I ricercatori di ESET hanno scoperto LightNeuron, una backdoor che colpisce i server di posta Microsoft Exchange, in grado di leggere, modificare o bloccare qualsiasi email che transita sul server e addirittura scrivere nuove email ed inviarle sotto le mentite spoglie di un legittimo utente, scelto dai criminali. Il malware nasconde i suoi comandi all’interno di documenti PDF e JPG e utilizza la steganografia per presentare le email in arrivo come inoffensive.
I ricercatori hanno raccolto diverse evidenze che suggeriscono che LightNeuron appartiene con buona probabilità all’arsenale del gruppo di spionaggio Turla, conosciuto anche come Snake.
LightNeuron è il primo malware identificato che riesce a manipolare il meccanismo di trasporto del server Microsoft Exchange e può operare con lo stesso livello di affidabilità dei prodotti di sicurezza come i filtri antispam. Di conseguenza, questo malware fornisce all’aggressore il controllo totale sul server di posta e quindi su tutte le comunicazioni via email.
La capacità di controllare la comunicazione rende LightNeuron uno strumento perfetto per l’estrapolazione furtiva di documenti e anche per il controllo di altri server locali tramite un meccanismo C & C (comando e controllo= che è molto difficile da rilevare e bloccare.
LightNeuron ha colpito i server di posta Microsoft Exchange almeno dal 2014; i ricercatori hanno identificato con certezza tre organizzazioni cadute vittime del malware, tra cui un Ministero degli Affari Esteri di un paese dell’Est Europeo ed una organizzazione diplomatica dell’area Medio Orientale ma considerata la durata della campagna è verosimile che molte altre organizzazioni siano state colpite dal malware.
I ricercatori avvertono che eliminare LightNeuron non è facile: la semplice rimozione dei file dannosi non basta, in quanto il malware potrebbe danneggiare il server di posta elettronica e invitano i network administrator a leggere il documento di ricerca per intero prima di implementare un meccanismo di pulizia.