Kapeka: Neuartige Malware aus Russland?
Berichte über eine neuartige "Kapeka"-Malware tauchen allerorten auf. Die ist jedoch gar nicht neu und seit fast einem Jahr nicht mehr aktiv.
Die Malware Kapeka ist nicht neu.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
"Neue russische Cyberwaffe", "neue Windows-Backdoor per Word-Add-in" und ähnlich lauten derzeit viele Überschriften in diversen Medien, die eine Mitteilung des Sicherheitsunternehmen WithSecure aufgreifen. Darin geht es um eine Malware namens Kapeka, die Microsoft etwa unter dem Namen KnuckleTouch führt und mit dem eigenen Malware-Scanner Defender unschädlich macht.
WithSecure verortet die Malware als von der vom russischen Geheimdienst GRU gestützten Cybergruppierung Sandworm stammend, die in der Vergangenheit öfter Cyberangriffe insbesondere auf Organisationen in der Ukraine unternommen hat. WithSecure erklärt in der Mitteilung, dass die Malware seit Mitte 2022 – also vor zwei Jahren – gegen Opfer in Osteuropa eingesetzt wurde. Zum Ende schließt das Unternehmen mit "WithSecure hat zuletzt im Mai 2023 Aktivitäten von Kapeka beobachtet".
WithSecure: Publicity-Stunt
Konkret beschreibt WithSecure den Schädling folgendermaßen: "Kapeka ist eine flexible Backdoor mit mehreren Funktionen. Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse deuten auf Aktivitäten auf APT-Ebene hin, also auf typischerweise staatlich gesteuerte Hackerangriffe."
Wie die Analyse auf VirusTotal zeigt, erkennen viele aktuellen Malware-Scanner die Kapeka-Hintertür derzeit als Schadsoftware – Anwender und Admins sollten also sicherstellen, dass ihre Erkennungsprogramme auf dem neuesten Stand sind.
Unter dem Strich handelt es sich offenbar um eine nicht sonderlich anders als bislang beobachtete Malware funktionierende Schadsoftware. Die ist zudem seit etwa einem Jahr auch nicht mehr aktiv. Die Zuordnung zu russischen Akteuren erscheint nicht unwahrscheinlich, beruht jedoch lediglich auf einem Vergleich der Kapeka-Malware mit dem "Grey Energy"-Werkzeugkasten der Sandworm-Gruppierung.
Die Entdeckung der Malware als "großen Schlag gegen Russland" zu werten, wie sich ein WithSecure-Sprecher gegenüber der Presseagentur dpa zitieren ließ, wirkt jedoch wie ein PR-Manöver. Schließlich wurde Kapeka auch ohne Intervention von Schadsoftware-Jägern seit Mitte vergangenen Jahres nicht mehr in freier Wildbahn gesichtet.
Transparenzhinweis: Wir haben uns ursprünglich gegen eine Meldung auf heise online entschieden. Da keine aktuelle Bedrohung durch Kapeka besteht, gibt es keinen Grund dafür. Aufgrund der großen medialen Aufmerksamkeit erschien nun jedoch eine Einordnung sinnvoll.
(dmk)