Backdoor LightNeuron per server Exchange: Non è fantascienza.

La backdoor con una logica pazzesca!

Rapporti di esperti di test di penetrazione affermano che un gruppo di spie cyber russe ha creato una delle backdoor più avanzate che si pensava potesse attaccare da un server di posta elettronica.

La backdoor si chiama LightNeuron. E’ stata sviluppata appositamente per attaccare i server di posta elettronica di Microsoft Exchange e,  funziona come agente di trasferimento di posta (MTA), un metodo mai visto prima in una backdoor. “Probabilmente questo è il primo software dannoso progettato per mirare specificamente a Microsoft Exchange”, ha detto uno degli specialisti.

Il punto di forza di LightNeuron è il suo meccanismo di comando e controllo. Una volta che un server Microsoft Exchange è stato infettato e modificato con LightNeuron, gli hacker non si collegheranno mai direttamente ad esso, ma invieranno e-mail con allegati PDF o JPG.

LightNeuron Microsoft Exchange mail servers
LightNeuron Microsoft Exchange mail servers



Steganografia

Utilizzando la steganografia, gli hacker nascondono i comandi nelle immagini in allegato.  Questi comandi vengono successivamente letti dalla backdoor per essere infine eseguiti, questo rende estremamente complesso rilevare un tentativo di attacco da parte di Turla.

Gli esperti ricordano che LightNeuron consente agli autori della minaccia di ottenere il pieno controllo di tutte le attività del server infetto. Gli aggressori possono intercettare, reindirizzare e persino modificare la posta elettronica in entrata e in uscita sul server compromesso.

Le operazioni di spionaggio informatico perpetrate da questo gruppo, identificato come Turla, sembrano essere emerse da un racconto di fantascienza. In precedenti occasioni, questo gruppo ha dirottato satelliti per distribuire malware nascosto nei commenti di Instagram e ha persino preso il controllo dell’intera infrastruttura delle società di servizi Internet provider.

Gli specialisti dei test di penetrazione delle applicazioni web dicono che Turla ha utilizzato la backdoor LightNeuron almeno negli ultimi cinque anni, un fattore che dimostra le capacità avanzate di questo gruppo criminale di aggirare le agenzie di polizia dal 2014.

Turla

Il gruppo di hacker russo Turla (noto anche come Snake, Venomous Bear, Waterbug e Uroboros), è un prolifico gruppo di spionaggio informatico noto per aver lanciato campagne di spionaggio contro i governi occidentali. Ha “attaccato” anche ambasciate e consolati negli stati post-sovietici. Le attività di Turla sono state individuate per la prima volta nel 2014. Il gruppo è specializzato nello sviluppo di malware backdoor personalizzati per effettuare operazioni. Tuttavia, i rapporti suggeriscono anche che il gruppo di hacker potrebbe essere stato attivo da prima del 2014.

Da quando le sue notevoli attività sono state individuate in natura, a Turla sono state attribuite molteplici campagne di spionaggio informatico di alto profilo. Recentemente, il gruppo ha lanciato attacchi su nuovi bersagli utilizzando script e codice open-source nello sviluppo di malware. Il gruppo di hacker è anche noto per la distribuzione di uno dei più complessi e sofisticati rootkit chiamati Snake, che si concentra tipicamente su obiettivi legati alla NATO.

Backdoor LightNeuron 

Non è fantascienza. Per la prima volta (nota) si è utilizzato la steganografia. Una logica nel suo splendore, perversa !