ESET odhalil malware, který útočníkům umožnil ovládat e-mailovou komunikaci oběti

Za malwarem stojí patrně kyberzločinecká skupina Turla, která s jeho pomocí cílí na vládní a diplomatické organizace.

LigthtNeuron se zaměřuje na mailové servery Microsoft Exchange přinejmenším od roku 2014. Výzkumníci ESETu dokázali identifikovat tři různé skupiny obětí, byly mezi nimi ministerstva zahraničních věcí zemí východní Evropy a místní diplomatické organizace na Blízkém východě.

Výzkumníci shromáždili důkazy, které s vysokou mírou důvěry naznačují, že LightNeuron patří do arzenálu nechvalně známé špionážní skupiny Turla (známé také jako Snake). Skupinu a její aktivity už ESET rozsáhle popsal v předešlých výzkumech.

„V architektuře mailového serveru operuje LightNeuron na stejné úrovni důvěry jako bezpečnostní produkty, třeba spamové filtry. V důsledku tak malware dává útočníkovi úplnou kontrolu nad mailovým serverem, a tím i nad veškerou e-mailovou komunikací,“ vysvětlil Matthieu Faou, výzkumník společnosti ESET, který výzkum vedl.

Malware využívá steganografické postupy, aby příchozí e-maily, které obsahují ovládací a kontrolní příkazy, tzv. C&C, nevyvolaly podezření. Povely jsou zakódované v jinak běžných PDF dokumentech a obrázcích ve formátu JPG.

Schopnost kontrolovat e-mailovou komunikaci dělá z LightNeuron perfektní nástroj pro nenápadnou filtraci dokumentů, a ovládání dalších zařízení pomocí C&C mechanismů, které je velmi těžké odhalit a zablokovat.

„Vzhledem k vývoji úrovně bezpečnosti mají rootkity, základní kámen špionáže, často poměrně krátkou životnost. Přitom útočníci potřebují zajistit trvanlivost škodlivého kódu v systému, aby mohl získávat cenné dokumenty a to bez jakéhokoliv podezření. Turla našla řešení a tím je právě malware LightNeuron,“ dodal Faou.

Výzkumný tým ESET varuje, že odstranit LightNeuron je poměrně komplikované a pouhé odstranění škodlivých souborů nestačí, protože by to poškodilo mailový server.