- Přehledy IS
- APS (20)
- BPM - procesní řízení (23)
- Cloud computing (IaaS) (10)
- Cloud computing (SaaS) (32)
- CRM (51)
- DMS/ECM - správa dokumentů (20)
- EAM (17)
- Ekonomické systémy (68)
- ERP (76)
- HRM (28)
- ITSM (6)
- MES (32)
- Řízení výroby (36)
- WMS (29)
- Dodavatelé IT služeb a řešení
- Datová centra (25)
- Dodavatelé CAD/CAM/PLM/BIM... (38)
- Dodavatelé CRM (38)
- Dodavatelé DW-BI (50)
- Dodavatelé ERP (69)
- Informační bezpečnost (50)
- IT řešení pro logistiku (45)
- IT řešení pro stavebnictví (26)
- Řešení pro veřejný a státní sektor (27)
Hlavní partner sekce
Partneři sekce
Tematické sekce
ERP systémy CRM systémy Plánování a řízení výroby AI a Business Intelligence DMS/ECM - Správa dokumentů HRM/HCM - Řízení lidských zdrojů EAM/CMMS - Správa majetku a údržby Účetní a ekonomické systémy ITSM (ITIL) - Řízení IT Cloud a virtualizace IT IT Security Logistika, řízení skladů, WMS IT právo GIS - geografické informační systémy Projektové řízení Trendy ICT E-commerce B2B/B2C CAD/CAM/CAE/PLM/3D tiskBranžové sekce
 | Přihlaste se k odběru zpravodaje SystemNEWS na LinkedIn, který každý týden přináší výběr článků z oblasti podnikové informatiky | |
| ||
Partneři webu
IT SYSTEMS 9/2025 , IT Security
APT hrozby v roce 2025: Když hackeři slouží státu
Ondřej Šťáhlavský
Advanced Persistent Threats (APT) představují sofistikovaný typ kybernetického útoku, který se vyznačuje pokročilými technikami, dlouhodobou přítomností v napadených systémech a cíleným zaměřením na strategické objekty. Na rozdíl od tradičních kybernetických útoků, které se zaměřují na rychlé napadení a okamžitý přínos, APT skupiny operují s dlouhodobou strategií a často zůstávají v kompromitovaných systémech měsíce nebo dokonce roky.
Proč jsou APT hrozby tak nebezpečné?
Nebezpečnost APT hrozeb spočívá v několika klíčových charakteristikách. Především využívají pokročilé techniky, včetně zranitelnosti typu zero-day, útoků typu spear-phishing a vlastního malwaru speciálně vyvinutého pro konkrétní cíle. APT útočníci se zaměřují na získávání citlivých informací, které mohou využít k poškození většího systému, kompromitaci organizací nebo získání konkurenční výhody.
Jejich persistentní povaha znamená, že útočníci nejsou zaměřeni pouze na jednorázovou akci, ale usilují o trvalý přístup k cílovým systémům. Po úspěšném proniknutí instalují malware, který jim umožňuje vzdálené ovládání systému a vytvoření zabezpečeného spojení s externími command-and-control servery. Následně mohou maskovat svou aktivitu pomocí šifrování nebo přepisování kódu, což jim umožňuje unikat pozornosti bezpečnostních týmů po dlouhé období.
Když hackeři slouží státu
Za velkým počtem těchto dlouhodobých špionážních kampaní stojí čínská skupina APT31, známá také jako Zirconium nebo Judgment Panda. A tyto útoky nejsou ojedinělé – jedná se o součást globálního trendu růstu státem sponzorovaných kybernetických útoků, které představují jednu z nejvážnějších hrozeb současné digitální éry. Ostatně terčem takového útoku se stalo i Ministerstvo zahraničních věcí České republiky, o čemž v květnu tohoto roku informovala česká vláda.
APT31
Skupina APT31, označovaná také jako Zirconium, Altaire, Bronze Vinewood nebo Judgment Panda, je sofistikovaná kyberšpionážní skupina aktivní minimálně od roku 2010. V březnu 2024 americké ministerstvo spravedlnosti obvinilo sedm jednotlivců spojených s APT31 z účasti na rozsáhlé kybernetické špionážní kampani trvající aproximativně 14 let. Tato kampaň cílila na kritiky Číny, americké firmy a politické představitele po celém světě..
Data potvrzují vzestup státem sponzorovaných útoků
Podle nejnovější zprávy Fortinet Global Threat Landscape Report 2025 dosáhly státem sponzorované kybernetické útoky v roce 2024 nebývalé úrovně. Rekordních hodnot dosáhlo automatizované skenování – globální skenovací aktivita vzrostla meziročně o 16,7 %, přičemž FortiGuard Labs zaznamenaly 36 000 skenů za sekundu. Útočníci se zaměřili na identifikaci zranitelností ve službách jako SIP, RDP a protokoly používané v OT/IoT prostředích, včetně Modbus TCP.
Významný nárůst zaznamenala také aktivita na darknetových fórech, která stále více fungovala jako tržiště pro tzv. exploit kity, tedy sady nástrojů pro útoky na zranitelnosti. Zásadní změnou bylo také masivní využívání umělé inteligence útočníky. Zaznamenán byl 500% nárůst logů ze systémů kompromitovaných malwarem typu infostealer (škodlivý kód určený pro krádež informací), přičemž mezi útočníky cirkulovalo 1,7 miliardy ukradených přihlašovacích záznamů. V roce 2024 kyberzločinci sdíleli na undergroundových fórech více než 100 miliard kompromitovaných přihlašovacích údajů, což představuje 42% nárůst oproti předchozímu roku.
Analýza útočných vzorců odhaluje, že APT skupiny systematicky cílí na specifické sektory ekonomiky. Výrobní sektor čelil 17 % všech útoků, následovaný obchodními službami (11 %), stavebnictvím (9 %) a maloobchodem (9 %). Tyto sektory se staly terčem jak národních státních aktérů, tak skupin Ransomware-as-a-Service (RaaS).
Fáze APT útoků
APT útoky jsou prováděny systematicky, podle postupných, vzájemně provázaných kroků:
- Získání přístupu – aby se dostali do systému, kyberzločinci často využívají infikované soubory, nevyžádané e-maily, zranitelné aplikace nebo slabá místa v síti.
- Získání opory – útočníci nainstalují malware, který jim umožňuje vytvořit síť tunelů a zadních vrátek, díky nimž se mohou pohybovat v systému, aniž by byli odhaleni. Malware jim také pomáhá zakrýt stopy přepisováním kódu.
- Prohloubení přístupu – poté, co se útočníci dostanou dovnitř, mohou kompromitovat hesla, aby získali přístupová práva správce. Ta pak použijí k další manipulaci systému a získání širšího přístupu.
- Pohyb po síti – jakmile jsou útočníci plně uvnitř, mohou se pokusit přesunout do jiných oblastí sítě, jako jsou servery a další zařízení. Mohou také rozšířit útok, získat a poté prohloubit přístup v připojených zařízeních.
- Pozorování, učení, setrvání – když jsou útočníci uvnitř systému, mohou podrobně prozkoumat, jak funguje a kde jsou jeho slabá místa. Jakmile to udělají, je snadné získat potřebné informace. Poté mohou zůstat v systému, dokud nedosáhnou svého cíle, nebo zůstat natrvalo uvnitř.
Efektivní obrana proti APT hrozbám vyžaduje vícevrstvý přístup kombinující pokročilé technologie s osvědčenými bezpečnostními postupy.
Obranné strategie proti APT hrozbám
Efektivní obrana proti APT hrozbám vyžaduje vícevrstvý přístup kombinující pokročilé technologie s osvědčenými bezpečnostními postupy. Základním pilířem je implementace next-generation firewallů (NGFW), které filtrují síťový provoz a umožňují průchod pouze schváleným datům. Prostřednictvím pečlivě navržené filtrace paketů dokáží identifikovat útoky, malware a další hrozby.
Klíčové je také pečlivé monitorování veškerého příchozího a odchozího provozu, které může pomoci zabránit APT útočníkům v proniknutí dovnitř a instalaci backdoorů potřebných k získání hlubšího přístupu. Dalším efektivním nástrojem je whitelisting, tedy označení konkrétní sady aplikací nebo domén jako bezpečných. Do sítě je pak povolen pouze provoz pocházející z aplikací a domén na seznamu.
Účinným nástrojem v prevenci APT útoků je i kontrola toho, kdo má přístup do sítě a jakým způsobem. Prvním krokem je určení, kdo potřebuje přístup. Každý uživatel pak musí pocházet procesem vícefaktorového ověřování, než mu bude vstup povolen. To nejen omezuje počet potenciálních útočníků, ale v případě narušení systému je také snazší najít zdroj problému.
Další účinnou metodou prevence útoků je také sandboxové řešení. Při implementaci takového protokolu je konkrétní aplikace omezena na izolované prostředí. Tam se analyzuje chování podezřelého objektu, zatímco ostatní systémy jsou chráněny před jeho škodlivým kódem. Pokud podezřelá aplikace spustí škodlivý kód, bude ovlivněna pouze chráněná, izolovaná sandboxová zóna.
Kromě výše uvedených nástrojů existuje ještě několik dalších důležitých opatření, která mohou zabezpečit síť organizace. Například bezpečnostní týmy musí rychle odstraňovat zranitelnosti v operačních systémech a síťovém software. Pomáhá i šifrování vzdálených připojení, které může zabránit útočníkům v jejich využití. Náskok před novými nástroji a metodami APT může pomoci udržet sledování informací o hrozbách. Nejdůležitější je provádění pravidelných penetračních testů, které mohou odhalit zranitelnosti. A konečně, udržování silného plánu reakce na incidenty a školení zaměstnanců může pomoci včas rozpoznat podezřelé aktivity.
Na základě zkušeností s APT útoky doporučujeme implementovat strategii zahrnující kontinuální monitorování potenciálních vstupních bodů, identifikaci exponovaných aktiv, monitoring uniklých přihlašovacích údajů a detekci zranitelností.
Doporučení pro organizace
Na základě aktuálních trendů a zkušeností s APT útoky doporučujeme organizacím implementovat strategii Continuous Threat Exposure Management (CTEM). Tento přístup zahrnuje kontinuální monitorování potenciálních vstupních bodů pro útoky, identifikaci exponovaných aktiv, monitoring uniklých přihlašovacích údajů a detekci zranitelností.
Organizace by měly využívat bezpečnostní cvičení typu red & purple team společně s MITRE ATT&CK frameworkem k testování odolnosti proti ransomwarovým a špionážním hrozbám. Prioritizace na základě rizika je klíčová – instalace bezpečnostních oprav by se měla zaměřit na vysoce rizikové zranitelnosti diskutované na kyberkriminálních fórech.
Detekci vznikajících hrozeb umožňuje také monitoring dark web aktivity, jako jsou ransomwarové služby a koordinované DDoS nebo defacement kampaně. Vzhledem k tomu, že útočníci zkracují čas mezi průzkumem a kompromitací, okno pro reakci obránců se zužuje na dny, někdy hodiny.
Jak ukazují data z roku 2024, útočníci stále více využívají automatizaci, umělou inteligenci a komoditizované nástroje k akceleraci rozsahu a sofistikovanosti svých kampaní, a stále častěji se setkáváme s tím, že jde o součást širšího globálního trendu sofistikovaných kybernetických útoků sponzorovaných státem.
Tradiční bezpečnostní reakční scénáře již nejsou dostatečné. Organizace musí přejít na proaktivní, inteligencí řízené obranné strategie poháněné umělou inteligencí, zero trust přístupem a kontinuálním exploit managementem. Pouze tak mohou udržet krok s rychle se vyvíjejícím se prostředím útoků a účinně chránit svá kritická aktiva před stále sofistikovanějšími APT hrozbami.
 |
Ondřej Šťáhlavský Autor článku je regionální ředitel společnosti Fortinet pro CEE. |
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
Časopis IT Systems / Odborná příloha
Archiv časopisu IT Systems
Oborové a tematické přílohy
Kalendář akcí
Formulář pro přidání akce
říjen - 2025  | ||||||
| Po | Út | St | Čt | Pá | So | Ne |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | 1 | 2 |
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
IT Systems podporuje
| 7.11. | CONTROLLING A BI PRAKTICKY - Webové GIST Aplikace pro... |
| 11.11. | Umělá inteligence v IT infrastruktuře 2025 |
Formulář pro přidání akce
Další vybrané akce
| 13.11. | Update Conference Prague 2025 |
