התגלתה נוזקה חדשה המשיגה שליטה מלאה על תקשורת הדוא"ל בארגון
מאת:
מערכת Telecom News, 16.5.19, 17:58
נוזקת LightNeuron היא הנוזקה המוכרת הראשונה המנצלת את מנגנון Microsoft Exchange Transport Agent.
מחקר חדש של חברת אבטחת המידע
ESET חשף את נוזקת
LightNeuron, דלת אחורית לשרת
Microsoft Exchange, שיכולה לקרוא כל הודעת דוא"ל העוברת דרך השרת, לשנות או לחסום אותה, ואף ליצור הודעות חדשות ולשלוח אותן מכתובת הדוא"ל של כל אחד מהמשתמשים הלגיטימיים באותו הארגון, על פי בחירת התוקף. הנוזקה נשלטת מרחוק דרך הודעות דוא"ל ובאמצעות קבצים מצורפים מסוג
PDF ו-
JPG.
נוזקת
LightNeuron החלה לתקוף שרתי דוא"ל של
Microsoft Exchange לפחות מ
-2014. חוקרי החברה זיהו 3 ארגונים שונים, שהותקפו ע"י הנוזקה, ביניהם משרד חוץ של מדינה מזרח אירופאית וארגון דיפלומטי אזורי במזרח התיכון.
חוקרי החברה אספו עדויות המראות, שנוזקת
LightNeuron היא חלק מארסנל הכלים של קבוצת
Turla הידועה לשמצה, המוכרת גם בשם "
Snake".
נוזקת
LightNeuron היא הנוזקה המוכרת הראשונה המנצלת את מנגנון
Microsoft Exchange Transport Agent.
על מנת להסוות את הודעות הדוא"ל משרת השליטה והבקרה כהודעות לגיטימיות, נוזקת
LightNeuron משתמשת בסטנוגרפיה כדי להסתיר את פקודותיה בתוך מסמכי
PDF או תמונות
JPG תקניים.
היכולת לשלוט על תקשורת הדוא"ל הופכת את
LightNeuron לכלי מושלם להדלפת מסמכים, וכ"כ לשליטה מרחוק על מחשבים ברשת באמצעות מנגנון שליטה ובקרה, שהזיהוי והחסימה שלו הם קשים מאוד.
חוקרי החברה מתריעים, שהסרת נוזקת
LightNeuron מהרשת היא לא משימה קלה. מחיקת הקבצים הזדוניים לא תועיל, משום שהיא תגרום להפסקת תעבורת המיילים בשרת ה-
Exchange.
מתיו פאו, חוקר אבטחה מ
חברת ESET שערך את המחקר: "אנו מאמינים, שחשוב להכיר את האיום הזה למומחי אבטחת מידע. בשרת דוא"ל מבוסס
Exchange, LightNeuron יכולה לפעול ברמה זהה לזו של מוצרי אבטחה כמו מוצרי אנטי ספאם. כתוצאה מכך, הנוזקה מאפשרת לתוקף שליטה מלאה על שרת הדוא"ל, כלומר על כל תקשורת הדוא"ל של הארגון.
בשל שיפורים באמצעי האבטחה של מערכות הפעלה, נוזקות מסוג
Kernel Rootkit, שפעם היו חוד החנית של נוזקות הריגול, החלו להיעלם מהארסנל של תוקפי סייבר שונים. עם זאת, הצורך של התוקפים בכלים, שיכולים לחיות ללא הפרעה במחשב המטרה, לצוד אחר מסמכים חשובים ולהעביר אותם באופן חשאי, כל זאת מבלי לעורר חשד, עדיין קיים. נוזקת
LightNeuron היא הפתרון של קבוצת
Turla לבעיה הזו. אנו ממליצים למנהלי רשת לקרוא את מאמר המחקר במלואו לפני שיחלו להשתמש במנגנון ניקוי כלשהו".
הניתוח המפורט, שכולל את רשימת המזהים המלאה ודגימות נוספות, נמצא -
כאן.