IT-Sicherheit: Finnische Firma enttarnt russische Cyberwaffe

Ein IT-Sicherheitsunternehmen hat eine bisher unbekannte Schadsoftware aufgespürt, die seit 2022 von mutmaßlich russischen Staatshackern eingesetzt wird. Sie ist auch für Hackerangriffe auf die Ukraine eingesetzt worden.

Das finnische Sicherheitsunternehmen With Secure hat eine bislang unbekannte Schadsoftware entdeckt, die eine Hintertür in bestimmte Windows-Systeme einbaut und für Cyberangriffe verwundbar macht. Die Schadsoftware, die die Forscher "Kapeka" getauft haben, könne mit der russischen Hackergruppe "Sandworm" in Verbindung gebracht werden, die vom russischen Militärnachrichtendienst GRU betrieben werde, erklärte das finnische Unternehmen. Sandworm ist vor allem für zerstörerische Angriffe gegen die Ukraine berüchtigt. So hatte Sandworm 2017 mit der eigentlich in der Ukraine verteilten Schadsoftware "NotPetya" weltweit Milliardenschäden verursacht. Außerdem schaffte es die Gruppe mehrfach, die Energieversorgung in der Ukraine mithilfe von Cyberangriffen zu sabotieren.

Auf die Spur brachte die Forscher ein Angriff auf eine estnische Firma im Herbst 2022. Dort verwendete Dateien fanden IT-Verteidiger von With Secure auch bei Angriffen auf eine europäische Regierungsorganisation ein Jahr später. Bei weiteren Analysen stellte sich heraus, dass das Angriffswerkzeug Ähnlichkeiten mit zwei anderen Tools aufweist, die die russischen Staatshacker bei früheren Kampagnen verwendet hatten. "Black Energy", das 2015 entdeckt wurde, und "Grey Energy" (2017) waren ebenfalls Hintertüren, die die Angreifer in Systemen versteckten, bis sie sie nutzen wollten.

Auch Microsoft hatte die Schadsoftware schon auf dem Schirm. Beim US-Softwarekonzern wird die Schadsoftware unter dem Namen "KnuckleTouch" geführt, war aber noch nicht Sandworm zugeordnet worden. With Secure zufolge tarnt sich die Schadsoftware als Erweiterung (Add-in) für die Microsoft-Textverarbeitung Word. Die Hintertür werde nicht massenhaft verbreitet, sondern sehr zielgerichtet. "Bei der Kapeka-Backdoor (...) handelt es sich vermutlich um ein maßgeschneidertes Tool, das bei Angriffen mit begrenztem Umfang eingesetzt wird", sagte Mohammad Kazem Hassan Nejad, Sicherheitsforscher bei With Secure Intelligence.

Rüdiger Trost, Sicherheitsexperte bei With Secure, wertete die Entdeckung als großen Schlag gegen Russland: "Mit der Aufdeckung fehlt dem russischen Geheimdienst nun eine wichtige Hintertür, denn die jetzt eingerichteten Schlupflöcher werden nun in kurzer Zeit gefunden und geschlossen", so Trost. Russland verliere damit an Schlagkraft im Cyberkrieg, der den konventionellen Krieg Russlands gegen die Ukraine begleite.