Специалисты ESET обнаружили в арсенале группы Turla новый мощный инструмент, который хакерам удавалось скрывать на протяжении пяти лет, как минимум с 2014 года.
Бэкдор, названный LightNeuron, предназначен для компрометации почтовых серверов Microsoft Exchange и функционирует как агент пересылки сообщений (mail transfer agent, MTA), что совсем нетипично для подобной малвари. Первое упоминание о LightNeuron можно обнаружить в отчете «Лаборатории Касперского», посвященном трендам второго квартала 2018 года. Однако там бэкдор описан лишь в общих чертах, а исследователи ESET опубликовали детальный разбор.
Исследователи отмечают, что по их данным, LightNeuron — это первый бэкдор, специально ориентированный на Microsoft Exchange. Ранее Turla применяла в своих операциях малварь Neuron (она же DarkNeuron), которая не имеет с LightNeuron ничего общего и не разрабатывалась с прицелом на Microsoft Exchange.
LightNeuron не просто позволяет злоумышленникам следить за происходящим на почтовом сервере, он способен интегрироваться в его работу и контролировать буквально все. Так, хакеры могут перехватывать и перенаправлять любые письма, редактировать содержимое входящих или исходящих сообщений, отправлять новые письма или блокировать получение конкретных посланий для пользователя. Все это делает LightNeuron одним из мощнейших инструментов в арсенале группировки.
Кроме того, бэкдор отличается и использованием весьма интересного C&C-механизма. Дело в том, что злоумышленники никогда не связываются с зараженными серверами Microsoft Exchange напрямую. Вместо этого они используют стеганографию и письма с вложенными файлами PDF и JPG. Внутри этих файлов хакеры скрывают команды для LightNeuron, которые малварь обнаруживает и выполняет. Такой способ коммуникации с малварью значительно усложняет ее обнаружение, ведь команды для бэкдора могут поступать вместе с обычным спамом, на который никто не обращает внимания, и который никто даже не видит, так как его отсеивают фильтры.
Сообщается, что LightNeuron используется для атак по сей день. Экспертам ESET уже удалось выявить три пострадавших от этой угрозы организации. Их названий аналитики не раскрывают, но сообщают, что это некая бразильская организация; министерство иностранных дел из Восточной Европы; а также региональная дипломатическая организация на Ближнем Востоке.