WithSecuren tutkimus paljastaa Venäjän valtion tukemaan uhkatoimijaan linkittyvän haittaohjelman

Kapekan havaitsemisen ajankohta ja muut yksityiskohdat sekä mahdolliset yhteydet Sandwormiin kytkevät sen osaksi Venäjän ja Ukrainan välistä sotaa.

WithSecuren tutkijat ovat löytäneet takaoven, jota on käytetty tietoturvahyökkäyksissä Itä-Euroopassa ainakin vuoden 2022 puolivälistä lähtien.

Kapeka on joustava takaovi, joka tarjoaa hyödyntäjilleen kaikki tarvittavat toiminnot varhaisen vaiheen työkaluksi, mutta myös pitkäaikaisen pääsyn uhrien järjestelmiin. Haittaohjelman uhrit, epäsäännölliset havainnot ja kehittyneisyys viittaavat edistynyttä ja pitkäkestoista uhkaa (Advanced Persistent Threat, APT) aiheuttavaan toimintaan.

Takaoven kehitys ja käyttö ovat mukailleet meneillään olevaa Venäjän ja Ukrainan sotaa. Kapekaa on todennäköisesti käytetty kohdistetuissa hyökkäyksissä yrityksiin kaikkialla Keski- ja Itä-Euroopassa Venäjän Ukrainaan kohdistuneen hyökkäyksen jälkeen vuonna 2022.

”Kapeka on herättänyt huolta, koska se liittyy venäläiseen APT-toimintaan ja erityisesti Sandworm-ryhmään. Sen harvinaisuus ja ensisijaisesti Itä-Eurooppaan kohdistuva aktiviteetti viittaavat siihen, että Kapeka on rajoitettuihin hyökkäyksiin räätälöity työkalu. Analyysimme on paljastanut myös päällekkäisyyksiä toisen Sandwormin käyttämän työkalun, GreyEnergyn, kanssa. Tämä vahvistaa yhteyttä ryhmään ja korostaa mahdollisia vaikutuksia alueen kohdeyrityksiin”, WithSecure Intelligencen tutkija Mohammad Kazem Hassan Nejad sanoo.

WithSecure havaitsi Kapekan viimeksi toukokuussa 2023. On harvinaista, että uhkatoimijat, erityisesti kansallisvaltioiden tukemat, lopettavat toimintansa tai luopuvat työkaluista kokonaan. Siksi Kapekan harvat havainnot voivat olla osoitus sen huolellisesta käytöstä APT-ryhmän toimesta vuosia kestävissä operaatioissa, kuten Venäjän ja Ukrainan sodassa.

Lue koko tutkimus englanniksi osoitteessa https://labs.withsecure.com/publications/kapeka.