נוזקה חדשה תוקפת שרתי דואר של מיקרוסופט באמצעות תמונות

מחקר חדש של חברת אבטחת המידע ESET חשף את נוזקת LightNeuron, דלת אחורית לשרת Microsoft Exchange שיכולה לקרוא כל הודעת דוא"ל שעוברת דרך השרת, לשנות או לחסום אותה, ואף ליצור הודעות חדשות ולשלוח אותן מכתובת הדוא"ל של כל אחד מהמשתמשים הלגיטימיים באותו הארגון, על פי בחירת התוקף. הנוזקה נשלטת מרחוק דרך הודעות דוא"ל ובאמצעות קבצים מצורפים מסוג PDF ו-JPG. "אנו מאמינים שחשוב להכיר את האיום הזה למומחי אבטחת מידע", אומר מתיו פאו, חוקר אבטחה מחברת ESET שערך את המחקר.

נוזקת LightNeuron החלה לתקוף שרתי דוא"ל של Microsoft Exchange לפחות משנת 2014. חוקרי ESET זיהו שלושה ארגונים שונים שהותקפו ע"י הנוזקה, ביניהם משרד חוץ של מדינה מזרח אירופאית וארגון דיפלומטי איזורי במזרח התיכון. חוקרי ESET אספו עדויות המראות כי נוזקת LightNeuron היא חלק מארסנל הכלים של קבוצת Turla הידועה לשמצה, המוכרת גם בשם "Snake".

נוזקת LightNeuron היא הנוזקה המוכרת הראשונה שמנצלת את מנגנון Microsoft Exchange Transport Agent. "בשרת דוא"ל מבוסס Exchange, LightNeuron יכולה לפעול ברמה זהה לזו של מוצרי אבטחה כמו מוצרי אנטי ספאם. כתוצאה מכך, הנוזקה מאפשרת לתוקף שליטה מלאה על שרת הדוא"ל, כלומר על כל תקשורת הדוא"ל של הארגון", מסביר פאו.

על מנת להסוות את הודעות הדוא"ל משרת השליטה והבקרה כהודעות לגיטימיות, נוזקת LightNeuron משתמשת בסטנוגרפיה כדי להסתיר את פקודותיה בתוך מסמכי PDF או תמונות JPG תקניים. היכולת לשלוט על תקשורת הדוא"ל הופכת את LightNeuron לכלי הדלפת מסמכים, וכמו כן לשליטה מרחוק על מחשבים ברשת באמצעות מנגנון שליטה ובקרה שהזיהוי והחסימה שלו הם קשים מאוד.

"בשל שיפורים באמצעי האבטחה של מערכות הפעלה, נוזקות מסוג Kernel Rootkit, שפעם היו חוד החנית של נוזקות הריגול, החלו להיעלם מהארסנל של תוקפי סייבר שונים. עם זאת, הצורך של התוקפים בכלים שיכולים לחיות ללא הפרעה במחשב המטרה, לצוד אחר מסמכים חשובים ולהעביר אותם באופן חשאי, כל זאת מבלי לעורר חשד, עדיין קיים. נוזקת LightNeuron היא הפתרון של קבוצת Turla לבעיה הזו", מסכם פאו.

חוקרי חברת ESET מתריעים שהסרת נוזקת LightNeuron מהרשת היא לא משימה קלה. מחיקת הקבצים הזדוניים לא תועיל, משום שהיא תגרום להפסקת תעבורת המיילים בשרת ה Exchange.

לקריאת המחקר המלא

אולי יעניין אותך גם