Gli esperti di sicurezza di WithSecure hanno smascherato Kapeka. Il nuovo malware sembra avere legami con il gruppo di hacker russo Sandworm. Diversi fattori indicano chiaramente che lo sviluppo e l’utilizzo del malware sono legati alla guerra tra Russia e Ucraina: i tempi, i luoghi e il probabile collegamento con il gruppo russo Sandworm.
I ricercatori di Threat Intelligence di WithSecure™ (ex F-Secure Business) hanno scoperto un nuovo malware che è stato utilizzato in attacchi contro obiettivi nell’Europa centrale e orientale almeno dalla metà del 2022. Il malware, chiamato Kapeka, può essere collegato a un gruppo chiamato Sandworm. Sandworm è un gruppo di hacker russo gestito dal quartier generale dello stato maggiore delle forze armate della Federazione Russa (GRU). Il gruppo è noto soprattutto per i suoi attacchi distruttivi contro l’Ucraina nel perseguimento degli interessi russi nella regione.
Malware backdoor con funzionalità stealth
Kapeka è una backdoor flessibile con molteplici funzionalità. Non solo funge da toolkit per gli hacker nelle fasi iniziali dell'attacco, ma fornisce anche accesso a lungo termine ai dati della vittima. L’analisi del malware, la sua rarità e il suo livello di furtività e sofisticatezza indicano attività a livello di APT, in genere attacchi di hacking diretti dallo stato.
Lo sviluppo e l'uso di Kapeka sono strettamente legati all'attuale guerra Russia-Ucraina. Dopo l’invasione illegale, la backdoor è stata probabilmente utilizzata per attacchi mirati contro aziende nell’Europa centrale e orientale.
Collegamento al gruppo russo Sandworm
“Siamo molto preoccupati per Kapeka a causa dei suoi collegamenti con le campagne APT russe, in particolare con il gruppo Sandworm”, ha affermato Mohammad Kazem Hassan Nejad, ricercatore presso WithSecure Intelligence. “I rari attacchi mirati osservati soprattutto nell’Europa orientale indicano uno strumento su misura per attacchi di portata limitata. Inoltre, ulteriori analisi hanno rivelato somiglianze con GreyEnergy, un altro toolkit che sembra far parte di Sandworm. Ciò sottolinea i collegamenti con il gruppo e indica un aumento del livello di minaccia per possibili obiettivi di attacco nell’Europa orientale”.
WithSecure ha osservato l’ultima volta l’attività di Kapeka nel maggio 2023. In particolare, non ci si può aspettare che gli attori statali delle minacce interrompano le loro attività o disattivino gli strumenti funzionanti. I rari avvistamenti di Kapeka potrebbero quindi essere un’ulteriore prova di un attacco di hacking avanzato (APT) condotto dallo stato. Questi attacchi possono durare anni – ad esempio nel caso della guerra tra Russia e Ucraina.
Altro su WithSecure.com
Informazioni su WithSecure WithSecure, precedentemente F-Secure Business, è il partner di fiducia nella sicurezza informatica. I fornitori di servizi IT, i fornitori di servizi di sicurezza gestiti e altre aziende si affidano a WithSecure, così come i grandi istituti finanziari, le aziende industriali e i principali fornitori di tecnologie e comunicazioni. Con il suo approccio alla sicurezza informatica orientato ai risultati, il fornitore di sicurezza finlandese aiuta le aziende a mettere la sicurezza in relazione alle operazioni e a proteggere i processi e prevenire interruzioni dell'attività.