ESET vient de
découvrir LightNeuron, une porte dérobée dans Microsoft Exchange qui peut lire,
modifier ou bloquer n’importe quel mail passant par le serveur. De plus, il
peut même composer de nouveaux mails et les envoyer en utilisant l’identité de
n’importe quel utilisateur légitime et cela au choix de l’attaquant. Le malware
est contrôlé à distance par le biais de mails utilisant des PDF et JPG
stéganographiques en pièces jointes.
“Nous pensons que les professionnels de la
sécurité informatique doivent être informés de cette nouvelle menace, ”
commente Matthieu Faou, le chercheur d’ESET qui a dirigé cette opération.
LightNeuron aurait ciblé les serveurs de
mails sous Microsoft Exchange depuis au moins 2014. Les chercheurs d’ESET ont
identifié trois organisations différentes, victimes de ces attaques. Parmi
celles-ci le ministère d’affaires étrangères d’un pays d’Europe de l’Est et une
organisation diplomatique au Moyen-Orient. Les chercheurs ont trouvé des
preuves qui laissent penser, avec un haut degré de probabilité, que LightNeuron
fait partie de l’arsenal du tristement célèbre groupe d’espionnage Turla,
également connu sous le nom de Snake. Ce groupe et ses activités sont largement
suivis par le département de recherche d’ESET.
LightNeuron est le premier malware connu
qui abuse du mécanisme de l’agent Microsoft Exchange Transport :
“L’architecture du serveur mail permet à LightNeuron de fonctionner avec le
même niveau de confiance que des produits de sécurité tels que des filtres pour
spam. Il en résulte que ce malware fournit à l’attaquant un contrôle complet du
serveur mail et par conséquent de toute la communication mail,” explique Faou.
Afin que les commandes et contrôles
(C&C) entrants de mails aient l’air innocent, LightNeuron utilise la
stéganographie pour cacher ces commandements dans des documents PDF ou des
images JPG crédibles.
La possibilité de contrôler la
communication par mail fait de LightNeuron l’outil parfait pour exfiltrer
secrètement des documents et contrôler d’autres machines locales grâce à un
mécanisme C&C très difficile à détecter et à bloquer.
“Grâce à des améliorations sécuritaires
dans les systèmes d’exploitation, les rootkits de noyau, le Saint-Graal du
malware d’espionnage, disparaissent souvent rapidement de la panoplie de
l’attaquant. Les besoins de l’attaquant persistent pourtant en ce qui
concerne les outils pouvant vivre dans les systèmes ciblés tout en faisant la
chasse aux documents de valeur et en les siphonnant sans éveiller la
moindre suspicion. Ainsi, LightNeuron est apparu comme la solution de Turla,”
conclut Faou.
Les chercheurs mettent en garde que
débarrasser un réseau de LightNeuron n’est pas tâche facile : enlever
simplement les fichiers criminels ne marche pas car cela reviendrait à démolir
le serveur.
“Nous encourageons les gestionnaires
de lire le document de recherche complet avant de mettre en œuvre un mécanisme
de nettoyage,” conseille Faou.
L’analyse détaillée, y compris la liste
complète d’indicateurs de compromis et d’échantillons, se trouve dans le
document de recherche ‘Turla LightNeuron: One Email Away from Remote Code
Execution and on GitHub’.