Dabar populiaru
Publikuota: 2019 gegužės 8d. 12:40

Išnagrinėtas skaitmeninis kenkėjas, perimantis organizacijų el. pašto valdymą

Dirbtinis intelektas
123rf nuotr. / Dirbtinis intelektas

ESET saugumo tyrėjai detaliai išnagrinėjo „Microsoft Exchange“ galinių durų kenkėją „LightNeuron“, kuris gali skaityti, modifikuoti ar blokuoti bet kurį el. laišką, keliaujantį per pašto serverį, taip pat kurti naujus laiškus ir siųsti juos iš aukos pašto dėžutės. Šis kenkėjas yra valdomas nuotoliniu būdu el. laiškais, pasitelkiant steganografinius PDF ir JPG priedus, rašoma pranešime spaudai.

„LightNeuron“ atakuoja „Microsoft Exchange“ pašto serverius nuo 2014 metų. ESET tyrėjai nustatė kelias didesnes organizacijas, nukentėjusias nuo šio galinio kenkėjo – tarp jų yra užsienio reikalų ministerija vienoje Rytų Europos šalių ir vietinė diplomatinė organizacija Artimuosiuose Rytuose.

Tyrėjai surinko pakankamus įrodymus, leidžiančius teigti, kad „LightNeuron“ priklauso vienai šnipinėjimo grupuočių „Turla“, dar žinomai pavadinimu „Snake“. Šių programišių veikla nuolat atsiduria ESET tyrimų akiratyje.

Pasak ESET tyrėjų, „LightNeuron“ yra pirmas žinomas kenkėjas, išnaudojantis „Microsoft Exchange Transport Agent“ mechanizmą. „Pašto serverio architektūroje, „LightNeuron“ gali veikti tame pačiame lygyje, kaip ir patikimi saugumo produktai, brukalo filtrai. Dėl šios priežasties kenkėjas suteikia programišiams galimybę visiškai valdyti pašto serverį ir visą komunikaciją el. paštu“, – tvirtina ESET tyrėjas Matthieu Faou.

Steganografija leidžia paslėpti kenkėjui skirtas komandas visiškai nekenksminguose PDF ar JPG failuose, prisegtuose prie el. laiškų, tad „LightNeuron“ valdymo laiškai nekelia jokių įtarimų. Dėl galimybės valdyti el. pašto ryšį, šis kenkėjas tampa itin kenksmingu šnipinėjimo įrankiu, naudojant šią sistemą galima ištraukti norimus dokumentus, taip pat valdyti vietines mašinas. Visa tai sunku nustatyti ir užblokuoti.

„Dėl nuolatinių operacinių sistemų saugumo patobulinimų, tokie šnipinėjimui naudojami kenkėjai gana greitai dingsta iš nusikaltėlių arsenalo. Tačiau akivaizdu, kad programišiai siekia tokių įrankių, kurie galėtų ilgiau gyvuoti atakuojamose sistemose, leistų medžioti ir ištraukti vertingus dokumentus nesukeliant įtarimo. Pasirodė, kad „LightNeuron“ yra tarsi „Turla“ įrankis“, – komentuoja M.Faou.

ESET saugumo ekspertai įspėja, kad „LightNeuron“ pašalinimas iš užkrėsto tinklo nėra lengva užduotis: kenksmingų failų ištrynimas nepadeda, tai tik sugadina pašto serverį. Prieš imantis tinklo valymo darbų, sistemų administratoriams ir IT specialistams rekomenduojama susipažinti su detaliu ESET tyrimu.

Detali „LightNeuron“ analizė „Turla LightNeuron: One Email Away from Remote Code Execution“.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Vardai

Interviu

Praktiškai su „Norfa“

Esports namai

URBAN˙/

Parašykite atsiliepimą apie Mokslas.IT