Máte zálohy, které vás při obnově znovu zabijí? Útok TrapDoor ukazuje, jak snadno padne i energetika

Představte si ten vítězoslavný moment. Vaše servery před pár hodinami zašifroval ransomware, ale vy jste v klidu. Máte přece zálohy. IT tým se potí, kofein teče proudem, ale po hodinách práce svítí na monitorech zelená. Data jsou zpět. O pět minut později se však na obrazovkách znovu objeví ta samá zpráva s požadavkem na výkupné. Tentokrát je to horší. Právě jste si totiž do čistého prostředí dobrovolně nahráli virus zpět ze svých vlastních „bezpečných“ záloh.

Tento scénář není námětem pro špatný kyberpunkový román. Je to realita, se kterou se potýkají firmy, které podcenily proces obnovy. A v kontextu aktuálního útoku TrapDoor, který zaplavil repozitáře jako npm, PyPI nebo CratesIO malwarem pro krádeže přihlašovacích údajů, se riziko zvyšuje na druhou.

TrapDoor: Když vám vývojáři nevědomky podříznou větev

Supply chain útoky jsou novým standardem. Útok TrapDoor ukázal, jak křehká je důvěra v open-source ekosystém. Útočníci do populárních registrů propašovali balíčky, které na první pohled dělají přesně to, co mají. Jenže pod kapotou skrývají mechanismus pro exfiltraci tokenů, hesel a přístupů k cloudovým službám.

Pro energetiku a kritickou infrastrukturu je to noční můra. Moderní dispečinky, systémy pro řízení distribučních soustav nebo platformy pro chytrou energetiku dnes běží na technologiích, které tyhle knihovny běžně využívají. Stačí jeden nepozorný vývojář, který si při psaní skriptu pro analýzu dat ze solární elektrárny stáhne „vylepšenou“ verzi knihovny, a cesta do vaší sítě je otevřená.

Útočník pak v síti nesedí jen tak. Týdny nebo měsíce mapuje terén, krade data a – co je nejdůležitější – nechává se zálohovat spolu s vašimi databázemi. Pokud pak dojde k útoku ransomwarem, útočník jen čeká, až ho z té zálohy zase pěkně vybalíte a spustíte.

Proč energetika hoří jako první

Energetický sektor je pro hackery lákavý cíl. Nejde jen o peníze, jde o vliv. Když vypnete nemocnici, je to tragédie. Když vypnete rozvodnou síť, je to politický nástroj. Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) ve svých zprávách opakovaně varuje: útoky na dodavatelský řetězec jsou pro kritickou infrastrukturu největší hrozbou roku 2026.

Doporučení NUKIB mluví jasně – nestačí mít zálohy. Musíte mít strategii jejich prověřování. V energetice, kde se mísí moderní IT systémy s archaickým OT (Operational Technology) vybavením, je riziko reinfekce extrémní. Pokud obnovíte data do systému, který ovládá turbínu nebo jističe, a v těch datech je skrytý payload z útoku TrapDoor, koledujete si o fyzické škody.

Jak testovat obnovu a nezbláznit se (ani se neinfikovat)

Většina firem testuje zálohy tak, že zkusí, jestli jdou otevřít. To je asi stejně užitečné jako kontrolovat funkčnost padáku tím, že se podíváte na jeho barvu. Skutečný test obnovy musí probíhat v takzvaném „čistém pokoji“ (Isolated Recovery Environment – IRE).

1. Karanténa je základ Nikdy, ale opravdu nikdy neobnovujte zálohy přímo do produkční sítě, pokud si nejste na 100 % jistí časovým bodem infekce (což nejste skoro nikdy). Vytvořte si izolovanou síťovou bublinu, která nemá přístup k internetu ani ke zbytku vaší infrastruktury. Teprve tam data „vybalte“.

2. Forenzní skenování v klidu Jakmile data v izolovaném prostředí obnovíte, nechte na nich vyřádit bezpečnostní nástroje. Nejen běžný antivirus, ale pokročilé EDR (Endpoint Detection and Response) nástroje. Hledejte anomálie. Hledejte stopy po TrapDoor – neobvyklé odchozí požadavky, skryté plánované úlohy nebo nové uživatelské účty v databázích.

3. Simulace provozu Data vypadají čistě? Fajn. Teď v tom izolovaném prostředí zkuste spustit klíčové aplikace. Ransomware se často aktivuje až při pokusu o přístup k určitým souborům nebo po uplynutí určitého času od bootu systému. Pokud se vám prostředí v karanténě začne po hodině znovu šifrovat, právě jste si ušetřili totální kolaps firmy.

7 příznaků, že vaše e-maily jsou už v cizích rukou

Než dojde na ransomware, často přijde Business Email Compromise (BEC). Útok TrapDoor je ideálním nástrojem, jak k BEC útoku získat podklady. Tady je 7 varovných signálů, že vaše organizace je zralá na průšvih:

Absence MFA: Pokud nepoužíváte vícefaktorové ověřování všude, útočník s ukradeným tokenem z TrapDoor vpluje do vašeho Outlooku jako nůž máslem. Neexistující DMARC/SPF/DKIM: Kdokoliv se může vydávat za vašeho ředitele a poslat účetní pokyn k platbě „urgentní faktury za solární panely“. Pravidla pro přeposílání: Najdete v Outlooku zaměstnanců pravidla typu „vše s klíčovým slovem faktura přeposlat na externí Gmail“? Pak už vás někdo sleduje. Podivné přihlašovací časy: Váš admin se přihlašuje ve 3 ráno ze Singapuru? Pokud zrovna není na velmi exotické dovolené, máte problém. Změny v bankovních detailech u dodavatelů: „Změnili jsme banku, peníze posílejte sem.“ Klasika, na kterou v energetice stále skáčou i zkušení nákupčí. Vypnuté logování: Útočníci jako první vypínají auditní logy, aby po nich nezůstala stopa. * Ignorování hlášení uživatelů: „Ten e-mail vypadal divně, tak jsem ho smazal.“ Pokud tohle slyšíte od zaměstnanců a nikdo to neřeší, útočník už v síti pravděpodobně dávno je.

Ironie osudu: Imutabilní zálohy jako dvojsečná zbraň

Všichni dnes básní o neměnných (immutable) zálohách. Jsou skvělé, protože je ransomware nesmaže. Ale mají jeden háček – pokud do nich zálohujete malware, už ho z nich taky nesmažete. Máte tak dokonale zakonzervovanou bombu, která čeká na svou příležitost.

V energetice je tohle riziko kritické. Pokud se útočník dostane k řídicím systémům skrze infikovaný Python skript (díky útoku TrapDoor), a vy si tenhle stav „zmrazíte“ v imutabilní záloze, vaše cesta k obnově bude vyžadovat chirurgickou čistku každého jednoho bitu dat.

Závěr: Co s tím?

Důvěřovat open-source knihovnám je v roce 2026 stejně naivní jako věřit, že nigerijský princ vám opravdu pošle miliony dolarů. Kybernetická bezpečnost už není o tom, jak postavit vyšší zeď, ale jak přežít, když tu zeď někdo podkope.

Pokud řídíte infrastrukturu nebo vyvíjíte software pro energetiku, vaše priorita číslo jedna není "mít zálohy". Je to "mít proces, jak ty zálohy vyčistit dřív, než je pustíte k lizu". Protože obnovit infikovanou síť z infikované zálohy není obnova. Je to jen odložená sebevražda.

A jestli si myslíte, že se vás to netýká, zkuste se zítra zeptat svého IT šéfa, kdy naposledy zkusili obnovit kritický systém v izolovaném IRE prostředí. Pokud uvidíte jen prázdný pohled, začněte raději hledat, kde máte uložená papírová schémata rozvodné sítě. Budete je potřebovat.