ESET saugumo tyrėjai detaliai išnagrinėjo „Microsoft Exchange“ galinių durų kenkėją „LightNeuron“, kuris gali skaityti, modifikuoti ar blokuoti bet kurį el. laišką, keliaujantį per pašto serverį, taip pat kurti naujus laiškus ir siųsti juos iš aukos pašto dėžutės. Šis kenkėjas yra valdomas nuotoliniu būdu el. laiškais, pasitelkiant steganografinius PDF ir JPG priedus.
Išbandykite ESET sprendimus verslui
„LightNeuron“ atakuoja „Microsoft Exchange“ pašto serverius nuo 2014 metų. ESET tyrėjai nustatė kelias didesnes organizacijas, nukentėjusias nuo šio galinio kenkėjo – tarp jų yra užsienio reikalų ministerija vienoje Rytų Europos šalių ir vietinė diplomatinė organizacija Artimuosiuose Rytuose.
Tyrėjai surinko pakankamus įrodymus, leidžiančius teigti, kad „LightNeuron“ priklauso vienai šnipinėjimo grupuočių „Turla“, dar žinomai pavadinimu „Snake“. Šių programišių veikla nuolat atsiduria ESET tyrimų akiratyje. Pasak ESET tyrėjų, „LightNeuron“ yra pirmas žinomas kenkėjas, išnaudojantis „Microsoft Exchange Transport Agent“ mechanizmą.
„Pašto serverio architektūroje „LightNeuron“ gali veikti tame pačiame lygyje, kaip ir patikimi saugumo produktai, brukalo filtrai. Dėl šios priežasties kenkėjas suteikia programišiams galimybę visiškai valdyti pašto serverį ir visą komunikaciją el. paštu“, – tvirtina ESET tyrėjas Matthieu Faou.
Steganografija leidžia paslėpti kenkėjui skirtas komandas visiškai nekenksminguose PDF ar JPG failuose, prisegtuose prie el. laiškų, tad „LightNeuron“ valdymo laiškai nekelia jokių įtarimų. Dėl galimybės valdyti el. pašto ryšį, šis kenkėjas tampa itin kenksmingu šnipinėjimo įrankiu, kurio pagalba galima ištraukti norimus dokumentus, taip pat valdyti vietines mašinas, ką yra sunku nustatyti ir užblokuoti.
„Dėl nuolatinių operacinių sistemų saugumo patobulinimų, tokie šnipinėjimui naudojami kenkėjai gana greitai dingsta iš nusikaltėlių arsenalo. Tačiau akivaizdu, kad programišiai siekia tokių įrankių, kurie galėtų ilgiau gyvuoti atakuojamose sistemose, leistų medžioti ir ištraukti vertingus dokumentus nesukeliant įtarimo.
„LightNeuron“ pasirodė būtent kaip „Turla“ įrankis“, – komentuoja M. Faou. ESET saugumo ekspertai įspėja, kad „LightNeuron“ pašalinimas iš užkrėsto tinklo nėra lengva užduotis: kenksmingų failų pašalinimas nepadeda, nes tai tiesiog sugadintų pašto serverį.
Sistemų administratoriams ir IT specialistams rekomenduojama susipažinti su detaliu ESET tyrimu prieš imantis tinklo valymo darbų. Detali „LightNeuron“ analizė „Turla LightNeuron: One Email Away from Remote Code Execution“ paskelbta GitHub ir ESET tinklaraštyje WeLiveSecurity.com: www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/