Odkryto backdoora o nazwie Kapeka, wykorzystywanego w atakach na cele w Europie Wschodniej od co najmniej połowy 2022 roku. Odpowiadać za nie może rosyjska grupa hakerów Sandworm, powiązana z rosyjskimi służbami specjalnymi.
Kapeka to backdoor, który może być wykorzystywany na wczesnym etapie cyberataku, a następnie zapewnia przestępcom długotrwały dostęp do systemu ofiary. Najpierw zbiera informacje na temat urządzenia i użytkownika, a później przesyła je przestępcom. Po uruchomieniu na komputerze ofiary sam się usuwa. Cele obierane w atakach, ich niska częstotliwość oraz poziom zaawansowania i maskowania działań wskazują na ataki APT (ang. Advanced Persistent Threats).
Ataki po wybuchu wojny w 2022 roku
Rozwój i wdrożenie backdoora Kapeka nastąpiły po wybuchu trwającej inwazji Rosji na Ukrainę i prawdopodobnie już od tamtej pory był on wykorzystywany w atakach ukierunkowanych na firmy w Europie Środkowej i Wschodniej.
Badacze WithSecure ostatni raz obserwowali aktywność Kapeki w maju 2023 roku. Rzadko zdarza się jednak, aby grupy hakerów, szczególnie te powiązane z państwami narodowymi, zaprzestały działalności lub całkowicie pozbyły się narzędzi, zwłaszcza zanim zostaną one upublicznione. Dlatego fakt, że działanie Kapeki obserwowano dość rzadko, może świadczyć o skrupulatnym wykorzystywaniu go przez cyberprzestępców w operacjach trwających latami, takich jak wojna rosyjsko-ukraińska.
Jak wskazują analitycy, niezależnie od pochodzenia i celów ataków z wykorzystaniem Kapeki, zagrożenie dla firm w Europie Środkowej i Wschodniej jest takie samo – również dla sektora MŚP. Konieczne jest więc podnoszenie świadomości wśród przedsiębiorstw, rządów oraz specjalistów zajmujących się bezpieczeństwem.
