Dominujú skupiny pochádzajúce z Ruska, ale nespí ani Ukrajina
„Od objavenia sa Z-Pentest prepojeného s Ruskom v minulom roku sa útoky na PRS stávajú čoraz viac súčasťou arzenálu hacktivistov. Tento posun od narušenia na povrchovej úrovni k narušeniu na úrovni infraštruktúry naznačuje rastúci strategický zámer a technické schopnosti v rámci hacktivistického ekosystému,“ uviedla spoločnosť Cyble vo svojom blogovom príspevku.
„Z-Pentest sa stala poprednou hacktivistickou skupinou zameranou na kritickú infraštruktúru s 38 útokmi na PRS v druhom štvrťroku 2025, čo je o viac ako 150 % vyššie číslo v porovnaní s 15 útokmi na PRS, ktoré Cyble pripísala skupine v prvom štvrťroku.“ Dodala, že konzistentné zameranie Z-Pentest na energetickú infraštruktúru vo viacerých európskych krajinách odráža štruktúrovaný a trvalý prístup kampane.
Častou taktikou Z-Pentest je zverejňovanie nahrávok obrazoviek napadnutých prevádzok, kde vidno manipuláciu s ovládacími prvkami PRS, čo ešte viac zosilňuje psychologický dosah útokov. Navyše, v posledných mesiacoch ďalšie dve skupiny napojené na Rusko aktívne zacielili na prostredie PRS. Nová skupina Dark Engine mala na konte 26 incidentov zameraných na PRS v druhom štvrťroku s výrazným operačným nárastom v júni.
Okrem toho bolo ďalšie zoskupenie Sektor 16 v poslednom štvrťroku spojené so 14 útokmi. Skupiny zosúladili posolstvá, koordinovali načasovanie a zdieľali priority zacielenia, čo naznačuje zámernú spoluprácu. Avšak svoje slovo v tejto kybernetickej vojne povedala výrazným spôsobom aj Kybernetická jednotka rozviedky Ukrajiny (HUR), ktorá podľa informácií zverejnených Kyiv Post a RBC-Ukraine uskutočnila v polovici júla tohto roku útok na sieťovú infraštruktúru ruského plynárenského gigantu Gazprom. V dôsledku kyberútoku došlo k vážnym škodám na sieťovej infraštruktúre Gazpromu.
Ako informoval portál RBC-Ukraine, zničených malo byť množstvo databáz a nainštalovaný špeciálny softvér. Hackeri zároveň nainštalovali na firemné servery škodlivý softvér, ktorý má pokračovať v ničení dát. Zničené boli aj databázy riadiace plynárenskú infraštruktúru vrátane ventilov, snímačov a čerpadiel, ako aj servery systémov SCADA či kľúčové dáta Gazpromu vrátane dokumentov, správy serverov aj technických systémov na riadenie infraštruktúry. Poškodené boli operačné systémy a BIOS, takže viaceré servery sú nefunkčné a vyžadujú fyzickú opravu.
Útoky cielené na národnú infraštruktúru
Sektor energetiky a verejných služieb sa stal hlavným cieľom útokov PRS, čo ukazuje dôraz na infraštruktúru viazanú na národnú odolnosť. Ďalšie cielenie bolo pozorované v sektore výroby, dopravy a telekomunikácií vrátane pokusov o kompromitáciu riadiacich systémov v rámci národných sietí. Cyble zistila, že najčastejším terčom útokov PRS zo strany hacktivistov bolo Taliansko, nasledované ďalšími štátmi spojenými s NATO vrátane USA, Českej republiky, Francúzska a Španielska.
Výskumníci uviedli, že aktivita hacktivistov odhaľuje, že útoky DDoS zostávajú najbežnejšou taktikou, ktorá predstavuje 54 % incidentov, za ňou nasledujú útoky na webové stránky s 15 %. Na vzostupe sú však cielenejšie a rušivejšie typy útokov. Útoky na PRS teraz tvoria 13 % incidentov hacktivistov, zatiaľ čo úniky údajov predstavujú 11 %. Zistilo sa tiež, že zvyšných 7 % tvoria útoky, pri ktorých útočníci získajú neoprávnený prístup k sieťam alebo systémom.
Tieto údaje odrážajú badateľný posun v stratégii hacktivistov smerom ku komplexnejším a škodlivejším operáciám. „V nedávnom incidente si Dark Engine nárokoval neoprávnený prístup k rozhraniu HMI/SCADA používanému vo vietnamských priemyselných prevádzkach,“ uviedol Cyble. „Ako vyplýva z uniknutých snímok obrazovky z kompromitácie, narušený systém ovláda vysokoteplotnú pec pravdepodobne používanú v oblasti metalurgie, výroby keramiky alebo cementu či spracovanie potravín.“
V štúdii Cyble sa uvádza, že úniky údajov zostávajú pretrvávajúcou, ale sekundárnou hrozbou, ktorá sa často používa na odhalenie poverení, administratívnych rozhraní a interných záznamov. Najviac postihnutými sektormi boli vláda a orgány činné v trestnom konaní, ďalej vzdelávanie, bankovníctvo, finančné služby a poisťovníctvo, doprava a logistika. Cyble dospel k záveru, že keďže hacktivistické skupiny čoraz viac spolupracujú, nárast sofistikovanosti útokov, ktorý sa zaznamenal v druhom štvrťroku, sa pravdepodobne rozšíri po celom spektre odvetví a geografických zón.
Aby sa firmy a inštitúcie vyhli vystaveniu nežiaducemu útoku, kritické aktíva by sa mali vždy, keď je to možné, držať mimo internetu. IT a OT siete musia byť segmentované a riadené nulovou dôveryhodnosťou. Silná správa zraniteľností spolu s neustálym monitorovaním a posilňovaním sietí a koncových bodov zostáva nevyhnutná pre obranu.
Ransomvér a zariadenia infikované USB dominujú
Nový výskum spoločnosti Honeywell poukazuje na ostré a rastúce hrozby ransomvéru voči priemyselným prevádzkovateľom a výrobcom. Útoky ransomvéru v prvom štvrťroku 2025 vzrástli o 46 %, pričom najaktívnejším aktérom hrozby sa stala skupina ransomvéru Cl0p. V tom istom štvrťroku správa Honeywell 2025 Cyber Threat Report uviedla 2 472 nových obetí ransomvéru, pričom úroveň prevádzkových technológií zostáva hlavným cieľom haktivistov.
Z 55 incidentov v oblasti kybernetickej bezpečnosti, ktoré spoločnosti zverejnili prostredníctvom formulára SEC 8-K v roku 2024, viac ako polovica, teda 30 prípadov, boli priame útoky na systémy na úrovni výrobných prevádzok. Jednou z najvýznamnejších hrozieb súčasnosti je opätovný výskyt trójskeho koňa W32.Worm.Ramnit, ktorý zaznamenal 3 000-percentný nárast. Útočníci ho znovu používajú na krádež prihlasovacích údajov na úrovni prevádzkových technológií od priemyselných prevádzkovateľov.
V uvedenej správe sa uvádza, že hrozby založené na USB zariadeniach zostávajú stále vážne, pričom každý štvrtý z desiatich najčastejších bezpečnostných incidentov bol spojený so škodlivou aktivitou spustenou zariadeniami USB typu plug-and-play. Priemyselné organizácie čelia výraznému nárastu kybernetických hrozieb, pričom útoky ransomvéru boli silne zamerané na prevádzkové prostredie.
Hoci neboli vyvinuté žiadne nové kmene ransomvéru špeciálne pre PRS, existujúci aktéri hrozieb boli stále schopní spôsobiť rozsiahle narušenia. Výrobné závody, čistiarne odpadových vôd a dodávatelia energie v dôsledku toho zažívali odstávky, manuálne prepínanie medzi systémami a oneskorenia v dodávateľskom reťazci. Trójske kone zostali tiež pretrvávajúcou hrozbou, pričom niektoré vykazovali zvýšenú aktivitu, zatiaľ čo zariadenia USB naďalej šírili rôzne červy vrátane novo identifikovaného kmeňa. Známe narušenia bezpečnosti poukázali na pretrvávajúcu zraniteľnosť vo verejnom aj súkromnom sektore, čím sa posilnila potreba silnejšej kybernetickej obrany a efektívnejšieho plánovania reakcie na incidenty.
Ohrozené sú všetky odvetvia
Správa o kybernetických hrozbách z roku 2025 tiež uvádza, že kybernetické útoky sa čoraz viac rozširujú naprieč sektormi, pričom poľnohospodárstvo a výroba potravín zaznamenávajú prudký a exponenciálny nárast cieľov. Tieto odvetvia, ktoré boli kedysi považované za okrajové pre aktérov kybernetických hrozieb, sa teraz stávajú kritickými vstupnými bodmi pre narušenie. Vládne agentúry tiež hlásili rastúci počet hrozieb voči verejným službám.
V USA Agentúra na ochranu životného prostredia varovala, že infraštruktúra zabezpečujúca dodávky pitnej vody v krajine je vysoko zraniteľná voči kybernetickým útokom. Odhaduje sa, že 193 miliónov ľudí sa spolieha na systémy, ktoré by mohli byť napadnuté, čo predstavuje vážne riziko pre verejné zdravie a bezpečnosť. V roku 2024 došlo k narušeniu bezpečnosti veľkej spoločnosti z oblasti vodárenského priemyslu, ktorá pôsobí v 14 štátoch USA.
Incident viedol k prerušeniu služieb, ktoré ovplyvnili niekoľko kľúčových systémov. Americký úrad pre bezpečnosť dopravy reagoval na rastúce riziká návrhom nových predpisov o kybernetickej bezpečnosti pre metrá a železnice. Tieto pravidlá vyžadujú, aby prevádzkovatelia hlásili kybernetické incidenty do 24 hodín a vykonávali každoročné hodnotenia kybernetickej bezpečnosti. V roku 2024 bol dopravný systém v Pittsburghu v Pensylvánii zasiahnutý útokom ransomvéru, ktorý narušil spracovanie platieb a spôsobil prevádzkové problémy pre dochádzajúcich.
Na medzinárodnej úrovni boli napadnuté aj systémy verejnej dopravy. Japonskú leteckú spoločnosť zasiahol distribuovaný útok typu DoS, ktorý vynútil vypnutie systému, oneskoril viac ako 40 letov a narušil kritické služby vrátane manipulácie s batožinou a predaja lístkov. To zdôraznilo rastúci dosah kybernetických hrozieb v sektoroch, ktoré sú životne dôležité pre každodenný život a hospodársku stabilitu.
Riešenie: architektúra nulovej dôvery a využitie umelej inteligencie
„Vzhľadom na čoraz závažnejšie hrozby a aktualizované predpisy o podávaní správ, ktoré vyžadujú zverejňovanie závažných kybernetických bezpečnostných incidentov, musia priemyselní prevádzkovatelia konať rozhodne, aby zmiernili nákladné neplánované prestoje a riziká vrátane tých, ktoré súvisia s bezpečnosťou,“ povedal P. Smith. „Využitie architektúry nulovej dôvery a umelej inteligencie na analýzu bezpečnosti môže urýchliť detekciu a umožní inteligentnejšie rozhodovanie a proaktívnu obranu v čoraz komplexnejšom digitálnom prostredí.“
Správa spoločnosti Honeywell načrtáva kritické kroky, ktoré by mali priemyselné organizácie podniknúť na posilnenie kybernetickej bezpečnosti. Medzi kľúčové odporúčania patrí vývoj a pravidelné preskúmanie politík kybernetickej bezpečnosti, školenie zamestnancov v oblasti phishingu a kybernetickej hygieny a ochrana pred hrozbami prenášanými cez USB. Správa zdôrazňuje potrebu viacfaktorového overovania, silných postupov pri používaní hesiel a segmentácie siete na základe prístupu s najnižšími privilégiami.
Správa apeluje na podniky, aby prijali architektúru nulovej dôvery, vykonávali pravidelné aktualizácie softvéru a neustále monitorovali systémy, či sa nevyskytuje abnormálne správanie. Dôležité je aj šifrovanie údajov, udržiavanie bezpečných a testovaných záloh a vykonávanie posúdení zraniteľnosti. Označovanie kritických aktív a dodržiavanie noriem, ako sú NIST 800-82 a IEC 62443, pomáha pri priorizácii obrany.
Dôležitá je aj segmentácia siete. Izolácia systémov môže obmedziť šírenie útoku. Uplatnením princípu najmenších privilégií môžu organizácie zabezpečiť, aby používatelia, zariadenia a aplikácie mali iba prístup, ktorý potrebujú na vykonávanie svojich špecifických úloh, čím sa zníži celková plocha útoku a zníži sa potenciál narušenia. Využívanie cloudových bezpečnostných nástrojov na správu identít, monitorovanie, šifrovanie a skenovanie zraniteľností zabezpečuje odolnejšie a proaktívnejšie bezpečnostné nastavenie.
Vo všetkých systémoch by malo byť povolené viacfaktorové overovanie a musia sa vynucovať silné heslá. Používanie úložísk hesiel a nástrojov na overovanie identity pomáha zabezpečiť, aby bol prístup udelený iba správnym osobám v správnom čase. Aktualizácie softvéru sa musia vykonávať pravidelne, aby sa riešili známe zraniteľnosti. Tieto aktualizácie by mali byť integrované so systémom správy záplat a počas nasadenia by sa mali riešiť všetky problémy, aby sa zachovala integrita softvéru.
Neustále monitorovanie a audit bezpečnostných opatrení pomocou dostupných nástrojov môže tiež pomôcť identifikovať abnormálnu aktivitu v sieti. Organizácie by mali vizualizovať komunikáciu a konať v prípade neoprávnených činností alebo interakcií.
Literatúra
[1] Ribeiro, A.: Cyble warns hacktivists shift tactics, targeting critical infrastructure with ICS attacks, data breaches, intrusions. Industrial Cyber. [online]. Publikované 14. 7. 2025.
[2] Ribeiro, A.: New Honeywell 2025 Cyber Threat Report reveals ransomware surges 46 percent with OT systems as key targets. Industrial Cyber. [online]. Publikované 4. 6. 2025.
[3] Bezpalko, U. – Dmytriieva, D.: Ukrainian intelligence hacks Gazprom: Massive data destruction and network disruption, RBC-Ukraine. [online]. Publikované 18. 7. 2025.
-tog-