6005223

Schadsoftware „Kapeka“: Hintertür für Russland

Finnische Si­cher­heits­for­sche­r*in­nen haben eine gefährliche Hintertür für Windows-Systeme gefunden. Die Schadsoftware tarnt sich als Add-In.

Farbige Tastatur eines Computers.

Windows-Programme waren von russischen Cyberangriffen betroffen Foto: imago

HELSINKI dpa | Das Sicherheitsunternehmen WithSecure hat eine bislang unbekannte Schadsoftware entdeckt, die eine virtuelle Hintertür in bestimmte Windows-Systeme einbaut und für Cyberangriffe verwundbar macht. Die Schadsoftware mit dem Codenamen „Kapeka“ könne mit der russischen Bedrohungsgruppe „Sandworm“ in Verbindung gebracht werden, die von der Hauptdirektion des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben werde, erklärte das finnische Unternehmen. „Sandworm“ sei vor allem für seine zerstörerischen Angriffe gegen die Ukraine berüchtigt.

Die Erkenntnisse von WithSecure wurden von Microsoft bestätigt. Beim US-Software-Konzern wird die Schadsoftware unter dem Namen „KnuckleTouch“ geführt. Rüdiger Trost, Sicherheitsexperte bei WithSecure, wertete die Entdeckung als „großen Schlag gegen Russland, das diese Hintertür in der Ukraine und in Osteuropa eingesetzt hat.“

„Mit der Aufdeckung fehlt dem russischen Geheimdienst nun eine wichtige Hintertür, denn die jetzt eingerichteten Schlupflöcher werden nun in kurzer Zeit gefunden und geschlossen.“ Russland verliere damit an Schlagkraft im Cyberkrieg, der den konventionellen Russland-Ukraine-Krieg begleite, sagte Trost.

Nach weiteren Angaben von WithSecure tarnt sich die Schadsoftware als Erweiterung („Add-in“) für die Microsoft-Textverarbeitung Word. Die Hintertür werde nicht massenhaft verbreitet, sondern sehr zielgerichtet. „Bei der Kapeka-Backdoor (…) handelt es sich vermutlich um ein maßgeschneidertes Tool, das bei Angriffen mit begrenztem Umfang eingesetzt wird“, sagte Mohammad Kazem Hassan Nejad, Sicherheitsforscher bei WithSecure Intelligence. Das Angriffswerkzeug sei seit Mitte 2022 in Osteuropa verwendet worden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Spenden für die Ukraine

Wir alle wollen angesichts dessen, was mit der Ukraine derzeit geschieht, nicht tatenlos zusehen. Doch wie soll mensch von Deutschland aus helfen? Unsere Ukraine-Soli-Liste bietet Ihnen einige Ansätze fürs eigene Aktivwerden.

▶ Die Liste finden Sie unter taz.de/ukrainesoli

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • metalhead86

    Wieso wird denn bei lohnenden Zielen Software eingesetzt, die Code nachladen darf?

    Oder überhaupt Software, zu der man keinen Quellcode hat und vermutlich auch nichtmal ein Binary?

  • Pfanni

    Es mag schon sein, dass die Enttarnung der genannten Software eine Niederlage für den russischen Geheimdienst ist. Aber, glaube doch niemand, dass für den Fall der Enttarnung nicht Schadsoftware mit ähnlicher Aufgabe, aber anderem Aufbau bereitsteht, die auch erstmal enttarnt werden müsste. Man kann nur hoffen, dass die Softwarekonzerne im Interesse ihrer Kunden stets den „Sandwürmern“ auf der Spur sind!

    Ich selbst behelfe mich mit einem zweiten Computer, auf dem meine „ganz privaten“ Daten liegen und den ich nicht an das Internet angeschlossen habe. Falls Datenaustausch wirklich erforderlich ist, bevorzuge ich das reine Textformat (*.txt). Dass ich die Daten ggf. vor und nach der Übertragung konvertieren muss, nehme ich in Kauf.

    • Tanz in den Mai

      @Pfanni Falls der Computer mit dem lokalen Netz verbunden ist, bringt das aber wenig, und auch so klingt das sehr umständlich, was sich leider selten mit Sicherheit verträgt. Die ja auch nicht nur ne Frage regelrechter Angriffe ist. Besser für was wirklich Wichtig ist oder Vertraulich sind verteilte (redundante) Backups, natürlich verschlüsselt. Und Cloudspeicher eines seriösen Anbieters ist heute garantiert sicherer als so ziemlich jedes Gerät oder Schema, das privat zu realisieren ist. Und tausendmal günstiger.

      Bisschen merkwürdig, dass dieser vergleichsweise altbackene Versuch ausserhalb der Fachpresse Gehör findet. Nur weil es Windows betrifft? Gerade vor ein paar Wochen gab es eine schwerwiegende Entdeckung (in dem Fall durch Microsoft) einer aufwendig, in jahrelanger, verdeckter Arbeit angebrachten Backdoor in einer freien Komprimierungssoftware, lzma, die nahezu überall Einsatz findet, aber insb. Linux-Systeme und daher auch Server betrifft. Diese der Erfahrung nach bisher weniger Ziel nichtwestlicher Nachrichtendienste, auch weil im Westen vor allem (eben) Windows und Macs verbreitet sind, die Tatsache dass es sich zumal um eine asymmetrische Backdoor handelt, lässt manche eher an die NSA denken und Freunde. Auch wenn das natürlich hochspekulativ ist. Nur das hier, ohne irgendwas zu verharmlosen, erscheint da in der Tat vergleichsweise plump. Und wenn das immer noch State of the Art der Russen sein soll, hilft das den Spekulationen zum Angriff auf xz-utils nicht grad ab. Das is ne andere Liga, auch was die theoretisch möglich gewesenen Folgen angeht. Und nicht nur in Europa sondern auch in Ländern wie China und Russland werden aus naheliegenden Gründen immer mehr Windows-Rechner insb. bei Behörden u. staatlichen Einrichtungen durch Linuxsysteme ersetzt. Wem hier wohl die Backdoors ausgehen.