WithSecure'daki güvenlik uzmanları Kapeka'yı açığa çıkardı. Yeni kötü amaçlı yazılımın Rus hacker grubu Sandworm ile bağlantısı var gibi görünüyor. Birkaç faktör, kötü amaçlı yazılımın geliştirilmesinin ve kullanımının Rusya-Ukrayna savaşıyla ilgili olduğunu açıkça gösteriyor: zamanlama, yerler ve Rus Kum Solucanı grubuyla olası bağlantı.
WithSecure™'daki (eski adıyla F-Secure Business) tehdit istihbaratı araştırmacıları, en azından 2022'nin ortasından bu yana Orta ve Doğu Avrupa'daki hedeflere yönelik saldırılarda kullanılan yeni bir kötü amaçlı yazılım keşfetti. Kapeka adı verilen kötü amaçlı yazılımın Sandworm adlı bir grupla bağlantısı olabilir. Sandworm, Rusya Federasyonu Silahlı Kuvvetleri Genelkurmay Karargahı (GRU) tarafından işletilen bir Rus hacker grubudur. Grup, Rusya'nın bölgedeki çıkarlarını gözeterek Ukrayna'ya yönelik yıkıcı saldırılarıyla tanınıyor.
Gizli işlevselliğe sahip arka kapı kötü amaçlı yazılımı
Kapeka, birçok özelliğe sahip esnek bir arka kapıdır. Saldırının ilk aşamalarında bilgisayar korsanları için bir araç seti görevi görmesinin yanı sıra kurbanın verilerine uzun vadeli erişim de sağlıyor. Kötü amaçlı yazılımın analizi, nadir görülmesi ve gizlilik ve karmaşıklık düzeyi, genellikle devlet tarafından yönlendirilen bilgisayar korsanlığı saldırıları olan APT düzeyindeki etkinliği gösterir.
Kapeka'nın geliştirilmesi ve kullanımı mevcut Rusya-Ukrayna savaşıyla yakından bağlantılıdır. Yasadışı işgalden bu yana, arka kapı muhtemelen Orta ve Doğu Avrupa'daki şirketlere yönelik hedefli saldırılarda kullanıldı.
Rus Kum Solucanı grubuna bağlantı
WithSecure Intelligence araştırmacısı Mohammad Kazem Hassan Nejad, "Kapeka'nın Rus APT kampanyalarıyla, özellikle de Sandworm grubuyla olan bağlantıları nedeniyle çok endişeliyiz" dedi. “Öncelikle Doğu Avrupa'da gözlemlenen nadir hedefli saldırılar, sınırlı kapsamlı saldırılar için özel olarak tasarlanmış bir araca işaret ediyor. Ek olarak, daha ileri analizler, Sandworm'un parçası gibi görünen başka bir araç seti olan GreyEnergy ile benzerlikleri ortaya çıkardı. Bu, grupla olan bağlantıların altını çiziyor ve Doğu Avrupa'daki olası saldırı hedefleri için artan tehdit seviyesine işaret ediyor."
WithSecure, Kapeka etkinliğini en son Mayıs 2023'te gözlemledi. Özellikle devlet tehdit aktörlerinin faaliyetlerini durdurmaları veya işleyen araçları devre dışı bırakmaları beklenemez. Bu nedenle Kapeka'nın nadir görülmesi, devlet öncülüğündeki gelişmiş bilgisayar korsanlığı saldırısının (APT) ek bir kanıtı olabilir. Bu saldırılar yıllarca sürebilir; örneğin Rusya ile Ukrayna arasındaki savaşta.
Daha fazlası WithSecure.com'da
WithSecure Hakkında Eskiden F-Secure Business olan WithSecure, siber güvenlik alanında güvenilir bir iş ortağıdır. Büyük finansal kuruluşlar, endüstriyel şirketler ve önde gelen iletişim ve teknoloji sağlayıcıları gibi BT hizmet sağlayıcıları, yönetilen güvenlik hizmetleri sağlayıcıları ve diğer şirketler de WithSecure'a güveniyor. Finli güvenlik sağlayıcısı, siber güvenliğe yönelik sonuç odaklı yaklaşımıyla, şirketlerin güvenliği operasyonlarla ve güvenli süreçlerle ilişkilendirmesine ve iş kesintilerini önlemesine yardımcı oluyor.