ŚwiatWiadomości Prasowe

Europa Wschodnia na celowniku hakerów. Nowy backdoor powiązany z rosyjską grupą Sandworm

Badacze z firmy WithSecure odkryli nowe złośliwe oprogramowanie typu backdoor o nazwie Kapeka, wykorzystywane w atakach na cele w Europie Wschodniej od co najmniej połowy 2022 roku. Odpowiadać za nie może rosyjska grupa hakerów Sandworm, powiązana z rosyjskimi służbami specjalnymi (GRU). Działa ona głównie w Europie Środkowo-Wschodniej i jest znana szczególnie ze swoich ataków na Ukrainę.

Kapeka to backdoor, który może być wykorzystywany na wczesnym etapie cyberataku, a następnie zapewnia przestępcom długotrwały dostęp do systemu ofiary. Najpierw zbiera informacje na temat urządzenia i użytkownika, a później przesyła je przestępcom. Po uruchomieniu na komputerze ofiary sam się usuwa. Jak wskazują analitycy WithSecure, cele obierane w atakach, ich niska częstotliwość oraz poziom zaawansowania i maskowania działań wskazują na ataki APT (ang. Advanced Persistent Threats, Zaawansowane Uporczywe Ataki).

Powiązania z rosyjską grupą Sandworm

Badacze WithSecure wskazują, że Kapeka prawdopodobnie jest kolejnym narzędziem używanym przez grupę Sandworm. Oprogramowanie mogło zostać wykorzystane w atakach, które doprowadziły do infekcji firm ransomwarem Prestige pod koniec 2022 roku.

Backdoor Kapeka wzbudził obawy ze względu na jego powiązanie z rosyjskimi atakami APT, szczególnie z grupą Sandworm. Rzadkie wykorzystywanie backdoora i ukierunkowany charakter działań, które są obserwowane głównie w Europie Wschodniej, sugerują, że jest to narzędzie na zamówienie, używane w atakach o ograniczonym zasięgu. Analiza wskazała, że backdoor Kapeka pokrywa się z GreyEnergy, innym zestawem narzędzi Sandworm. Wzmacnia to powiązanie backdoora z tą grupą i wskazuje potencjalne ryzyko dla firm w regionie – podkreśla Mohammad Kazem Hassan Nejad, badacz w WithSecure Intelligence.

Ataki po wybuchu wojny w 2022 roku

Rozwój i wdrożenie backdoora Kapeka nastąpiły po wybuchu trwającej inwazji Rosji na Ukrainę i prawdopodobnie już od tamtej pory był on wykorzystywany w atakach ukierunkowanych na firmy w Europie Środkowej i Wschodniej.

Badacze WithSecure ostatni raz obserwowali aktywność Kapeki w maju 2023 roku. Rzadko zdarza się jednak, aby grupy hakerów, szczególnie te powiązane z państwami narodowymi, zaprzestały działalności lub całkowicie pozbyły się narzędzi, zwłaszcza zanim zostaną one upublicznione. Dlatego fakt, że działanie Kapeki obserwowano dość rzadko, może świadczyć o skrupulatnym wykorzystywaniu go przez cyberprzestępców w operacjach trwających latami, takich jak wojna rosyjsko-ukraińska.

Jak wskazują analitycy, niezależnie od pochodzenia i celów ataków z wykorzystaniem Kapeki, zagrożenie dla firm w Europie Środkowej i Wschodniej jest takie samo – również dla sektora MŚP. Konieczne jest więc podnoszenie świadomości wśród przedsiębiorstw, rządów oraz specjalistów zajmujących się bezpieczeństwem. Firma WithSecure opracowała też kilka skryptów pomocnych w analizie i wykrywaniu backdoora.

Pełna treść raportu na temat Kapeka dostępna jest pod adresem:
labs.withsecure.com/publications/kapeka.

O WithSecure™

WithSecure™, dawniej F-Secure Business, to europejski partner w dziedzinie cyberbezpieczeństwa, cieszący się zaufaniem dostawców usług IT, MSSP i firm na całym świecie.

Click to rate this post!
[Total: 0 Average: 0]

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna jest chroniona przez reCAPTCHA i Google Politykę Prywatności oraz obowiązują Warunki Korzystania z Usługi.

Skip to content