ESET odhalil malware LightNeuron, útočníkům umožnil plně ovládat e-mailovou komunikaci oběti

Jedná se o první známý malware, které využívá mechanismy Microsoft Exchange Transport Agent. Za malwarem stojí patrně kyberzločinecká skupina Turla, která s jeho pomocí cílí na vládní a diplomatické organizace.

Praha 7. května 2019 – Výzkumný tým společnosti ESET odhalil malware zaměřený na Microsoft Exchange, který umí číst, měnit, blokovat nebo dokonce napsat e-maily a odeslat je pod identitou legitimní osoby z postižené firmy. Hrozbu ESET detekuje jako LightNeuron. Útočníci ovládají malware na dálku pomocí steganografických PDF a JPG příloh.

LigthtNeuron se zaměřuje na mailové servery Microsoft Exchange přinejmenším od roku 2014. Výzkumníci v ESET dokázali identifikovat tři různé skupiny obětí, byly mezi nimi ministerstva zahraničních věcí zemí východní Evropy a místní diplomatické organizace na Blízkém východě.

Výzkumníci společnosti ESET shromáždili důkazy, které s vysokou mírou důvěry naznačují, že LightNeuron patří do arzenálu nechvalně známé špionážní skupiny Turla (známé také jako Snake). Skupinu a její aktivity už ESET rozsáhle popsal v předešlých výzkumech.

„V rámci architektury mailového serveru operuje LightNeuron na stejné úrovni důvěry jako bezpečnostní produkty, třeba spamové filtry. V důsledku tak malware dává útočníkovi úplnou kontrolu nad mailovým serverem, a tím i nad veškerou e-mailovou komunikací,“ vysvětluje Matthieu Faou, výzkumník společnosti ESET, který výzkum vedl.

Malware využívá steganografické postupy, aby příchozí e-maily, které obsahují ovládací a kontrolní příkazy, tzv. C&C, nevyvolaly podezření. Povely jsou zakódované v jinak běžných PDF dokumentech a obrázcích ve formátu JPG.

Schopnost kontrolovat e-mailovou komunikaci dělá z LightNeuron perfektní nástroj pro nenápadnou filtraci dokumentů, a ovládání dalších zařízení pomocí C&C mechanismů, které je velmi těžké odhalit a zablokovat.

„Vzhledem k vývoji úrovně bezpečnosti mají rootkity, základní kámen špionáže, často poměrně krátkou životnost. Přitom útočníci potřebují zajistit trvanlivost škodlivého kódu v systému, aby mohl získávat cenné dokumenty a to bez jakéhokoliv podezření. Turla našla řešení a tím je právě malware LightNeuron,“ dodává Faou.

Výzkumný tým ESET varuje, že odstranit LightNeuron je poměrně komplikované a pouhé odstranění škodlivých souborů nestačí, protože by to poškodilo mailový server.

Detailní analýza, včetně seznamu příznaků nákazy, se nachází v dokumentu: https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.