Исследователи считают, что вредонос является преемником GreyEnergy и BlackEnergy.
Финская ИБ-компания WithSecure сообщила о новой угрозе в сфере кибербезопасности, выявив в киберпространстве вредоносного ПО, получившего название Kapeka. Эта программа использовалась для атак в Центральной и Восточной Европе начиная с середины 2022 года.
По данным исследователей, Kapeka разработана группой хакеров Sandworm и предназначена для активного проведения шпионских операций. Программа обеспечивает долгосрочный доступ к заражённым системам, собирая информацию о заражённых устройствах и их пользователях.
Анализ, проведённый WithSecure, показал, что Kapeka была использована для внедрения программы-вымогателя Prestige, направленной против транспортного и логистического сектора. Вредоносное ПО может выполнять множество задач, включая чтение файлов, выполнение команд и расширение своих функций.
По словам исследователей, Kapeka также связана с другими вредоносными инструментами Sandworm и может считаться преемником таких известных вирусов, как GreyEnergy и BlackEnergy, использовавшихся в прошлом для атак на энергосистемы.
Специалисты впервые обнаружили Kapeka в середине прошлого года, когда анализировали атаку на логистическую компанию в Эстонии, произошедшую в конце 2022 года. Кроме того, было подтверждено, что этот же вредонос был замечен в атаках на Польшу и Украину.
Ранее компания Microsoft также выявила аналогичное вредоносное ПО, получившее название KnuckleTouch, и использование его началось примерно в то же время. WithSecure подтвердила, что KnuckleTouch и Kapeka — это одно и то же вредоносное ПО.
На данный момент информация о способах распространения Kapeka, действиях злоумышленников и их целях остаётся неясной из-за недостатка данных. Остаётся наблюдать, будут ли разработчики Kapeka выпускать обновлённые версии инструмента или разрабатывать новые инструменты с аналогичными функциями.
Одно найти легче, чем другое. Спойлер: это не темная материя