Russlands Geheimdienste haben ein neues Werkzeug entwickelt. Es trägt den Namen Kapeka, was auf Russisch „kleiner Storch“ bedeutet – eine Untertreibung. Erstmals tauchte die ausgeklügelte Schadsoftware im Herbst 2022 auf. Damals entdeckte man sie in den Systemen einer estnischen Logistikfirma. Zunächst als routinemäßige Bedrohung eingestuft, zeigte sich ihre wahre Bedeutung, als sie ein Jahr später im Zusammenhang mit anderen Vorfällen im Bereich der russischen Cyberoperationen wieder auftauchte.
„Wenige gezielte Angriffe“: Russland setzt Cyberwaffen vorsichtiger ein
Mitarbeitende des IT-Sicherheitsunternehmens WithSecure untersuchten die verdächtige Datei, nachdem eine europäische Regierungsbehörde ähnliche Schadsoftware bei einem anderen Opfer entdeckt hatte. Der Sicherheitsforscher Mohammad Kazem Hassan Nejad stellte fest, dass die Datei Ähnlichkeiten mit Cyberwaffen aufwies, die zuvor im Rahmen russischer Angriffe verwendet wurden. Diese Verbindung legte eine Assoziation mit Sandworm nahe.
Sandworm ist eine berüchtigte russische Hackergruppe, die unter der Glawnoje Raswedywatelnoje Uprawlenije (GRU) operiert, dem leitenden Zentralorgan des russischen Militärnachrichtendienstes. Die Gruppe ist seit etwa 2009 aktiv und bekannt für ihre komplexen Cyberangriffe gegen eine Vielzahl von Zielen, darunter Energieinfrastrukturen, Regierungsorganisationen und private Unternehmen. Sandworm wurde insbesondere für den Einsatz von zerstörerischer Malware bekannt, wie zum Beispiel bei Angriffen auf das ukrainische Stromnetz 2015 und 2016, die zu weitreichenden Stromausfällen führten. Die Gruppe nutzt eine Reihe von Techniken, darunter Phishing, Exploits von Software-Schwachstellen und das Einpflanzen von Malware, um Daten zu stehlen oder Systeme zu sabotieren.
Während sich staatliche russische Hackerinnen und Hacker derzeit vor allem auf die Ukraine konzentrieren, sind auch Unternehmen und Regierungen im Rest der Welt nicht vor ihnen sicher. Cyberwaffen wie NotPetya und Kapeka zeigen das in aller Deutlichkeit. Allerdings setze Russland diese mittlerweile vorsichtiger ein. Es gebe „oft nur wenige, sehr gezielte Angriffe“, bestätigte Hassan Nejad gegenüber ZEIT Online.
Kapeka ist darauf ausgelegt, unauffällig und effizient zu sein, mit Fähigkeiten, seine Spuren zu verwischen. Das wiederum erschwert die Bemühungen, die Schadsoftware zurückzuverfolgen und zu analysieren. Es funktioniert als Hintertür in Systemen, erhält dauerhaften Zugang, während es seine eigene Anwesenheit verbirgt. Das ermöglicht es, Spionage durchzuführen und potenziell zusätzliche Fähigkeiten für Sabotage oder weiteren Datendiebstahl zu laden.
„NATO-Länder haben kein Konzept, russischen Kurs zu stoppen“
„Als die Datei 2022 bei der Firma in Estland entdeckt wurde, handelte es sich nicht mehr um einen aktiven Angriff“, so Hassan Nejad. Das Team von WithSecure gehe davon aus, „dass es sich bei unserer Entdeckung um ein frühes Stadium handelte, in dem die Angreifer ihre Opfer ausspionieren und entscheiden, ob es das ist, wonach sie suchen“.
Die Entdeckung von Kapeka hebt die andauernden verdeckten Cyberoperationen des russischen Geheimdienstes hervor und deutet auf eine strategische Verschiebung hin zu verstärkt verdeckten Aktivitäten. Trotz der scheinbaren Reduktion offensichtlicher großangelegter Cyberangriffe seit Beginn der militärischen Aktivitäten Russlands in der Ukraine, deutet der Einsatz solcher Werkzeuge auf anhaltende Cyber-Spionage und Vorbereitungen für mögliche zukünftige Konflikte hin.
„Russland befindet sich auf einem sicheren Expansionskurs“, bestätigte so etwa bereits der Putin-Freund und Politikwissenschaftler Aleksandr Sytin im russischen Staatsfernsehen. „Übrigens nicht nur in der Ukraine. Die NATO-Länder, die europäischen Länder wollen diesen Expansionskurs irgendwie stoppen. Sie haben aber kein Konzept, wie sie das bewerkstelligen sollen.“
Quelle: ZEIT Online
Von Philipp Rall