Un grupo Ruso de ciberespionaje ha desarrollado un ATP conocido como LightNeuron que utiliza un backdoor de los mas complejos jamás detectados en un servidor de correo electrónico Exchange. El ATP LightNeuron, fue diseñado específicamente para servidores de correo electrónico de Microsoft Exchange y funciona como un agente de transferencia de correo (MTA), este es un backdoor nunca antes visto.
"Por lo que sabemos, este es el primer malware que se dirige específicamente a Microsoft Exchange", dijo a ZDNet el investigador de malware de ESET, Matthieu Faou, por correo electrónico.
"En el pasado, Turla ATP estaba dirigido a servidores de correo electrónico que utilizaban un malware llamado Neuron (a.k.a DarkNeuron), pero no estaba diseñado específicamente para interactuar con Microsoft Exchange.
"Algunas otras APT utilizan backdoor tradicionales para monitorear la actividad de los servidores de correo. Sin embargo, LightNeuron es la primera en integrarse directamente en el flujo de trabajo de Microsoft Exchange", nos dijo Faou.
La gravedad del hallazgo
Debido a la profundidad en que funciona el backdoor, LightNeuron permite a los actores (ciberespías) tener control total sobre todo lo que pasa a través de un servidor de correo electrónico infectado, pudiendo interceptar, redirigir o editar el contenido de los correos electrónicos entrantes o salientes.
LightNeuron fue desarrollado por el grupo Turla
Esto hace de LightNeuron una de las herramientas más poderosas de su tipo, y una herramienta adecuada para estar en el arsenal de Turla, una de las unidades de hackeo de nación-estado más avanzadas del mundo.
Turla APT (amenaza persistente avanzada) es infame por operaciones pasadas que parecen sacadas de las películas de Hollywood. Se sabe que el grupo ha secuestrado y usado satélites de telecomunicaciones para enviar malware a áreas remotas del mundo, ha desarrollado un malware que ocultaba su mecanismo de control en los comentarios publicados en las fotos de Instagram de Britney Spears y ha secuestrado la infraestructura de todos los ISP para redirigir a los usuarios al malware.
En un informe publicado por ESET dice que, Turla ha estado usando LightNeuron durante casi cinco años, desde 2014, lo que nuevamente muestra las capacidades avanzadas de la herramienta, pudiendo evitar la detección durante tantos años.
Para ser justos, la primera mención de LightNeuron fue en un informe de Kaspersky Lab sobre las Tendencias APT del segundo trimestre de 2018. Sin embargo, Kaspersky solo describió la herramienta brevemente. El informe de ESET publicado en estos días arroja más luz sobre las capacidades únicas de la herramienta que lo hacen destacar de todas las demás backdoor implementadas en servidores de correo electrónico hasta ahora.
Los investigadores advierten que LightNeuron se está utilizando actualmente en ataques en vivo y que Turla también parece haber creado un puerto UNIX, que ESET no ha podido encontrarlo hasta ahora.
Las firmas de ciberseguridad de Eslovaquia dijeron que detectaron tres organizaciones víctimas infectadas con LightNeuron de Turla. La compañía no nombró a las víctimas, pero proporcionó descripciones generales:
Organización desconocida en Brasil.
Ministerio de Asuntos Exteriores en Europa del Este.
Organización diplomática regional en el Medio Oriente.
Cómo mitigar LightNeuron
Según los investigadores, lo que hizo destacar a LightNeuron, además de utilizar un backdoor para los servidores de Microsoft Exchange, fue su mecanismo de comando y control. Una vez que un servidor de Microsoft Exchange se infecta y se modifica mediante LightNeuron, los hackers nunca se conectan a él directamente. En su lugar, envían correos electrónicos con archivos PDF o JPG adjuntos.
Utilizando la técnica de la esteganografía, los actores (ciberespías) de Turla ocultan los comandos dentro de las imágenes en PDF y JPG, que el backdoor lee y luego ejecuta.
Según ESET, LightNeuron puede leer y modificar cualquier correo electrónico que pase por el servidor de Exchange, redactar y enviar nuevos correos electrónicos y evitar que un usuario reciba ciertos correos electrónicos.
Además, las organizaciones víctimas tendrán dificultades para detectar cualquier interacción entre los operadores de Turla y su backdoor, principalmente porque los comandos están ocultos dentro del código PDF / JPG y los correos electrónicos entrantes pueden ser disfrazados de spam simple.
Además, si alguien dudaba de que LightNeuron era trabajo de actores (ciberespías) rusos ahora no, los investigadores de ESET dijeron que en los casos que investigaron encontraron que los operadores de Turla solo enviaban órdenes a los servidores a través del backdoor durante un típico día laboral de 9 a 5 en la UTC + 3 (Moscú) zona horaria, y se tomó un descanso de todas las operaciones entre el 28 de diciembre de 2018 y el 14 de enero, las típicas vacaciones de Navidad y Año Nuevo para los cristianos ortodoxos orientales, la religión principal de Rusia.
Debido a que LightNeuron funciona en los niveles más profundos de un servidor Microsoft Exchange, eliminar este backdoor es bastante problemático.
ESET publicó un informe técnico con instrucciones detalladas de eliminación que puede ver en el siguiente link: https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf
Fuente: Eset, ZDNet