LightNeuron je název nové havěti APT od hackerské skupiny Turla a je dokonalou ukázkou „zašívání“: na zavirovaném serveru se nachází tam, kde ho nikdo nečekal (všechno je jednou poprvé) a příkazy k vzdálenému ovládání i vynášená data maskuje do souborů ve formátu JPG a PDF. Prostě expert přes zašívárnu!
Prvenství
Podle Matthieua Faoua ze společnosti ESET se jedná o první havěť, zaměřující se na poštovní servery s Microsoft Exchange. Na tom je pozitivní snad jediná věc: tuhle havěť doma v počítači nenajdete. Cílovou skupinou nechvalně známé hackerské skupiny Turla jsou převážně státní instituce v Evropě, Asii a na Středním východě. LightNeuron pochází právě od skupiny Turla.
Na ministerstvu už Turlu znají
Turla přitom v minulosti pronikla i na Ministerstvo zahraničních věcí ČR o čemž informuje výroční zpráva BIS (strana 15). Tehdy došlo ke kompromitaci systému elektronické pošty MZV, což bylo sice začátkem roku 2017 odhaleno, ale s nepříjemným verdiktem: systém byl kompromitován minimálně po dobu jednoho roku!
Jak to funguje?
Havěť LightNeuron má kompletní kontrolu nad všemi e-maily, které o daný Microsoft Exchange server třeba jen zavadí. Dokáže bez problémů číst příchozí i odchozí zprávy včetně příloh, vstupovat do nich, měnit jejich obsah, zahazovat je, …
To je mu umožněno díky funkci Microsoft Exchange, tzv. „transportních agentů“. Aplikace transportního agenta může být vytvořena Microsoftem, třetí stranou, ale i vlastními silami. Dosud šlo přitom o funkcionalitu hojně využívanou antispamy či antiviry k filtraci nevyžádané či zavirované pošty. S příchodem LightNeuronu tuhle vymoženost využívají i útočníci ze skupiny Turla…
Špionáž se steganografií
Aby měla kompromitace poštovního serveru pro útočníky nějaký smysl, mohou tuto havěť vzdáleně ovládat (ala backdoor) a zajistit si například vynášení citlivých informací obsažených v těle zprávy či v přílohách. Forma vzdáleného „rozkazování“ přitom probíhá velice originálně a zároveň nenápadně. Příkazy jsou totiž umístěny v příloze běžných e-mailů, které odesílají útočníci přímo na zavirovaný server! U příloh typu JPG či PDF je přitom využita digitální steganografie. Útočníci tak do JPG/PDF souboru umístí navíc data (příkazy), přičemž zůstane jakžtakž zachována jeho původní funkčnost (více na wikipedii). Této formě pak rozumí backdoor LightNeuron sedící na poštovním serveru a díky odchytu kompletní e-mailové komunikace mu nečiní problém zprávu útočníků přivítat a příkazy provést. Podobný mechanismus používá backdoor i při vynášení dat, kdy je opět s využitím steganografie nacpe do JPG/PDF souborů a pošle zpět útočníkům e-mailem.
Pokračování příště
Protože je tohle schovávání příkazů docela zajímavé, rád bych o „zašívání“ hovořil i ve volném pokračování. Tak na shledanou příště!
Konečně pořádná havěť :-))))))))))