Kyberválka

Backdoor Kapeka útočí na počítače ve střední a východní Evropě. Patrně za ním stojí Rusko

Odborníci podrobně popsali fungování malwaru Kapeka, který přinejmenším od poloviny roku 2022 útočí na systémy ve střední a východní Evropě. Dle finské firmy WithSecure je tento malware pravděpodobně spojen s hackerskou skupinou Sandworm, kterou řídí ruská vojenská zpravodajská služba GRU. Podrobnosti přidává The Hacker News.

Tento backdoor je primárně určen pro použití ve špionážních a sabotážních operacích. Jeho kód je vytvořen tak, aby hackerům umožnil přístup k síti pro nasazení dalších škodlivých aplikací. Experti také objevili podobnosti mezi malwarem Kapeka a dalšími škodlivými nástroji vytvořenými skupinou Sandworm.

Kapeka měla být například použita při průnicích, které na konci roku 2022 vedly k šíření ransomwaru Prestige. Tento ransomware byl použit v rozsáhlé sérii útoků zaměřených na dopravní a logistické odvětví na Ukrajině a v Polsku. Z dosavadních zjištění vyplývá, že Kapeka je možná nástupcem malwaru GreyEnergy.

Backdoor jako doplněk MS Wordu

Stopy Kapeky byly nalezeny také při analýze útoku na estonskou logistickou společnost, ke kterému došlo koncem roku 2022. V polovině roku 2022 a v polovině roku 2023 byly z Ukrajiny do služby VirusTotal odeslány další dva vzorky tohoto backdooru.

Počátkem letošního února objevil Microsoft backdoor s podobnými vlastnostmi jako Kapeka a pojmenoval jej KnuckleTouch. I tento malware byl používán přinejmenším od počátku až poloviny roku 2022 a maskuje se jako doplněk aplikace Microsoft Word. Odborníci ze společnosti WithSecure následně potvrdili, že KnuckleTouch a Kapeka jsou jeden a ten samý backdoor.

Dle Microsoftu byla Kapeka zapojena do několika kampaní šířících ransomware a může být použita k provádění různých akcí, jako je krádež přihlašovacích údajů a dalších dat, provádění destruktivních útoků a poskytování vzdáleného přístupu k zařízení.

Záludný ruský malware

Podle zprávy WithSecure může Kapeka sloužit nejen jako sada nástrojů v rané fázi útoku, ale také zajišťovat dlouhodobý přístup k cílovému systému. Po infiltraci shromažďuje informace o infikovaném počítači a jeho uživateli. Může také provádět řadu úkolů – například číst soubory z disků, které jsou menší než 50 MB, a odesílat tyto informace zpět hackerům.

Malware může také spouštět další škodlivé aplikace, vykonávat různé příkazy a vylepšovat své vlastní funkce. Útočníci ho mohou využívat tak, že nejprve infikují počítač touto škodlivou aplikací, a v případě, kdy je oběť považována za vhodný cíl, nainstalovat další malware.

Ze zprávy dále vyplývá, že vývoj a nasazení Kapeky pravděpodobně souvisí s probíhající válkou na Ukrajině. Backdoor byl pravděpodobně použit při destruktivních útocích, včetně ransomwarových útoků, proti firmám a společnostem ve střední a východní Evropě.

Diskuze (2) Další článek: České nebe má nový hlas. Informuje piloty podobně jako hlášení v metru, tramvajích a šalinách. Poslechněte si ho

Témata článku: , , , , ,