Forscher von WithSecure haben eine neuartige Backdoor-Malware entdeckt, die seit mindestens Mitte 2022 bei Angriffen auf Opfer in Osteuropa eingesetzt wird. Die Malware mit dem Namen Kapeka könne mit einer Gruppe namens Sandworm in Verbindung gebracht werden.
Sandworm ist eine weitverbreitete russische Bedrohungsgruppe, die von der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben wird. Die Gruppe ist vor allem für seine zerstörerischen Angriffe gegen die Ukraine berüchtigt, mit denen er russische Interessen in der Region verfolgt.
Bei Kapeka handele es sich um eine als Add-In für Microsoft Word getarnte flexible Backdoor, die in Windows-Systeme eingebaut werde und über alle erforderlichen Funktionen verfüge, um ihren Betreibern langfristigen Zugriff auf die Systeme des Opfers zu ermöglichen, so die Experten von WithSecure (ehemals F-Secure Business). Die Art der Malware, ihr seltenes Auftauchen sowie ihr Grad an Heimlichkeit und Raffinesse würden auf Aktivitäten auf APT-Ebene (Advanced Persistent Threat) hindeuten.
Für Cyberangriffe auf Ukraine genutzt
Die Entwicklung und der Einsatz von Kapeka folgen auf den Ausbruch des aktuellen Krieges zwischen Russland und der Ukraine, so die Forscher. Kapeka würden wahrscheinlich seit dem russischen Einmarsch in die Ukraine im Jahr 2022 bei gezielten Angriffen auf Unternehmen in Mittel- und Osteuropa eingesetzt.
„Die Kapeka-Backdoor hat aufgrund ihrer Verbindung zu russischen APT-Aktivitäten – insbesondere der Sandworm-Gruppe – Anlass zur Sorge gegeben. Ihre Seltenheit und ihr gezielter Charakter, der vor allem in Osteuropa beobachtet wurde, lassen vermuten, dass es sich um ein spezialisiertes Tool handelt, das bei Cyberangriffen mit begrenztem Umfang eingesetzt wird. Weitere Analysen ergaben Überschneidungen mit GreyEnergy, einem weiteren Toolkit, das mit Sandworm in Verbindung gebracht wird“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence. Dies unterstreiche die Verbindung zu dieser Gruppe und zeige mögliche Auswirkungen auf Zielpersonen in der Region auf.
Russischer Geheimdienst verliert bedeutendes Einfallstor
WithSecure habe Kapeka zuletzt im Mai 2023 beobachtet. Es sei ungewöhnlich, dass Bedrohungsgruppen, insbesondere Nationalstaaten, ihren Betrieb einstellen oder ihre Werkzeuge ganz aufgeben. Daher könne die seltene Sichtung von Kapeka als Beweis für seine sorgfältige Nutzung durch einen fortschrittlichen, hartnäckigen APT-Akteur bei Operationen angesehen werden, die sich über Jahre erstrecken, wie etwa der Krieg zwischen Russland und der Ukraine.
Die von WithSecure bekannt gegebenen Erkenntnisse wurden bereits von Microsoft bestätigt. Beim US-Softwarekonzern werde die Malware unter dem Namen „KnuckleTouch“ geführt.
Als Cyberwaffe würde der russische Geheimdienst diese Backdoor-Malware nun verlieren, da die Schlupflöcher in kurzer Zeit gefunden und geschlossen würden, so WithSecure. (ah)
