Badacze z firmy WithSecure odkryli nowe złośliwe oprogramowanie typu backdoor o nazwie Kapeka, wykorzystywane w atakach na cele w Europie Wschodniej od co najmniej połowy 2022 roku. Odpowiadać za nie może rosyjska grupa hakerów Sandworm, powiązana z rosyjskimi służbami specjalnymi (GRU). Działa ona głównie w Europie Środkowo-Wschodniej i jest znana szczególnie ze swoich ataków na Ukrainę.
Kapeka to backdoor, który może być wykorzystywany na wczesnym etapie cyberataku, a następnie zapewnia przestępcom długotrwały dostęp do systemu ofiary. Najpierw zbiera informacje na temat urządzenia i użytkownika, a później przesyła je przestępcom. Po uruchomieniu na komputerze ofiary sam się usuwa. Jak wskazują analitycy WithSecure, cele obierane w atakach, ich niska częstotliwość oraz poziom zaawansowania i maskowania działań wskazują na ataki APT (ang. Advanced Persistent Threats).
Badacze WithSecure wskazują, że Kapeka prawdopodobnie jest kolejnym narzędziem używanym przez grupę Sandworm. Oprogramowanie mogło zostać wykorzystane w atakach, które doprowadziły do infekcji firm ransomwarem Prestige pod koniec 2022 r.
Rozwój i wdrożenie backdoora Kapeka nastąpiły po wybuchu trwającej inwazji Rosji na Ukrainę i prawdopodobnie już od tamtej pory był on wykorzystywany w atakach ukierunkowanych na firmy w Europie Środkowej i Wschodniej. Badacze WithSecure ostatni raz obserwowali aktywność Kapeki w maju 2023 r.
Firma WithSecure opracowała też kilka skryptów pomocnych w analizie i wykrywaniu backdoora.
Pełna treść raportu na temat Kapeka dostępna jest pod adresem: https://labs.withsecure.com/publications/kapeka.
