Levelezőszervereken kémkedik a LightNeuron trójai

Víruskutatók egy olyan kártékony programot vettek szemügyre, amely a Microsoft Exchange kiszolgálókat képes ostromolni, és kémlelni a levelezést.
 

A vírusírók folyamatosan keresik azokat a lehetőségeket, amik révén szokatlan módon tudják terjeszteni és rejteni a kártékony programjaikat. Erre azért törekednek, mert sokszor a szokatlan megoldásokra a védelmi technológiák, illetve a biztonsági intézkedések nem terjednek ki, így nagyobb valószínűséggel vezethetnek károkozásokhoz. Az ESET biztonsági kutatói által tüzetesen vizsgált LightNeuron trójai is ebbe a kategóriába sorolható, hiszen a Microsoft Exchange alapú kiszolgálókat olyan módon kompromittálja, amire korábban nem igazán volt példa.
 
Mint kiderült, maga a LightNeuron nem egy új vírus, mivel már 2014-ben is kimutathatók voltak az első variánsai. Ráadásul az évek során több platformra is elkészült. Az ESET által gyűjtött bizonyítékok arra utalnak, hogy linuxos környezetekben is felbukkant már, de nyilván azokban az esetekben nem az Exchange volt célkeresztben.
 
A trükk
 
A LightNeuron legújabb változata az Exchange kiszolgálókon egy Transport Agentet hoz létre. Tulajdonképpen úgy működik, mint például a spamszűrők vagy az egyéb, Exchange-kompatibilis biztonsági szoftverek. Ennél fogva akár a teljes levélforgalomhoz is hozzáférést szerezhet. Ugyanakkor a képességei nem kizárólag ebben testesülnek meg, hanem abban is, hogy a térdre kényszerített szerveren egyúttal egy hátsó kaput is létesít.  
Hasonlóan néhány korábbi ártalmas programhoz, a LightNeuron is elektronikus levelekkel vezérelhető. Pontosabban olyan e-mailekkel, amelyekben a támadók elhelyeznek egy PDF-dokumentumot vagy egy JPG formátumú képet. Amikor a háttérben lapuló károkozó a levélforgalomból ezeket kiszűri, akkor a csatolmányokban szereplő fájlokat azonnal feldolgozza, és végrehajtja az azokban szereplő utasításokat. Ezek egyebek mellett a következők lehetnek:

• fájlműveletek elvégzése
• fájlok törlése
• folyamatok létrehozása és kezelése
• a hátsó kapu meghatározott időszakra történő letiltása.

 
A fentiek mellett a támadóknak lehetőségük van e-mailek kémlelésére, levelek írására és küldésére vagy akár e-mailek blokkolására is. Vagyis a kompromittált szerveren lévő postafiókok felett átvehetik az irányítást.
 
Az ESET jelentése szerint a LightNeuron eddig célzott támadásokban kapott szerepet. Többek között kelet-európai és közel-keleti kormányzati intézmények, illetve egyes brazil szervezetek hálózataiba is bejutott.
 
A biztonsági szakértők szerint az eddigi vizsgálatok arra engednek következtetni, hogy a szerzeménynek köze lehet az orosz Turla csoporthoz. Érdekesség, hogy a károkozó elsősorban akkor aktív, amikor moszkvai időszámítás szerint munkaidő van, míg az orosz munkaszüneti napokon általában leáll a vírus.