„LightNeuron“ atakuoja „Microsoft Exchange“ pašto serverius nuo 2014 metų. ESET tyrėjai nustatė kelias didesnes organizacijas, nukentėjusias nuo šio galinio kenkėjo – tarp jų yra užsienio reikalų ministerija vienoje Rytų Europos šalių ir vietinė diplomatinė organizacija Artimuosiuose Rytuose.
Tyrėjai surinko pakankamus įrodymus, leidžiančius teigti, kad „LightNeuron“ priklauso vienai šnipinėjimo grupuočių „Turla“, dar žinomai pavadinimu „Snake“. Šių programišių veikla nuolat atsiduria ESET tyrimų akiratyje.
Pasak ESET tyrėjų, „LightNeuron“ yra pirmas žinomas kenkėjas, išnaudojantis „Microsoft Exchange Transport Agent“ mechanizmą. „Pašto serverio architektūroje, „LightNeuron“ gali veikti tame pačiame lygyje, kaip ir patikimi saugumo produktai, brukalo filtrai. Dėl šios priežasties kenkėjas suteikia programišiams galimybę visiškai valdyti pašto serverį ir visą komunikaciją el. paštu“, – tvirtina ESET tyrėjas Matthieu Faou.
Steganografija leidžia paslėpti kenkėjui skirtas komandas visiškai nekenksminguose PDF ar JPG failuose, prisegtuose prie el. laiškų, tad „LightNeuron“ valdymo laiškai nekelia jokių įtarimų. Dėl galimybės valdyti el. pašto ryšį, šis kenkėjas tampa itin kenksmingu šnipinėjimo įrankiu, naudojant šią sistemą galima ištraukti norimus dokumentus, taip pat valdyti vietines mašinas. Visa tai sunku nustatyti ir užblokuoti.
„Dėl nuolatinių operacinių sistemų saugumo patobulinimų, tokie šnipinėjimui naudojami kenkėjai gana greitai dingsta iš nusikaltėlių arsenalo. Tačiau akivaizdu, kad programišiai siekia tokių įrankių, kurie galėtų ilgiau gyvuoti atakuojamose sistemose, leistų medžioti ir ištraukti vertingus dokumentus nesukeliant įtarimo. Pasirodė, kad „LightNeuron“ yra tarsi „Turla“ įrankis“, – komentuoja M.Faou.
ESET saugumo ekspertai įspėja, kad „LightNeuron“ pašalinimas iš užkrėsto tinklo nėra lengva užduotis: kenksmingų failų ištrynimas nepadeda, tai tik sugadina pašto serverį. Prieš imantis tinklo valymo darbų, sistemų administratoriams ir IT specialistams rekomenduojama susipažinti su detaliu ESET tyrimu.
Detali „LightNeuron“ analizė „Turla LightNeuron: One Email Away from Remote Code Execution“.