V posledních letech se dařilo policejním složkám a tajným službám poměrně úspěšně zasahovat proti darknetovým obchodům a platformám, na kterých se zveřejňovaly datové úniky a výhrůžky napadeným firmám. Podařilo se také rozprášit řadu gangů. Například v roce 2022 byla zlikvidována Hydra i RaidForums a v roce 2024 Crimemarket. Kybernetičtí kriminálníci potřebovali náhradu. Našli ji v aplikaci, kterou používají stovky milionů lidí po celém světě.

Studie potvrzuje posun, který odborníci tušili

Výzkumná společnost Cyfirma vydala na přelomu února a března podrobnou analýzu toho, jak Telegram funguje jako operační základna pro různé skupiny kyberzločinců. Zpráva mapuje konkrétní typy aktivit, kategorie aktérů i technické mechanismy, které platformu dělají pro hackery přitažlivou. Závěry nejsou překvapivé pro ty, kdo situaci sledují. Pozoruhodný je ale rozsah, v jakém Telegram darknetové operace nahrazuje.

Hlavní rozdíl oproti Toru je jednoduchý: Telegram nevyžaduje žádné technické znalosti pro vstup. Kanál lze založit za dvě minuty, sdílet odkaz kdekoliv a v případě zablokování spustit nový. Kde obnova darknetového tržiště po policejním zásahu trvala měsíce, na Telegramu jde o hodiny.

Co se na Telegramu prodává?

Nabídka je podle analytické zprávy strukturovaná a připomíná spíše e-shop než fórum zločinců. Prodejci zveřejňují přístupy do firemních sítí – VPN portály, vzdálené plochy přes RDP, účty v cloudových službách jako Azure nebo AWS. Každý inzerát obsahuje základní informace: odvětví firmy, zemi, roční obrat a úroveň přístupu. Vážným zájemcům se poskytnou důkazy: screenshoty z Active Directory nebo výpisy příkazů z interních systémů.

Vedle přístupů do firem se obchoduje s předplatnými na malware. Funguje to jako SaaS, tedy software jako služba. Jenže místo účetnictví si kupujete keyloggery nebo stealery, které kradou uložená hesla z prohlížečů. Prodejci vydávají aktualizace, poskytují zákaznickou podporu a sbírají hodnocení od spokojených zákazníků. 

Ceny předplatného se pohybují v řádu tisíců korun měsíčně. Přístupy do větších korporací se prodávají za desítky až stovky tisíc korun.

Samostatnou kategorií jsou databáze ukradených přihlašovacích údajů. Boti na Telegramu umožňují v těchto databázích vyhledávat: zadáte doménu nebo e-mailovou adresu a za okamžik víte, zda jsou přihlašovací údaje k danému účtu k dispozici.

Ransomwarové skupiny a veřejný nátlak

Jedním z nejvýraznějších trendů je využívání Telegramu ransomwarovými skupinami jako nástroje psychologického nátlaku. Místo tichého vyjednávání přes šifrované kanály skupiny zakládají veřejné kanály, kde zveřejňují jméno napadeného podniku, ukázky ukradených dat a odpočítávání do okamžiku, kdy data zveřejní.

Tato viditelnost má svůj účel. Mediální pozornost zesiluje tlak na oběť, aby zaplatila. Zároveň kanál slouží k náboru. Ransomwarové skupiny na Telegramu inzerují spolupráci s penetračními testery a dalšími odborníky, zveřejňují podmínky provizí a uvádějí, které sektory nebo země jsou pro útoky mimo zájem (typicky nemocnice nebo země původu skupiny).

Hacktivisté a státem sponzorované operace

Telegram není doménou jen finančně motivovaných zločinců. Hacktivistické skupiny jako NoName057(16) nebo Cyber Fattah Team používají platformu k mobilizaci dobrovolníků, oznamování cílů DDoS útoků a okamžitému zveřejňování výsledků akcí. Rychlost, s jakou lze zprávu rozšířit stovkám tisíc sledujících, z Telegramu dělá vhodný nástroj pro informační válku.

Zpráva Cyfirmy zmiňuje také státem řízené operace, které Telegram využívají jako distribuční kanál pro uniklé dokumenty a dezinformační kampaně. Platforma kombinuje rychlost šíření s přijatelnou mírou anonymity, což ji dělá využitelnou pro různé typy aktérů najednou.

Proč Telegram místo Toru?

Darknetová fóra na Toru měla své výhody: uzavřenost, reputační systémy budované roky a relativní odolnost vůči infiltraci. Jejich slabinou byla centralizace. Jeden policejní zásah, jeden server a celé tržiště zmizelo. S ním i reputace prodejců, komunikační historie a kontakty.

Telegram funguje jinak. Kanály jsou decentralizované v tom smyslu, že každý může kdykoli vytvořit nový a přesměrovat sledující. Skupina IndoHaxSec, zmíněná ve zprávě, operuje postupně přes několik kanálů poté, co předchozí byly zablokovány. Pokaždé s minimálním výpadkem. Technická bariéra vstupu je nulová a dosah globální.

Darknetová fóra nevymizela. Nadále slouží jako první bod inzerce, kde se zveřejňují ukázky dat nebo nabídky přístupů. Telegram pak přebírá funkci plnění objednávky, komunikace se zákazníkem a amplifikace.

Spolupráce s policií nestačí

Telegram v posledních letech výrazně rozšířil spolupráci s orgány činnými v trestním řízení. Jen v USA platforma v roce 2024 vyhověla přibližně 900 žádostem o vydání uživatelských dat, které se týkaly přes 2 200 uživatelů. V Británii šlo o 142 případů oproti jednotkám v předchozích obdobích.

Přesto kyberkriminální aktivita na platformě roste. Spolupráce s policií pomáhá dohledávat pachatele zpětně, ale nijak nezpomaluje vznik nových kanálů ani šíření nabízených služeb.

Pro IT bezpečnostní týmy a manažery odpovědné za ochranu firemní infrastruktury má tento posun konkrétní důsledky. Monitoring hrozeb se musí rozšířit za hranice darknetových fór a zahrnout veřejně dostupné kanály na Telegramu. Přihlašovací údaje zaměstnanců mohou být v oběhu na kanálech, které jsou dostupné komukoli s aplikací v telefonu.

Telegram sám o sobě není problémem. Je to platforma jako každá jiná, využívaná miliardou lidí k legitimní komunikaci. Problémem je, že poskytuje infrastrukturu, která je pro organizaci kyberkriminálních operací pohodlnější než cokoliv, co darknet kdy nabídl.

Zdroj: Cyfirma, Cybersecurity intelligence, Hackread, Cybernews