Každý den probíhá test odolnosti internetové infrastruktury a jejich uživatelů. Útoky nebo informační operace jsou často odhaleny až ex post, nicméně nám dávají možnost se poučit z chyb a informací postižených subjektů. Následující text se věnuje třem pokusům ochromit fungování internetu a ovlivnit vnímání reality prostřednictvím informací o ozbrojeném konfliktu na sociálních sítích.
Na konci listopadu vydaly izraelské výzkumné a vzdělávací centrum Alma a firma Dos-Op zprávu, která mapuje kybernetickou útočnou skupinu BQT.Lock (BaqiyatLock) a jejího vůdce Karima Fayada. BQT.Lock je ofenzivní kybernetická skupina specializující se na ransomwarové útoky. Veřejně se BQT.Lock prezentuje jako hacktivistický kolektiv – hackeři jednající z ideologických, politických nebo sociálních motivů. Důkazy však jednoznačně ukazují, že se nejedná o běžnou hacktivistickou skupinu, ale o přímou digitální pobočku Hizballáhu, jejíž motivy jsou hluboce zakořeněny v nábožensko-politické ideologii. Skupina tak funguje na ideologickém a náboženském základě, přičemž kombinuje kriminální kybernetickou činnost s prosazováním strategických cílů Hizballáhu.
Název skupiny má hluboký náboženský a ideologický význam. Arabský termín „Baqiyat“ (باقية) znamená „zůstat“ nebo „přetrvat“. V šíitské interpretaci výraz „Baqiyyat Allah“ má odkazovat na božskou přítomnost, která zůstává na světě, nebo na postavu, která je považována za představitele Boha na zemi. Pro Hizballáh a Íránské revoluční gardy (IRGC) se tento termín stal symbolem revoluční vytrvalosti, militantního odhodlání a věrnosti cestě imáma. Spojením tohoto konceptu s technologickým termínem „Lock“ (uzamčení, šifrování) vytváří skupina silný symbolický význam: „Pozůstatek Boha, který uzamyká nepřátele Boha.“
Skupina tvrdí, že zašifrovala více než 540 serverů po celém světě a odcizila velké objemy citlivých dat. Kromě přímých útoků provozuje BQT.Lock také kriminální obchodní model známý jako „Ransomware-as-a-Service“ (RaaS). V rámci této platformy, fungující pod značkou Baqiyat, poskytuje své ransomwarové nástroje dalším aktérům za úplatu, obvykle v kryptoměně Monero (XMR). Tímto způsobem vytváří infrastrukturu pro širší kriminální aktivity a zpřístupňuje kyberzločin i aktérům s omezenými technickými schopnostmi.
Skupina se zaměřuje na cíle v Izraeli (letiště Ben Gurion, Bezeq, Rafael), USA (weby spojené s prezidentskými volbami v roce 2024), Saúdské Arábii, Spojených arabských emirátech a také na vnitřní oponenty Hizballáhu v Libanonu (křesťanské strany, televize MTV). Kromě již zmíněných ransomwarových útoků provádí skupiona DDoS útoky a využívá základních zranitelností k proniknutí na menší, špatně zabezpečené weby. Při akcích proti politickým oponentům Hizballáhu (křesťanské strany Kataeb, Libanonské síly, televizní stanice MTV Lebanon) se zaměřuje na kybernetické útoky s cílem narušit činnost a zastrašovat.
Navzdory snaze prezentovat se jako sofistikovaná skupina vykazuje BQT.Lock kritické operační slabiny. Analýza napadených systémů ukázala, že skupina zanechává stopy (logy) kvůli nedostatečným bezpečnostním postupům. Tyto chyby umožnily bezpečnostním výzkumníkům zkoumat útoky, odhalovat jejich postupy a v některých případech dokonce rekonstruovat šifrovací klíče a zmírnit škody.
Zpráva se také věnuje rozkrytí identity vůdce Karima Fayada, který je na jedné straně studentem počítačového a komunikačního inženýrství na Americké univerzitě v Bejrútu, kde má promovat v roce 2026 a kde také několik měsíců působil jako výzkumník. Podle svého profilu na LinkedIn pracoval během studií v relevantních civilních firmách, například jako stážista v oboru AI inženýrství. Na druhé straně je aktivním operativcem Hizballáhu, který pro organizaci provádí kybernetické operace (operuje online pod pseudonymy ZeroDayx1 a „Liwaa Mohammad“). Jeho identita byla odhalena díky křížové analýze informací z jeho online profilů. Jeden z kanálů spravovaných ZeroDayx1 se totiž dříve jmenoval „Karim Fayad“. Plus fotografie na soukromém instagramovém účtu Karima Fayada ukazují tetování bývalého vůdce Hizballáhu a náramkové hodinky, které jsou identické s těmi na fotografiích zveřejněných na účtu ZeroDayx1 na platformě X.
Vzhledem k jeho hluboké angažovanosti v náborové síti je pravděpodobné, že Fayad hraje roli v identifikačním a náborovém aparátu Hizballáhu. Může být zodpovědný za identifikaci mladých lidí s technickým potenciálem, jejich prvotní prověření a předání do náborového procesu organizace, který začíná přibližně ve věku 16–17 let.
Činnost Karima Fayada a BQT.Lock je dokonalou ilustrací strategie Hizballáhu, která stírá hranice mezi civilní a vojensko-teroristickou činností. Organizace systematicky rekrutuje a nasazuje civilisty s vysokou odbornou kvalifikací, aby sloužili jako kybernetická síla v jejím operačním aparátu. Tento model jí umožňuje rozšiřovat své kybernetické schopnosti, využívat civilní krytí pro tajné operace a zvyšovat míru věrohodného popření své účasti na škodlivé činnosti.
Skupina BQT.Lock není jediná. Na sociálních sítích se chlubí společnými útoky s dalšími pro-íránskými kybernetickými skupinami, mezi něž patří Cyber Fattah Team, 313 Team, LulzSec nebo Cyber Islamic Resistance. To dokazuje, že BQT.Lock je součástí širší kybernetické fronty napojené na Irán.
Pana Lu Henga asi nebudete znát. Čínský podnikatel s agresivními praktikami, které využívá až na hraně (nebo za hranou?) existujících pravidel a které ho čas od času dostávají do nechtěné mediální pozornosti. Proč? Prostřednictvím svých společností, zejména Larus a Cloud Innovation, nashromáždil Lu Heng přibližně 10 milionů nedostatkových adres IPv4 určených pro africký kontinent. Proč Afrika? Afrika je jediným regionem na světě, který ještě disponuje volnými zásobami IPv4 adres, jelikož její internetová infrastruktura se rozvíjela pomaleji. To z ní učinilo cíl pro podnikavce, jako je Lu Heng. Tyto adresy pronajímá převážně společnostem mimo Afriku, což vyvolalo ostrou kritiku ze strany afrických poskytovatelů internetových služeb a AFRINIC (jeden z pěti regionálních registrů zodpovědných za přidělování IP adres, obdoba evropského RIPE NCC). Tento spor eskaloval v sérii soudních pří, které vedly k dočasné paralýze AFRINIC, zmrazení jeho bankovních účtů a přerušení distribuce nových IP adres africkým společnostem.
Lu Heng prostřednictvím své hongkongské společnosti Larus vyhledává nevyužité IPv4 adresy a pronajímá je společnostem sídlícím většinou mimo Afriku. Mezi lety 2013 a 2016 jeho společnost Cloud Innovation, registrovaná na Seychelách, získala od AFRINIC 6,2 milionu IPv4 adres – více, než je přiděleno Nigérii, nejlidnatější zemi Afriky. Jedna IPv4 adresa může mít na trhu hodnotu přibližně 50 USD. Společnost Larus je dále pronajímá za 5 % až 10 % této hodnoty ročně. S kontrolou nad více než 10 miliony adres se jedná o vysoce lukrativní byznys.
V roce 2020 se AFRINIC po interním přezkumu pokusil získat zpět IP adresy držené Lu Hengem s argumentem, že je nepoužívá v africkém regionu. Právní kroky ze strany Lu Henga měly pro organizaci zničující následky. V červenci 2021 vedla jedna ze žalob ke zmrazení bankovních účtů AFRINIC, což organizaci fakticky paralyzovalo a nakonec ji poslalo do nucené správy. To přerušilo distribuci nových IPv4 adres na kontinentu. V září 2025 byl zvolen konečně zvolen nový správní výbor AFRINIC a někteří poskytovatelé již obdrželi nové adresy.
Tato dlouholetá kauza ukazuje, jak velkou strategickou hodnotu základní internetové infrastruktury představují IP adresy a jak relativně jednoduše (s dostatkem finančních prostředků) může dojít k paralýze organizace, která je zodpovědná za jejich správu. IP adresy byly od začátku chápány jako veřejný statek spravovaný pro veřejné blaho a tomu byl nastaven i systém jejich získávání prostřednictvím regionálních registrů. Nedostatek IPv4 adres, neochota části trhu přejít na IPv6, zvyšující se cena vzácného statku a komerční apetit některých subjektů pak vedou k testování funkčnosti a odolnosti celého systému přidělování IP adres.
Izraelská internetová asociace (ISOC-IL) vydala zprávu Ballistic Fakes, kde analyzuje globální a lokální úsilí o ověřování faktů během izraelsko-íránské války, která vypukla 13. června 2025 a zahrnovala 12 dní intenzivních leteckých a balistických úderů z obou stran. Toto období bylo doprovázeno masivním šířením dezinformací, přičemž online psychologické operace a vlivové kampaně hrály aktivní roli. Sociální sítě v Izraeli, Íránu i po celém světě byly zaplaveny nepravdivými nebo manipulativními informacemi o válce, jejích cílech a dopadech. Dokument shrnuje poznatky získané z kvantitativní analýzy 592 ověření faktů, které publikovalo 50 mezinárodních organizací. Data byla čerpána primárně z databáze Google Fact Check Explorer a v menší míře z příspěvků dvou předních izraelských organizaci, FakeReporter a Bodkim Project. Do studie bylo zahrnuto 47 organizací pro ověřování faktů z 23 zemí, což dokládá globální zájem o konflikt. Analýza odhalila významnou roli aktérů mimo tradiční západní sféru, když 25 % všech ověření provedla organizace Misbar z Jordánska), dále pak AFP a 136 ověření provedlo 8 organizací z Indie (například Newschecker, Boom, Factly).
Zpráva uvádí, že většina falešného obsahu byla vizuální (videa) a spoléhala na vytržení ze souvislostí autentických záběrů spíše než na čistou fabulaci (71 % případů bylo prezentováno zavádějícím způsobem, který měnil jeho význam, 76 % případů vytrženo z časového kontextu). Významná část kontrolovaného obsahu (20 %) byla generována umělou inteligencí a zaměřovala se na přehánění zpráv o fyzickém poškození a vojenské síle. Zcela smyšlená tvrzení se vyskytovala v 15 % případů, podvodný obsah byl identifikován ve 2 % případů (subjekt se vydával za jinou instituci nebo osobu).
Analýza motivace k šíření dezinformací ukázala, že 72 % ověřeného obsahu potenciálně sloužilo íránským zájmům a 24 % ověřeného obsahu potenciálně sloužilo izraelským zájmům. Navzdory tomuto rozložení dezinformací studie nezjistila systematickou politickou zaujatost u většiny globálních organizací pro ověřování faktů; zaměřovaly se především na virální obsah bez ohledu na to, které straně mohl prospět. Zpráva také konstatuje, že izraelské možnosti ověřování faktu jsou omezené a nedostatečně rozvinuté, neboť existuje jen malý počet organizací pro tuto činnost a ty existující čelí finančnímu a politickému tlaku.