Découverte d'un logiciel malveillant contrôlé depuis la Russie

La société de sécurité WithSecure a découvert un malware jusqu'alors inconnu qui installe une porte dérobée virtuelle dans certains systèmes Windows et les rend vulnérables aux cyberattaques. Le programme malveillant, nommé « Kapeka », pourrait être lié au groupe menaçant russe « Sandworm », géré par la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GRU), a indiqué la société finlandaise. « Sandworm » est particulièrement connu pour ses attaques destructrices contre l’Ukraine.

Gros revers pour la Russie

Les conclusions de WithSecure ont été confirmées par Microsoft. L'éditeur de logiciels américain exécute le malware sous le nom de « KnuckleTouch ». Rüdiger Trost, expert en sécurité chez WithSecure, considère cette découverte comme « un coup dur porté à la Russie, qui a utilisé cette porte dérobée en Ukraine et en Europe de l'Est ». « Avec cette révélation, les services secrets russes manquent désormais une porte dérobée importante, car les failles qui ont été créées seront désormais découvertes et comblées dans un court laps de temps. » La Russie perd ainsi son efficacité dans la cyberguerre qui accompagne la guerre conventionnelle entre la Russie et l'Ukraine, a déclaré Trost.

La Russie a utilisé la porte dérobée de manière très délibérée

Selon des informations complémentaires de WithSecure, le malware se déguise en extension (« complément ») pour le traitement de texte Microsoft Word. La porte dérobée n’est pas distribuée à grande échelle, mais plutôt de manière très ciblée. « La porte dérobée Kapeka (…) est probablement un outil sur mesure utilisé dans des attaques à échelle limitée », a déclaré Mohammad Kazem Hassan Nejad, chercheur en sécurité chez WithSecure Intelligence. L’outil d’attaque est utilisé en Europe de l’Est depuis mi-2022. (Avec du matériel de dpa.)