De vorsers
van ESET hebben de malware LightNeuron
ontdekt, een achterdeur in Microsoft Exchange die elke email die via de
mailserver komt kan lezen, wijzigen of blokkeren. Het kan zelfs nieuwe mails
creëren en verzenden uit naam van een gebruiker. Deze malware wordt op afstand
bestuurd door emails die gebruik maken van steganografische (onderdeel van
cryptografie) PDF- en JPG-bijlagen.
“We zijn
ervan overtuigd dat IT-beveiligingsprofessionals over deze nieuwe bedreiging
moeten geïnformeerd worden,” aldus Matthieu Faou, de specialist van ESET die dit onderzoek heeft geleid.
Al sinds
2014 heeft LightNeuron de Microsoft Exchange mail servers als doelwit. De onderzoekers
van ESET hebben drie verschillende groepen slachtoffers geïdentificeerd,
waaronder het ministerie van buitenlandse zaken van een Oost-Europees land en
een diplomatieke organisatie in het Midden Oosten.
Het
onderzoekteam van ESET heeft bewijsmateriaal verzameld dat, met een hoge
betrouwbaarheidsgraad, suggereert dat LightNeuron deel uitmaakt van het
arsenaal van de beruchte spionagegroep Turla, ook bekend als Snake. Deze groep
en zijn activiteiten worden uitgebreid gevolgd door de onderzoekers van ESET.
LightNeuron
is de eerste malware gekend voor zijn misbruik van het Microsoft Exchange
Transport Agent-mechanisme. “De architectuur van de mail server laat toe dat
LightNeuron op hetzelfde vertrouwensniveau kan werken als beveiligingsproducten
zoals spamfilters. Hierdoor krijgt de aanvaller de volledige controle over de
mailserver en dus over de complete communicatie via email,” vervolgt Faou.
Zodat de inkomende
emails voor command en control (C&C) er onschuldig zouden uitzien, maakt LightNeuron
gebruik van steganografie om zijn opdrachten te verbergen in geldige
PDF-documenten of JPG-afbeeldingen.
Dankzij de
mogelijkheid om de emailcommunicatie te besturen, is LightNeuron de perfecte
tool voor heimelijke exfiltratie van
documenten en ook om andere lokale toestellen te controleren via een C&C
mechanisme dat zeer moeilijk kan gedetecteerd en geblokkeerd worden.
“Dankzij
beveiligingsverbeteringen in besturingssystemen verdwijnen kernel rootkits, de Heilige
graal van spionage-malware, vaak snel uit het arsenaal van de aanvallers.
Nochtans hebben de aanvallers steeds nood aan tools die in het doelsysteem
kunnen leven, jagen op waardevolle documenten, deze aftappen en dit zonder
enige verdenking op te wekken. LightNeuron was dus de perfecte oplossing voor
Turla,” besluit Faou.
ESET-onderzoekers
waarschuwen dat het verwijderen van LightNeuron uit een netwerk geen
gemakkelijke taak is: de kwaadaardige bestanden gewoon wegnemen lukt niet, het
zou de mailserver breken.
“We raden
de beheerders aan om de volledige research paper te lezen voor ze een
schoonmaakmechanisme implementeren,” aldus Faou.
De
gedetailleerde analyse, met inbegrip van de complete lijst met indicatoren van
besmetting en stalen, is te vinden in de research paper Turla LightNeuron: One
Email Away from Remote Code Execution and on GitHub.