Les experts en sécurité de WithSecure ont exposé Kapeka. Le nouveau malware semble avoir des liens avec le groupe de hackers russe Sandworm. Plusieurs facteurs indiquent clairement que le développement et l’utilisation du malware sont liés à la guerre entre la Russie et l’Ukraine : le moment, les lieux et le lien probable avec le groupe russe Sandworm.
Les chercheurs en renseignement sur les menaces de WithSecure™ (anciennement F-Secure Business) ont découvert un nouveau malware utilisé dans des attaques contre des cibles en Europe centrale et orientale depuis au moins mi-2022. Le malware, appelé Kapeka, peut être lié à un groupe appelé Sandworm. Sandworm est un groupe de hackers russe géré par le quartier général de l'état-major général des forces armées de la Fédération de Russie (GRU). Le groupe est surtout connu pour ses attaques destructrices contre l’Ukraine visant à défendre les intérêts russes dans la région.
Malware de porte dérobée avec fonctionnalité furtive
Kapeka est une porte dérobée flexible dotée de multiples fonctionnalités. Non seulement il sert de boîte à outils aux pirates informatiques dans les premières étapes de l'attaque, mais il fournit également un accès à long terme aux données de la victime. L'analyse du malware, sa rareté, ainsi que son niveau de furtivité et de sophistication indiquent une activité de niveau APT, généralement des attaques de piratage dirigées par l'État.
Le développement et l’utilisation du Kapeka sont étroitement liés à la guerre actuelle entre la Russie et l’Ukraine. Depuis cette invasion illégale, la porte dérobée a probablement été utilisée dans des attaques ciblées contre des entreprises en Europe centrale et orientale.
Connexion au groupe russe Sandworm
"Nous sommes très préoccupés par Kapeka en raison de ses liens avec les campagnes russes APT, en particulier le groupe Sandworm", a déclaré Mohammad Kazem Hassan Nejad, chercheur chez WithSecure Intelligence. « Les rares attaques ciblées observées principalement en Europe de l’Est suggèrent qu’il s’agit d’un outil sur mesure pour des attaques de portée limitée. De plus, une analyse plus approfondie a révélé des similitudes avec GreyEnergy – une autre boîte à outils qui semble faire partie de Sandworm. Cela souligne les liens avec le groupe et indique un niveau de menace accru pour d'éventuelles cibles d'attaque en Europe de l'Est.»
WithSecure a observé la dernière activité Kapeka en mai 2023. On ne peut en particulier attendre des acteurs étatiques qu’ils arrêtent leurs activités ou mettent hors service leurs outils fonctionnels. Les rares observations de Kapeka pourraient donc constituer une preuve supplémentaire d’une attaque de piratage avancée (APT) menée par un État. Ces attaques peuvent durer des années – par exemple dans le cadre de la guerre entre la Russie et l’Ukraine.
Plus sur WithSecure.com
À propos de WithSecure WithSecure, anciennement F-Secure Business, est le partenaire de confiance en matière de cybersécurité. Les fournisseurs de services informatiques, les fournisseurs de services de sécurité gérés et d'autres entreprises font confiance à WithSecure - tout comme les grandes institutions financières, les entreprises industrielles et les principaux fournisseurs de technologies et de communication. Avec son approche de la cybersécurité axée sur les résultats, le fournisseur de sécurité finlandais aide les entreprises à mettre la sécurité en relation avec les opérations, à sécuriser les processus et à prévenir les interruptions d'activité.