Blog
Rusko, Čína, hacktivisté: Kdo útočí na české firmy a proč

Rusko, Čína, hacktivisté: Kdo útočí na české firmy a proč

David Matínek
19. ledna 2026
7 min čtení

Když se řekne „kybernetický útok", mnoho lidí si představí tajemnou zakuklenou postavu, která někde v temném brlohu krade čísla kreditních karet. Realita je ale jiná – a mnohem zajímavější. Za většinou útoků, které NÚKIB v posledních letech eviduje, stojí konkrétní skupiny s konkrétními motivacemi. A některé z nich mají za zády celé státy.

Pojďme se podívat, kdo vlastně útočí na české firmy, jaké metody používá a hlavně – co s tím můžete udělat.

Tři kategorie útočníků, které byste měli znát

Než se ponoříme do detailů, je dobré si uvědomit, že kybernetické hrozby můžeme rozdělit do tří základních kategorií podle toho, kdo za nimi stojí:

Státní aktéři (APT skupiny) – Sofistikované skupiny financované nebo přímo řízené vládami. Jejich cílem není rychlý zisk, ale dlouhodobá špionáž, krádež duševního vlastnictví nebo příprava na případný konflikt. Útoky jsou cílené, pečlivě připravené a často zůstanou dlouho neodhalené.

Hacktivisté – Skupiny motivované ideologicky, typicky v reakci na politické události. Jejich útoky jsou hlučné, viditelné a mají primárně propagandistický efekt. Technicky bývají méně sofistikované, ale mohou způsobit značné nepříjemnosti.

Kyberkriminálníci – Klasičtí zločinci, kterým jde o peníze. Ransomware, krádeže dat, podvody. O těch jsme psali v minulém článku, dnes se zaměříme na první dvě kategorie.

Čína: Tichý predátor s dlouhým dechem

V roce 2025 provedla česká vláda něco, co se v kyberbezpečnosti děje zřídka – veřejnou atribuci. Oficiálně přisoudila dlouhodobou špionážní kampaň proti Ministerstvu zahraničních věcí skupině APT31, která je spojována s čínskou zpravodajskou službou.

APT31 (známá také jako Zirconium nebo Judgment Panda) není žádný nováček. Tato skupina operuje minimálně od roku 2010 a má na kontě útoky proti politickým cílům v EU, NATO i dalších zemích. V případě českého MZV šlo o dlouhodobou kampaň, jejímž cílem bylo získat přístup k diplomatické komunikaci a strategickým informacím.

Proč by to mělo zajímat běžnou firmu?

Možná si říkáte: „Fajn, ale my nejsme ministerstvo." Jenže čínské APT skupiny necílí jen na vládu. NÚKIB spolu s partnery (včetně americké FBI a NSA) v roce 2025 varoval také před aktivitami společnosti I-S00N a firmy Integrity Tech. Tyto čínské společnosti vyvíjejí ofenzivní kybernetické nástroje na zakázku pro čínské státní instituce – a jejich cíle zahrnují i soukromý sektor.

Čínské aktéry zajímá především:

  • Technologické firmy a jejich duševní vlastnictví
  • Dodavatelé strategických sektorů (energetika, telekomunikace)
  • Společnosti s přístupem k citlivým datům
  • Firmy, které se podílejí na vládních zakázkách

Další významnou hrozbou je Salt Typhoon – další čínský aktér, na kterého NÚKIB spolu s americkými partnery upozornil v září 2025. Tato skupina se specializuje na kompromitaci telekomunikačních sítí po celém světě.

Jak čínské skupiny útočí?

Charakteristickým rysem čínských APT je trpělivost. Nejde jim o rychlý zisk, ale o dlouhodobý přístup. Typický útok vypadá takto:

  1. Průzkum – důkladné mapování cílové organizace, zaměstnanců, dodavatelů
  2. Počáteční přístup – často přes spear-phishing (cílený phishing na konkrétní osoby) nebo zneužití zranitelností
  3. Persistence – instalace backdooru pro trvalý přístup
  4. Laterální pohyb – postupné pronikání hluboko do sítě
  5. Exfiltrace – pomalé a nenápadné vynášení dat

Celý proces může trvat měsíce až roky. A to je přesně to, co ho činí tak nebezpečným.

Rusko: Od špionáže po hacktivismus

Ruské kybernetické hrozby mají dvě různé tváře. Na jedné straně máme sofistikované zpravodajské operace, na druhé hlučné hacktivistické skupiny.

APT28 a APT29: Dvojčata z GRU a SVR

APT28 (Fancy Bear, Forest Blizzard) je spojována s ruskou vojenskou rozvědkou GRU. Operuje minimálně od roku 2008 a má na svědomí některé z nejznámějších kybernetických operací v historii – od útoku na Demokratickou stranu USA po kompromitaci e-mailů německého Bundestagu.

V českém kontextu NÚKIB již v roce 2020 reportoval špionážní incident v blíže nespecifikované strategické instituci (pravděpodobně MZV), který byl s vysokou pravděpodobností dílem právě Fancy Bear.

APT29 (Cozy Bear, Midnight Blizzard) spadá pod ruskou civilní rozvědku SVR. Proslavila se útokem na SolarWinds v roce 2020 – jedním z nejrozsáhlejších supply chain útoků v historii. V lednu 2024 kompromitovala i e-mailové účty vedení Microsoftu.

Obě skupiny cílí primárně na:

  • Vládní instituce a diplomatické mise
  • Obranný průmysl
  • Think-tanky a výzkumné instituce
  • Energetický sektor

NoName057(16): Hlučný hacktivismus

Zatímco APT skupiny pracují potichu, hacktivisté chtějí být vidět. A nikdo není v Česku viditelnější než NoName057(16).

Tato proruská skupina se specializuje na DDoS útoky – zahlcení webových stránek a služeb takovým množstvím požadavků, že přestanou fungovat. NÚKIB eviduje od roku 2023 celkem 42 kybernetických incidentů spojených s touto skupinou. Všechny byly DDoS útoky.

V říjnu 2024 dosáhl počet DDoS útoků rekordních 30 za jediný měsíc – většina z nich šla právě na vrub NoName057(16).

Cíle těchto útoků? Kdokoli, kdo vyjádří podporu Ukrajině nebo kritizuje Rusko:

  • Státní instituce
  • Banky
  • Média
  • Letiště
  • Firmy, které se veřejně vyjádří k situaci na Ukrajině

Měli byste se bát DDoS?

Upřímně? Útoky NoName057(16) jsou spíše nepříjemností než existenční hrozbou. NÚKIB sám uvádí, že „škodlivé aktivity této skupiny nepůsobily zasaženým cílům škody nad rámec krátkodobých výpadků napadených webů."

Ale – a to je důležité „ale" – tyto skupiny se učí. NÚKIB společně s FBI v prosinci 2025 varoval, že proruští hacktivisté začali cílit na OT systémy (operační technologie, průmyslové řídicí systémy). A tady už může jít o mnohem víc než jen nedostupný web.

Skupiny jako Cyber Army of Russia Reborn, Z-Pentest nebo Sector16 útočí přes slabě zabezpečená VNC připojení na řídicí systémy průmyslových podniků. A protože často nerozumí procesům, které se snaží narušit, mohou nechtěně způsobit fyzické poškození systémů.

Co to znamená pro vaši firmu?

Možná jste dočetli až sem a říkáte si: „Jsme středně velká výrobní firma z Moravy. Proč by o nás někdo z Číny nebo Ruska stál?"

Tři důvody:

1. Dodavatelský řetězec I když nejste přímým cílem, můžete být prostředníkem. Pokud dodáváte větší firmě nebo státní instituci, jste potenciální vstupní bránou. Proto ostatně nový zákon o kybernetické bezpečnosti (264/2025 Sb.) klade takový důraz na bezpečnost dodavatelského řetězce.

2. Oportunistické útoky Zvláště hacktivisté nemusí mít konkrétní seznam cílů. Stačí, že vaše firma něco napíše na sociálních sítích, nebo že jste prostě „západní firma" v jejich dosahu.

3. Kolaterální škody Útoky na infrastrukturu (energie, telekomunikace) mohou zasáhnout i vás, aniž byste byli přímým cílem.

Praktické kroky: Jak se bránit

Teď ta dobrá zpráva – proti většině těchto hrozeb se můžete účinně bránit. Nemusíte mít rozpočet tajné služby, stačí základní hygiena:

Proti státním aktérům:

  • Vícefaktorová autentizace všude – APT skupiny s gustem kradou přihlašovací údaje. MFA jim to výrazně ztěžuje.
  • Segmentace sítě – i když se dostanou dovnitř, ztížíte jim laterální pohyb.
  • Monitoring anomálií – hledejte neobvyklé chování, zvláště v noci a o víkendech.
  • Aktualizace – většina APT útoků využívá známé zranitelnosti. Záplatujte.
  • Školení zaměstnanců – spear-phishing je pořád nejčastější vstupní brána.

Proti hacktivistům (DDoS):

  • Anti-DDoS ochrana – CDN služby jako Cloudflare, Akamai nebo české alternativy.
  • Plán kontinuity – víte, co budete dělat, když vám web spadne?
  • Monitoring OT systémů – pokud máte průmyslové řízení, zajistěte, že není přístupné z internetu.
  • Omezení VNC a RDP – nebo alespoň silné přihlašování a logování.

Podle zákona:

Nový zákon o kybernetické bezpečnosti (264/2025 Sb.) a vyhláška 409/2025 Sb. explicitně definují „zneužití cizí státní moci pro přístup k aktivům" jako jednu z hrozeb, kterou musíte v analýze rizik zohlednit. To není náhoda – zákonodárci reagují na realitu, kterou jsme právě popsali.

Závěr: Nejste v tom sami

Kybernetické hrozby ze strany státních aktérů a hacktivistů znějí děsivě. A do jisté míry jsou – jde o protivníky s velkými zdroji a jasnou motivací.

Ale zároveň platí, že:

  • NÚKIB aktivně monitoruje hrozby a vydává varování
  • Mezinárodní spolupráce funguje (joint advisories s FBI, NSA, NCSC)
  • Většina útoků využívá známé techniky, proti kterým existuje obrana
  • Zákon vám dává jasný rámec, co implementovat

Nejdůležitější je nezavírat oči. Hrozby existují. Ale s pravidelnou analýzou rizik, implementací základních opatření a sledováním varování od NÚKIB se s nimi dá žít.

A pokud nevíte, kde začít – zkuste si udělat gap analýzu podle vyhlášky 410/2025. Třeba zjistíte, že jste na tom líp, než si myslíte.

Chcete vědět, jak si stojíte vůči těmto hrozbám?

Vyzkoušejte Kraita Cyber One – náš AI nástroj vám pomůže identifikovat slabá místa ve vaší bezpečnosti a nastaví prioritizovaný plán nápravy. Bez konzultantů, bez měsíců analýz.

Vyzkoušet demo zdarma →

Full name
David Matínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies