Експерти з безпеки WithSecure викрили Капеку. Схоже, що нова шкідлива програма пов’язана з російською хакерською групою Sandworm. Декілька факторів чітко вказують на те, що розробка та використання шкідливого програмного забезпечення пов’язані з російсько-українською війною: час, місця та ймовірний зв’язок із російською групою Sandworm.
Дослідники аналізу загроз з WithSecure™ (раніше F-Secure Business) виявили нове шкідливе програмне забезпечення, яке використовувалося для атак на цілі в Центральній і Східній Європі принаймні з середини 2022 року. Зловмисне програмне забезпечення під назвою Kapeka може бути пов’язане з групою Sandworm. Sandworm — російське хакерське угруповання, кероване Головним управлінням Генерального штабу Збройних сил Російської Федерації (ГРУ). Група найбільш відома своїми деструктивними нападами на Україну, переслідуючи російські інтереси в регіоні.
Зловмисне програмне забезпечення для бекдорів із прихованою функцією
Kapeka — це гнучкий бекдор із багатьма функціями. Він не тільки служить інструментарієм для хакерів на початкових етапах атаки, але й забезпечує довгостроковий доступ до даних жертви. Аналіз зловмисного програмного забезпечення, його рідкісне виникнення, рівень скритності та складності вказують на активність на рівні APT, як правило, хакерські атаки, керовані державою.
Розробка та використання Капеки тісно пов'язані з нинішньою російсько-українською війною. Після незаконного вторгнення бекдор, ймовірно, використовувався для цілеспрямованих атак на компанії в Центральній і Східній Європі.
Підключення до групи Russian Sandworm
«Ми дуже стурбовані Kapeka через його зв’язки з російськими кампаніями APT, зокрема з групою Sandworm», — сказав Мохаммад Казем Хассан Неджад, дослідник WithSecure Intelligence. «Рідкісні цілеспрямовані атаки, які спостерігаються переважно у Східній Європі, вказують на спеціальний інструмент для атак обмеженого масштабу. Крім того, подальший аналіз виявив схожість із GreyEnergy – іншим набором інструментів, який, здається, є частиною Sandworm. Це підкреслює зв’язки з угрупованням і вказує на підвищений рівень загрози для можливих цілей атак у Східній Європі».
WithSecure востаннє спостерігав за діяльністю Kapeka у травні 2023 року. Зокрема, не можна очікувати, що суб’єкти державної загрози припинять свою діяльність або виведуть з ладу функціональні інструменти. Таким чином, рідкісні випадки спостереження Капеки можуть бути додатковим доказом розширеної хакерської атаки (APT), керованої державою. Ці атаки можуть тривати роками – наприклад, у війні між Росією та Україною.
Більше на WithSecure.com
Про WithSecure WithSecure, раніше F-Secure Business, є надійним партнером у сфері кібербезпеки. Постачальники ІТ-послуг, постачальники послуг керованої безпеки та інші компанії довіряють WithSecure, як і великі фінансові установи, промислові компанії та провідні постачальники комунікацій і технологій. Завдяки орієнтованому на результат підходу до кібербезпеки фінський провайдер безпеки допомагає компаніям забезпечувати безпеку операцій, захищати процеси та запобігати перебоям у роботі.