Výzkumný tým společnosti ESET odhalil malware zaměřený na Microsoft Exchange, který umí číst, měnit, blokovat nebo dokonce napsat e-maily a odeslat je pod identitou legitimní osoby z postižené firmy. Hrozbu ESET detekuje jako LightNeuron. Útočníci ovládají malware na dálku pomocí steganografických PDF a JPG příloh.
LigthtNeuron se zaměřuje na mailové servery Microsoft Exchange přinejmenším od roku 2014. Výzkumníci v ESET dokázali identifikovat tři různé skupiny obětí, byly mezi nimi ministerstva zahraničních věcí zemí východní Evropy a místní diplomatické organizace na Blízkém východě.
Výzkumníci společnosti ESET shromáždili důkazy, které s vysokou mírou důvěry naznačují, že LightNeuron patří do arzenálu nechvalně známé špionážní skupiny Turla (známé také jako Snake). Skupinu a její aktivity už ESET rozsáhle popsal v předešlých výzkumech.
„V rámci architektury mailového serveru operuje LightNeuron na stejné úrovni důvěry jako bezpečnostní produkty, třeba spamové filtry. V důsledku tak malware dává útočníkovi úplnou kontrolu nad mailovým serverem, a tím i nad veškerou e-mailovou komunikací,“ vysvětluje Matthieu Faou, výzkumník společnosti ESET, který výzkum vedl.
Malware využívá steganografické postupy, aby příchozí e-maily, které obsahují ovládací a kontrolní příkazy, tzv. C&C, nevyvolaly podezření. Povely jsou zakódované v jinak běžných PDF dokumentech a obrázcích ve formátu JPG.
Schopnost kontrolovat e-mailovou komunikaci dělá z LightNeuron perfektní nástroj pro nenápadnou filtraci dokumentů, a ovládání dalších zařízení pomocí C&C mechanismů, které je velmi těžké odhalit a zablokovat.
„Vzhledem k vývoji úrovně bezpečnosti mají rootkity, základní kámen špionáže, často poměrně krátkou životnost. Přitom útočníci potřebují zajistit trvanlivost škodlivého kódu v systému, aby mohl získávat cenné dokumenty a to bez jakéhokoliv podezření. Turla našla řešení a tím je právě malware LightNeuron,“ dodává Faou.
Výzkumný tým ESET varuje, že odstranit LightNeuron je poměrně komplikované a pouhé odstranění škodlivých souborů nestačí, protože by to poškodilo mailový server.
Detailní analýza, včetně seznamu příznaků nákazy, se nachází v dokumentu: https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/
ZDROJ: Tisková zpráva společnosti ESET