Bezpečnostní experti objevili backdoor LightNeuron používaný útočníky na poštovních serverech běžících na Microsoft Exchange. Dle zprávy ESETu se jedná o jeden z nejkomplexnějších škodlivých softwarů, jaký byl kdy na e-mailovém serveru odhalen.
LightNeuron běží pod systémovým účtem a chová se jako jako takzvaný „Message transfer agent“ (MTA), sloužící k přenosu zpráv elektronické pošty z jednoho počítače do druhého pomocí protokolu SMTP. Funguje jako špionážní software a backdoor. Dle Matthieua Faoua z ESETu se jedná o vůbec první malware, zaměřující se na Microsoft Exchange.
Microsoft Exchange umožňuje rozšířit své funkce pomocí „transportních agentů“, kteří mohou zpracovávat a upravovat všechny e-mailové zprávy procházející poštovním serverem. Tyto aplikace mohou být vytvořeny Microsoftem, třetí stranou nebo vlastními silami v rámci organizace. Mají mnoho legitimních účelů, jako je filtrování spamu, odstraňování škodlivých e-mailů a příloh či automatické přidávání firemního podpisu na konec každé zprávy.
Nebezpečná skupina Turla
Za škodlivým kódem stojí nechvalně proslulá skupina Turla (známá také jako Snake), jejíž dřívější aktivity připomínají to, nač jsou zvyklí diváci hollywoodských filmů. Povedlo se jí například unést a zneužít telekomunikační satelit k distribuci malwaru do vzdálených oblastí zeměkoule.
Z dalších kousků jmenujme škodlivou aplikaci, jejíž řídící mechanismus byl skryt v komentářích pod instagramovými fotkami zpěvačky Britney Spears. Při jiném úspěšném útoku upravili členové Turla síťovou infrastrukturu poskytovatele internetového připojení tak, aby směrovala zákazníky na škodlivé stránky.
Do portfolia patří také služebně starší malware Neuron, známý také pod označením DarkNeuron, který taktéž cílil na poštovní servery, avšak nezaměřoval se výslovně na Microsoft Exchange. ESET ve své zprávě Turlu popisuje jako jednu z nejstarších aktivních kyberšpionážních skupin s více než desetiletou praxí.
Na rozdíl od jiných hackerských skupin se Turla při výběru řídí vlastními zásadami. Má zájem především o shromažďování informací od strategických lidí nebo organizací jako jsou ministerstva zahraničních věcí, velvyslanectví, konzuláty, vojenské organizace či regionální politické organizace. Malé „plus“ získává alespoň za to, že dle dostupných informací nikdy neprovedla kybersabotážní operace.
LightNeuron otevírá vrátka už pět let
Turla používá technologii LightNeuron od roku 2014, tedy bezmála pět let. Vývoj přitom započal patrně ještě o něco dříve. Tento fakt ukazuje pokročilé schopnosti nástroje, díky kterým se tak dlouhou dobu dokázal vyhýbat detekci.
Hlavní potenciál LightNeuronu spočívá v tom, že se dokáže dostat přímo do procesu zpracování pošty. Vzhledem k úrovni, na které pracuje, dovoluje hackerům získat plnou kontrolu nad vším, co prochází infikovaným e-mailovým serverem. Mimo jiné má například schopnost zachytit, přesměrovat nebo upravit obsah příchozích nebo odchozích zpráv.
Nutno podotknout, že první zmínka o LightNeuronu se objevila už ve zprávě ruské bezpečnostní firmy Kaspersky Lab, zabývající se hrozbami ve druhém pololetí roku 2018. Škodlivý nástroj je však zmíněn jen velmi stručně a až aktuální informace od ESETu osvětlují funkce, díky nimž je jeho technologie jedinečná.
Na celé situaci je nejvážnější, že LightNeuron je v současnosti aktivně používán k útokům na poštovní servery. Zdá se, že Turla vytvořila také UNIXový port, který však odborníci zatím nedokázali odhalit. Obětmi backdooru jsou tři organizace, jejichž názvy nebyly zveřejněny. Má se jednat o blíže neupřesněnou instituci v Brazílii, ministerstvo zahraničních věcí ve východní Evropě a regionální diplomatickou organizaci na Blízkém východě.
Chytré dálkové ovládání
LightNeuron vyniká dle odborníků nejen tím, že se specializuje na servery Exchange, používané často ve velkých korporacích a státních firmách, ale i způsobem vskutku unikátního vzdáleného ovládání malwaru ze strany útočníků.
Jakmile je server Microsoft Exchange infikován a upraven pomocí backdooru LightNeuron, hackeři se k němu nikdy nepřipojují přímo, protože by při takových akcích mohli být detekováni. Místo toho posílají e-maily s přílohami ve formátech PDF nebo JPG.
Využívají přitom steganografických technik, kdy jsou v souboru ukryta další data – v tomto případě příkazy pro škodlivou aplikaci. Ta dokáže skrytý obsah detekovat, dešifrovat a následně všechny požadavky útočníků splnit dle zadání.
Vzhledem k tomu, že v architektuře Microsoft Exchange je malware nainstalován na serveru na stejné úrovni jako anti-spam a další řešení zabezpečení e-mailu, je jeho detekce a odstranění velmi obtížné.
Může s poštou dělat prakticky cokoli
LightNeuron je schopen číst a upravovat jakoukoli zprávu, procházející Exchange Serverem kterýmkoli směrem. Kromě toho může také vytvářet a odesílat nové e-maily, ale i blokovat doručení vybraných odesílaných i přijatých zpráv příjemci. Útočníci tak v podstatě mají kompletní kontrolu nad veškerou e-mailovou korespondencí firmy nebo instituce.
Postižené organizace mohou jen těžko detekovat jakoukoli interakci mezi útočníky a jejich backdoorem. Důvod je prostý: řídící příkazy jsou skryté uvnitř kódu PDF či JPG a příchozí e-maily mohou být maskované jako banální spam.
LightNeuron kromě toho obsahuje nástroje, přes které lze ovládat ostatní stroje v lokální síti. Patří mezi ně software pro vzdálenou správu, malware na bázi protokolu RPC nebo webové shelly .NET cílené na aplikaci Outlook Web Access. S využitím těchto metod jsou útočníci schopni ovládat ostatní počítače v lokální síti pomocí e-mailů odeslaných na Exchange Server.
Odborníci také vysvětlili, jak došli k závěru, že za škodlivou aplikací stojí právě ruští hackeři. Kromě toho, že příkazy pro backdoor byly odesílány jen v pracovní dny v době od 9 do 17 hodin moskevského času, to potvrdila i přestávka v období mezi 28. prosincem a 14. lednem, kdy se v Rusku slaví vánoční a novoroční svátky.
Odstranění malwaru není hračka
Odstranění škodlivé aplikace LightNeuron není úplně jednoduché. Pokud dojde k prostému smazání souborů nezbytných k jeho běhu, přestane být Exchange Server schopen odesílat a přijímat poštu. ESET v tomto bodě upozorňuje ostatní antivirové firmy, aby při detekci soubory neodstraňovaly – bez řádné „čistící rutiny“ by byl výsledkem nefunkční poštovní server.
Jako první je doporučeno zkontrolovat podpisy všech dynamických knihoven uvedených v \TransportRoles\Agents\agents.config a zaměřit se na ty, jež nejsou podepsány důvěryhodným vydavatelem. Následně je nutné na serveru spustit následující příkazy PowerShellu s právy správce:
- Disable-TransportAgent -Identity <jméno_nepodepsaného_agenta>
- Uninstall-TransportAgent -Identity <jméno_nepodepsaného_agenta>
Tím dojde k deaktivaci agentů. Teprve poté je možné všechny soubory odstranit z disku počítače bez narušení funkce poštovního serveru. Pokud neplánujete přeinstalaci, pak je posledním důležitým krokem změna hesel všech účtů, které mají na ohroženém systému práva správce. V opačném případě by útočníci měli přístup k opětovné kompromitaci stroje.
