Eksperci firmy ESET odkryli prawdopodobnie pierwszy stricte dedykowany złośliwy backdoor dla serwerów MS Exchange. Jest to prawdopodobnie ulepszona wersja wirusa Turla (znanym także jako Uroboros Trojan), które atakowały serwery pocztowe, ale nigdy konkretnie jednego typu.
LightNeuron jest w zasadzie backdoorem absolutnym, tj. dającym pełną kontrolę nad przepływem korespondencji i dostępem od jej treści. Wykorzystuje przy tym MS Exchange Transport Agent. Po przejęciu kontroli nad serwerem, hakerzy nie łączą się z nim nigdy bezpośrednio. Zamiast tego wysyłają pliki PDF i JPG, wykorzystując metody steganografii – ukrywania wiadomości w obrazach graficznych. W obrazach ukryte są komendy, które uruchamiają procedury w wirusie. Komendy przychodzą tylko o określonych porach – Przejęta korespondencja może być modyfikowana lub zastępowana zupełnie nową. Na dodatek wirus jest bardzo trudny do usunięcia – usuwanie lub izolowanie zainfekowanych plików kończy się przeważnie całkowitą awarią serwera, a co gorsza – skutek ten może być wywołany przez oprogramowanie antywirusowe.
Grupa odpowiedzialna za wirusa (zwana Turla Group, Waterbug lub KRYPTON) należy do jednej z najbardziej zaawansowanych, hakerskich grup cyber-szpiegowskich, powiązanych z Rosją. Działający od 2008 roku, są odpowiedzialni za tworzenie tzw. Advanced Persistent Threat, czyli najbardziej złośliwych zaawansowanych oprogramowań jakie istnieją w sieci. Nie jest to zadanie proste, ale grupa Turla mierzy wysoko – i to dosłownie! Są bowiem w stanie przejmować i hakować satelity telekomunikacyjne, aby zdalnie dostarczać wirusy w określone rejony globu. Znani są także ze skutecznego ukrywania złośliwych mechanizmów przekierowujących w komentarzach na Instagramie. Ponadto nie dla nich problemem przejmować całe infrastruktury internetowych dostawców (i przekierowywać ruch internetowy na zainfekowane serwery C&C). Innym ciekawym atakiem było umieszczanie backdoora do macOS w paczce prawdziwego instalatora Adobe Flash, który dociągał się z Akamai – sieci podwykonawczej Adobe. Ponadto umieją wykorzystać pentestowego frameworka Metasploit do pierwszych faz wdrażania backdoorów. Innymi słowy – grupa ta dysponuje ogromną wiedzą i zasobami, często za cel biorąc instytucje rządowe. Ich ofiarami byli m. in. Departament Stanu i Dowództwo Centralne Stanów Zjednoczonych, szwedzka firma zbrojeniowa RUAG, ambasady wielu krajów – w tym Polski.
LightNeuron jest trudny do wykrycia. Oprogramowanie działa w sieci prawdopodobnie od 2014 roku, co tylko to poświadcza.
Źródła:
pancernik.it
securityaffairs.co
securelist.com
welivesecurity.com