Jeden ruský škodlivý kód rozpoutal digitální apokalypsu v ukrajinské armádě

Zdánlivě nenápadná zpráva v mobilní aplikaci může umožnit převzetí kontroly nad zařízením. Dnes stačí k rozpoutání digitální katastrofy opravdu málo.

NeedPix

Ruští hackeři zvaní UAC-0184 (nebo i Hive0156) loni posílili útoky proti ukrajinské armádě a státním institucím. Aby doručili škodlivé soubory, začali zneužívat aplikaci Viber, která slouží ke komunikaci. Jak redakce Mobify zaznamenala, jeden jediný škodlivý kód tak dovedl spustit řetězec událostí vedoucích k plnému ovládnutí zařízení obětí.

Nejprve jsou doručeny soubory v ZIP archivu

Skupina hackerů z Ruska byla poprvé pořádně zdokumentována začátkem roku 2024 ukrajinským týmem CERT-UA, informoval SOCPrime. Už tehdy bylo jasné, že cílem jsou hlavně vojenské a vládní struktury, přičemž využívá témata spojená s válkou jako návnadu. V roce 2025 však změnila taktiku a místo e-mailu začala využívat aplikace jako Signal, Telegram a nově i Viber.

Útok startuje doručením ZIP archivu, který vypadá jako oficiální dokument Microsoft Wordu nebo Excelu. Uvnitř se nachází soubory typu LNK (zástupci systému Windows). Ty po otevření zobrazí návnadu v podobě dokumentu a na pozadí spustí škodlivý skript PowerShell. Ten stáhne další archiv ze vzdáleného serveru a aktivuje tzv. Hijack Loader, tedy speciální „zavaděč“ malwaru.

Původní nástroje pro správu IT jsou zneužívány

Nástroj Hijack Loader nenápadně dopraví do systému další škodlivý kód. Využívá pokročilé techniky, aby obešel bezpečnostní kontrolu. Současně kontroluje, jestli je v systému nainstalovaný antivirový software (například Kaspersky, Avast, Bitdefender, AVG, Emsisoft, Webroot či Microsoft) a snaží se přizpůsobit své chování tak, aby zůstal neobjevený.

Po úspěšném spuštění nasadí loader do paměti nástroj Remcos RAT (Remote Access Trojan), který umožňuje vzdálené ovládání napadeného zařízení, popisuje Wikipedia. Ačkoli je Remcos oficiálně nástrojem pro správu IT, je zneužívaný ke kyberšpionáži. Útočník může díky němu spouštět další programy, sledovat aktivitu uživatele, krást data nebo zařízení ovládat.

Proč je tato kampaň varováním i mimo Ukrajinu

Přestože jsou nyní útoky zaměřené na ukrajinské cíle, má metoda větší dopad. Přesun k šifrovaným aplikacím určeným ke komunikaci ukazuje, že tradiční e-mailová ochrana už nestačí. Podobný model jde aplikovat i na firmy v Evropě či soukromé uživatele. Stačí zneužít nějaké aktuální téma nebo interní rozhovory, varuje theHackerNews.

Zásadní je také fakt, že útok probíhá na více úrovních. Oběť často netuší, že otevřením jednoho souboru umožnila stažení dalšího škodlivého balíčku. Kombo sociální manipulace a technické znalosti útočníků je mimořádně nebezpečná. Základem je opatrnost i v aplikacích, které běžně máme za bezpečné. Firmy by měly:

• Omezit spouštění skriptů PowerShell bez oprávnění
• Monitorovat podezřelé plánované úlohy
• Školit zaměstnance v oblasti phishingu mimo e-mail
• Využívat behaviorální detekci namísto pouhých antivirových podpisů

I když to tak mnoha lidem nepřijde, digitální pohroma nutně vůbec nemusí začít výbuchem a obrovskými kyberútoky, nýbrž pouhým kliknutím. Právě proto je důležité rozumět tomu, jak podobné kampaně fungují, jenom tak lze minimalizovat jejich dopad.