Die Security-Experten von WithSecure haben Kapeka enttarnt. Die neue Malware scheint Verbindungen zur russischen Hacker-Gruppe Sandworm zu haben. Mehrere Faktoren deuten klar darauf hin, dass die Entwicklung und der Einsatz der Malware mit dem Russland-Ukraine-Krieg zusammenhängen: Die Zeitpunkte, die Orte, sowie die wahrscheinliche Verbindung zur russischen Sandworm-Gruppe.
Threat-Intelligence-Forscher von WithSecure™ (ehemals F-Secure Business) haben eine neuartige Malware entdeckt, die mindestens seit Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt wird. Die Malware mit dem Namen Kapeka kann mit einer Gruppe namens Sandworm in Verbindung gebracht werden. Sandworm ist eine russische Hacker-Gruppe, die von der Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben wird. Die Gruppe ist vor allem für ihre zerstörerischen Angriffe gegen die Ukraine bekannt, mit denen sie russische Interessen in der Region verfolgt.
Backdoor-Malware mit Tarnfunktion
Kapeka ist eine flexible Backdoor mit mehreren Funktionen. Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse deuten auf Aktivitäten auf APT-Ebene hin, also auf typischerweise staatlich gesteuerte Hackerangriffe.
Entwicklung und Einsatz von Kapeka sind eng mit dem aktuellen Russland-Ukraine-Krieg verbunden. Die Backdoor wird seit dem illegalen Einmarsch wahrscheinlich bei gezielten Angriffen auf Unternehmen in Mittel- und Osteuropa eingesetzt.
Verbindung zu russischer Sandworm-Gruppe
„Kapeka macht uns aufgrund der Verbindungen zu russischen APT-Kampagnen – und dabei vor allem zur Sandworm-Gruppe – große Sorgen“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence. „Die seltenen, zielgerichteten Angriffe, die vor allem in Osteuropa beobachtet wurden, deuten auf ein maßgeschneidertes Tool für Angriffe mit begrenztem Umfang hin. Außerdem haben weitere Analysen Ähnlichkeiten mit GreyEnergy zum Vorschein gebracht – einem weiteren Toolkit, das wohl zu Sandworm gehört. Dies unterstreicht die Verbindungen zur Gruppe und weist auf eine erhöhte Bedrohungslage für mögliche Angriffsziele in Osteuropa hin.“
WithSecure hat zuletzt im Mai 2023 Aktivitäten von Kapeka beobachtet. Gerade bei staatlichen Bedrohungsakteuren ist nicht davon auszugehen, dass sie ihre Tätigkeit einstellen oder funktionierende Tools ausmustern. Die seltenen Sichtungen von Kapeka können daher ein zusätzlicher Hinweis auf einen staatlichen geführten, avancierten Hackerangriff (APT) sein. Diese Angriffe können sich über Jahre erstrecken – etwa im Krieg zwischen Russland und der Ukraine.
Mehr bei WithSecure.com
Über WithSecure WithSecure, ehemals F-Secure Business, ist der zuverlässige Partner für Cybersicherheit. IT-Dienstleister, Managed Security Services Provider und andere Unternehmen vertrauen WithSecure – wie auch große Finanzinstitute, Industrieunternehmen und führende Kommunikations- und Technologieanbieter. Mit seinem ergebnisorientierten Ansatz der Cybersicherheit hilft der finnische Sicherheitsanbieter Unternehmen dabei, die Sicherheit in Relation zu den Betriebsabläufen zu setzen und Prozesse zu sichern sowie Betriebsunterbrechungen vorzubeugen.