Obsah |
Co je supply chain útok? Když útočník hledá nejslabší článek
Co je supply chain útok? V odborné terminologii se pojmem supply chain útok (útok na dodavatelský řetězec) označuje situace, kdy hacker neútočí na koncovou oběť přímo, ale infiltruje se do procesu výroby nebo distribuce softwaru, který tato oběť používá. Cílem není prolomit obranu cílové firmy, ale zneužít důvěryhodný vztah, který má tato firma se svými dodavateli.
Tento typ hrozby je mimořádně zrádný, protože organizace dnes běžně používají stovky externích aplikací a tisíce open source komponent. Pokud útočník kompromituje jediného dodavatele nebo oblíbenou knihovnu na GitHubu, získá automaticky přístup k tisícům jeho zákazníků najednou. Je to efektivní, nenápadné a pro oběť téměř neviditelné, protože škodlivý kód přichází v legitimním balení – například jako digitálně podepsaná aktualizace programu, kterému plně důvěřujete.
Krádež tajemství i digitální rukojmí: Jaké jsou cíle supply chain útoků?
Motivace supply chain útoků bývají různé, ale téměř vždy mají devastační dopad. Primárním cílem je často špionáž a krádež duševního vlastnictví. Útočníci se snaží nenápadně infiltrovat do sítě, kde měsíce sbírají přístupové údaje, tokeny nebo interní dokumenty. Díky tomu, že útok přichází přes důvěryhodného dodavatele, dokáže malware dlouho unikat pozornosti bezpečnostních systémů.
Dalším častým cílem je doručení ransomwaru nebo masové nasazení backdoorů (zadních vrátek). Pro kyberkriminálníky je to otázka efektivity: místo stovek samostatných útoků na jednotlivé firmy jim stačí jeden úspěšný zásah distribučního uzlu. Jakmile ovládnou aktualizační kanál, mohou jediným kliknutím vypnout tisíce organizací po celém světě a žádat astronomické výkupné. Cena za takové pochybení je pak pro napadené firmy extrémní – nejen finančně, ale i ztrátou reputace.
Co je ransomware a jak škodí. Devatero rad, jak se mu vyhnout |
Druhy supply chain útoků: Cílený skalpel versus zatažená síť
V arzenálu hackerů najdeme dva základní přístupy k supply chain útokům. Prvním jsou vysoce cílené operace (často podporované státními aktéry), které míří na konkrétní organizaci či státní správu. Útočník si pečlivě vybere klíčového dodavatele oběti a trpělivě čeká na správný okamžik pro infiltraci. Cílem je perzistence – tedy zůstat v systému co nejdéle bez odhalení.
Druhým typem je plošné rozhazování sítí, typické pro útoky na repozitáře typu npm nebo PyPI. Zde útočníci využívají metod jako typosquatting (vytvoření balíčku s názvem velmi podobným známé knihovně) nebo kompromitaci účtů vývojářů (maintainerů). Čekají, kdo se chytí – ať už jde o malého vývojáře, nebo nadnárodní korporaci.
V obou případech útočníkům nahrává fakt, že dnešní vývoj softwaru připomíná skládačku z tisíců dílků, z nichž málokdo kontroluje každý jednotlivý šroubek.
Lekce z historie i roku 2026: Když jsou pilíře pod palbou
Historie kyberbezpečnosti zná milníky, které ukazují ničivost zásahu na správném místě dodavatelského řetězce. Za ten největší byl dodnes považován útok NotPetya (2017), který přes infikovaný účetní software ochromil globální banky i energetiku. Rok 2026 však ukazuje, že se útočníci posouvají ještě hlouběji – k samotným základům webu a bezpečnosti.
Důkazem je letošní březnový útok na populární bezpečnostní skener Trivy. Útočníci ze skupiny TeamPCP otrávili jeho kód a zneužili jej jako paklíč do tisíců organizací. Nejcitelněji zasáhli Evropskou komisi, které skrze infikovaný nástroj vysáli 92 GB citlivých dat z cloudové infrastruktury. Podobně dopadla i knihovna Axios, kde se po únosu účtu vývojáře šířil trojský kůň schopný ovládnout systémy Windows i macOS.
Pozor na produkt české firmy, varují tajné služby. Útočí přes něj ruští hackeři |
Právě tyto knihovny a nástroje jsou oním „proviantem“, který vývojáři sami a dobrovolně pouštějí do svých systémů. Stačí do nich vložit nakažený doplněk a útočníci získají backdoor v tisících firem najednou. Zneužívají tak faktu, že málokdo má kapacitu kontrolovat každý řádek kódu v externích balíčcích, na kterých moderní digitální svět stojí.
Jak z toho ven? Obrana v éře nulové důvěry
Bránit se supply chain útoku je náročné, protože klasický antivirus na koncovém zařízení nemusí včas rozpoznat legitimně podepsaný proces, který se najednou začne chovat podezřele.
„Útočníci dnes často nehledají nejlépe zabezpečenou organizaci, ale nejslabší článek v jejím ekosystému. Supply chain útoky jsou ztělesněním tohoto přístupu. Nejsou to už jen teoretické hrozby pro experty, ale reálné byznysové riziko, které může kompromitovat i ty nejmodernější systémy,“ vysvětluje Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET.
Základem moderní obrany je proto přehled. Firmy musí přesně vědět, z čeho se jejich software skládá (tzv. SBOM – Software Bill of Materials). Je to něco jako seznam ingrediencí na obalu potravin: pokud víte, co tam je, můžete rychle reagovat na zprávu, že jedna složka není zrovna tou nejlepší volbou pro zdraví.
Pomsta za rozbití proruské sítě? Weby policie a resortu vnitra čelily kyberútoku |
Důležitým krokem je také omezení automatických aktualizací bez předchozího otestování a zavedení přísné kontroly identit (MFA) pro všechny, kdo mají přístup k vývojovému procesu. V neposlední řadě je nutné používat pokročilá bezpečnostní řešení, která nekontrolují jen soubory (jako běžné PDF přílohy v mailech), ale sledují chování celého systému.
Moderní ochrana před supply chain útoky se zaměřuje na detekci anomálií v síťové komunikaci a procesech. Pokud se váš účetní software najednou pokusí odeslat data na neznámý server v zahraničí, systém to musí zastavit bez ohledu na to, jak „důvěryhodně“ se aplikace tváří. V roce 2026 už totiž otázka nezní, jestli svému dodavateli věříte, ale zda máte nástroje, které prověří každé jeho kliknutí.
