LightNeuron contrôle totalement la communication par mail de l'entreprise ciblée
7 Mai 2019 – ESET vient de découvrir LightNeuron, une porte dérobée dans Microsoft Exchange qui peut lire, modifier ou bloquer n’importe quel mail passant par le serveur. D’ailleurs, il peut même composer de nouveaux mails et les envoyer en utilisant l’identité de n’importe quel utilisateur légitime et cela au choix de l’attaquant. Le malware est contrôlé à distance par le biais de mails utilisant des PDF et JPG stéganographiques en pièces jointes.
“Nous pensons que les professionnels de la sécurité informatique doivent être informés de cette nouvelle menace,” commente Matthieu Faou, le chercheur d’ESET qui a dirigé cette opération.
LightNeuron aurait ciblé les serveurs de mails sous Microsoft Exchange depuis au moins 2014. Les chercheurs d’ESET ont identifié trois organisations différentes, victimes de ces attaques. Parmi celles-ci le ministère d’affaires étrangères d’un pays d’Europe de l’Est et une organisation diplomatique régionale au Moyen-Orient. Les chercheurs ont trouvé des preuves qui laissent penser, avec un haut degré de probabilité, que LightNeuron fait partie de l’arsenal du tristement célèbre groupe d’espionnage Turla, également connu sous le nom de Snake. Ce groupe et ses activités sont largement suivis par le département de recherche d’ESET.
LightNeuron est le premier malware connu qui abuse du mécanisme de l’agent Microsoft Exchange Transport : “L’architecture du serveur mail permet à LightNeuron de fonctionner avec le même niveau de confiance que des produits de sécurité tels que des filtres pour spam. Il en résulte que ce malware fournit à l’attaquant un contrôle complet du serveur mail et par conséquent de toute la communication mail,” explique Faou.
Afin que les commande et contrôle (C&C) entrants de mails aient l’air innocent, LightNeuron utilise la stéganographie pour cacher ces commandements dans des documents PDF ou des images JPG crédibles.
La possibilité de contrôler la communication par mail fait de LightNeuron l’outil parfait pour exfiltrer secrètement des documents et contrôler d’autres machines locales grâce à un mécanisme C&C très difficile à détecter et à bloquer.
“Grâce à des améliorations sécuritaires dans les systèmes d’exploitation, les rootkits de noyau, le Saint-Graal du malware d’espionnage, disparaissent souvent rapidement de la panoplie de l’attaquant. Les besoins de l’attaquant persistent pourtant en ce qui concerne les outils pouvant vivre dans les systèmes ciblés tout en faisant la chasse aux documents de valeur et en les siphonnant sans éveiller la moindre suspicion. Ainsi, LightNeuron est apparu comme la solution de Turla,” conclut Faou.
Les chercheurs mettent en garde que débarrasser un réseau de LightNeuron n’est pas tâche facile : enlever simplement les fichiers criminels ne marche pas car cela reviendrait à démolir le serveur.
“Nous encourageons les gestionnaires de lire le document de recherche complet avant de mettre en œuvre un mécanisme de nettoyage,” conseille Faou.
L’analyse détaillée, y compris la liste complète d’Indicateurs de compromis et d’échantillons, se trouve dans le document de recherche ‘Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub’.
A propos d’ESET
Depuis 30 ans,ESET® développe des logiciels et des services de sécurité IT de pointe destinés aux entreprises et aux consommateurs, partout dans le monde. Avec des solutions allant de la sécurité des terminaux et des mobiles jusqu’à des solutions de chiffrement et d’authentification à deux facteurs, les produits conviviaux et hautement performants d’ESET confère aux consommateurs et aux entreprises la tranquillité d’esprit nécessaire pour pleinement tirer parti des potentiels de leurs technologies. ESET assure une protection et une surveillance discrète 24 h sur 24, mettant les solutions de protection à jour en temps réel afin de garantir la sécurité des utilisateurs et les activités des entreprises, sans la moindre interruption. Les menaces en constante évolution requièrent une société spécialisée en sécurité IT qui soit elle-même évolutive. S’appuyant sur ses divers centres R&D de par le monde, ESET est la première société de sécurité IT à avoir décroché 100 récompenses Virus Bulletin VB100 et ayant identifié, sans exception, tous les malwares en circulation et ce, sans interruption depuis 2003. Pour toute information complémentaire, consultez le site www.eset.com ou suivez-nous sur LinkedIn, Facebook et Twitter.
INFORMATION PRESSE
Vous désirez plus d’informations sur ESET ou tester un produit ? Contactez :
MGK Technologies
+352 26 18 51
Key Communications
Catherine d’Adesky / Louise Biron
+32 (0)475 48 62 68
+32 (0)2 230 40 72
catherine@keycommunications.be
louise@keycommunications.be
www.keycommunications.be
Si vous ne désirez plus recevoir de communiqués d’ESET, faites le savoir à louise@keycommunications.be