlá obfuskace, zneužití cloudových služeb a využití poštovních systémů jako mechanismu perzistence) odráží pokročilého, vynalézavého protivníka, což odpovídá profilu APT28. Soubor nástrojů a technik také odpovídá stopě APT28,“ píší výzkumníci ze společnosti Trellix.
Kdo je APT28 a proč je tento útok důležitý?
APT28, známá také jako Fancy Bear, Sofacy nebo STRONTIUM (mimo jiné), je jednou z nejstudovanějších kyberšpionážních skupin na světě. Různé vlády a bezpečnostní společnosti ji již léta spojují s ruskou vojenskou rozvědkou (GRU). Připisují se jí mimo jiné operace proti NATO, evropským ministerstvům obrany, německému Bundestagu a americkému Demokratickému národnímu výboru v roce 2016.
Její specialitou jsou dlouhodobé kampaně zaměřené na získávání strategických informací: interních dokumentů, diplomatické komunikace, vojenských plánů nebo údajů o kritických infrastrukturách. Za tímto účelem kombinují relativně „klasické“ techniky, jako je spear phishing, s vysoce pokročilými nástroji a hlubokou znalostí prostředí, na které útočí. Nejde jim ani tak o okamžitý dopad (jako by to udělal ransomware), ale o tichý a trvalý přístup.
Útok popsaný společností Trellix tomuto vzoru odpovídá. Nedošlo k zašifrování dat ani k požadavku výkupného, ale spíše ke snaze zůstat neviditelný při získávání informací. Skutečnost, že mezi cíle patřila ministerstva obrany a provozovatelé dopravy a logistiky, naznačuje zájem o pochopení způsobu pohybu vojsk, materiálu a zásob, což je v kontextu války na Ukrajině klíčový aspekt.
Využití nově opravené chyby v kancelářském balíku Microsoft Office navíc poukazuje na globální závislost na několika technologických platformách. Nástroje jako Office, Outlook nebo cloudové služby velkých poskytovatelů jsou ve vládách a firmách všudypřítomné. Když se v těchto produktech objeví kritická zranitelnost, potenciální dopad je obrovský a skupiny jako APT28 to vědí.
Co mohou organizace (a uživatelé) tváří v tvář takovým útokům dělat
Takové incidenty se často zdají být vzdálené, vyhrazené ministerstvům a velkým korporacím, ale existuje řada poučení, která platí i pro menší organizace a dokonce i pro jednotlivé uživatele:
- Rychlá aktualizace: bezpečnostní záplaty, zejména ty, které jsou klasifikovány jako kritické nebo nouzové, by měly být aplikovány co nejdříve, přičemž prioritou by měly být nejvíce ohrožené systémy (poštovní servery, počítače se vzdáleným přístupem atd.).
- Školení o phishingu: bez ohledu na to, jak sofistikované jsou exploity, mnoho útoků stále začíná e-mailem. Jednou z nejúčinnějších obranných opatření zůstává naučit zaměstnance dávat si pozor na neočekávané přílohy, i když se zdá, že pocházejí od známých kontaktů.
- Omezení maker a nebezpečných příloh: výchozí zakázání maker v externích dokumentech a omezení typů souborů, které lze z pošty přijímat nebo otevírat, snižuje plochu pro útoky.
- Monitorování využívání cloudu: pokud útočníci využívají ke komunikaci nebo exfiltraci dat legitimní cloudové služby, sledujte anomální vzorce provozu těchto služeb (neobvyklé objemy, zvláštní rozvrhy atd.).
- Obrana do hloubky: Nespoléhejte se na jedinou vrstvu zabezpečení. Kombinace antivirového programu, poštovních filtrů, segmentace sítě, vícefaktorové autentizace a systémů behaviorální detekce pomáhá zajistit, že v případě selhání jedné bariéry může další útok zastavit nebo alespoň omezit.
Pro domácí uživatele je doporučení podobné, ale jednodušší: udržujte systém a aplikace aktuální, dávejte si pozor na e-maily s výzvou k otevření souborů nebo povolení maker a používejte dvoufázové ověřování, kdykoli je to možné, k ochraně e-mailových účtů a cloudových služeb.
Zároveň organizace, jako je Národní kryptologické centrum ve Španělsku, ENISA v Evropské unii a CISA ve Spojených státech, pravidelně zveřejňují varování a průvodce kritickými zranitelnostmi a aktivními kampaněmi, které mohou sloužit jako reference pro stanovení priorit ochranných opatření.
Připomenutí nové digitální reality
Kampaň APT28 zneužívající CVE-2026-21509 je jasným příkladem toho, jak se změnila rovnováha mezi útočníky a obránci. V minulosti znamenala bezpečnostní záplata v jistém smyslu konec příběhu. Dnes je pro pokročilejší skupiny často výchozím bodem: veřejným náznakem, kde hledat nový vstupní bod.
V prostředí, kde se geopolitické konflikty odehrávají i v kyberprostoru, se bezpečnost každodenních nástrojů, jako je pošta nebo dokumenty Office, stala strategickou otázkou. To, co se na první pohled jeví jako prostá technická závada, se může, je-li včas zneužito, proměnit v přístup k diplomatické komunikaci, vojenským plánům nebo politickým rozhodnutím na vysoké úrovni.
Pro organizace z toho plyne jasná zpráva: nestačí mít antivirový program a firewall. Je nutné počítat s tím, že útočníci budou hledat jakoukoli skulinu, a to i v nově vydaných záplatách, a že jediným způsobem, jak snížit riziko, je kombinace technologií, procesů a školení. Pro uživatele z toho plyne podobné ponaučení: v hyperpropojeném světě už není bezpečnost jen záležitostí „ajťáků“, ale společnou odpovědností.