LightNeuron, backdoor-ul care câștigă control total asupra comunicațiilor prin e-mail în organizațiile victimă


2019-05-08

Cercetătorii ESET au descoperit LightNeuron, un backdoor Microsoft Exchange care poate citi, modifica sau bloca orice e-mail care trece prin serverul de mail și poate chiar să creeze noi e-mailuri și să le trimită sub numele oricărui utilizator legitim înregistrat în server. Malware-ul este controlat de la distanță prin e-mailuri folosind atașamente steganografice PDF și JPG.

„Credem că profesioniștii din domeniul securității IT ar trebui să ia cunoștință de această nouă amenințare", comentează Matthieu Faou, cercetătorul malware ESET care a efectuat cercetarea.

LightNeuron are drept țintă serverele de mail Microsoft Exchange, încă din 2014. Cercetătorii ESET au identificat recent trei organizații care au cazut victimă, printre care un minister al afacerilor externe dintr-o țară din Europa de Est și o organizație diplomatică din Orientul Mijlociu.

Au fost colectate dovezi care sugerează, cu un nivel înalt de încredere, că LightNeuron aparține cunoscutului grup de spionaj Turla, cunoscut și sub numele de Snake. Acest grup și activitățile sale sunt acoperite extensiv de cercetările derulate anterior de ESET.

LightNeuron este primul malware cunoscut care exploatează mecanismul Microsoft Exchange Transport Agent. „În arhitectura serverului de mail, LightNeuron poate câștiga același nivel de permisiuni ca produsele de securitate, cum ar fi filtrele de spam. Drept urmare, acest malware oferă atacatorului control total asupra serverului de mail - și, prin urmare, asupra întregii comunicări prin e-mail", explică Faou.

Pentru ca e-mailurile de comandă și control (C&C) intrate în inbox să pară inofensive, LightNeuron folosește steganografia pentru a-și ascunde comenzile în interiorul unor documente PDF sau imagini JPG valide.

Abilitatea de a controla comunicarea prin e-mail face din LightNeuron un instrument perfect pentru extragerea de documente și, de asemenea, pentru controlul altor mașini locale printr-un mecanism C&C foarte greu de detectat și blocat.

„Din cauza îmbunătățirilor de securitate aduse sistemelelor de operare, rootkit-urile de tip kernel, o piesă centrală în malware-ul de spionaj, încep să dispară de multe ori din arsenalul atacatorilor. Cu toate acestea, ei au în continuare nevoie de instrumente care să poată supraviețui în sistemul țintei vizate, cu care să poată identifica documente valoroase și cu care să le sustragă, toate acestea fără a genera suspiciuni. LightNeuron a apărut ca soluție pentru Turla", concluzionează Faou.

Cercetătorii ESET avertizează că eliminarea malware-ului LightNeuron dintr-o rețea nu este o sarcină ușoară: simpla eliminare a fișierelor rău intenționate nu este de ajuns, deoarece ar face nefuncțional serverul de e-mail.

„Îi încurajăm pe administratorii de rețea să citească integral documentul nostru de cercetare, înainte de a pune în aplicare un mecanism de curățare", sfătuiește Faou.

Analiza detaliată, inclusiv lista completă a indicatorilor de compromitere și a eșantioanelor malware, pot fi găsite în documentul de cercetare Turla LightNeuron: One Email Away from Remote Code Execution.