Jena, 07. Mai 2019 – ESET Forscher haben ein neues Spionageprogramm entdeckt, das sich auf die Cyberspionage-Gruppe Turla (auch Snake oder Uroburos genannt) zurückführen lässt. Im aktuellen Fall handelt es sich um eine neuartige Backdoor namens LightNeuron, die es als Advanced Persistent Threat (APT) auf Microsoft Exchange Server abgesehen hat. Sie missbraucht als erstes bekanntes Schadprogramm den Exchange Transport Agenten. Hierdurch kann Turla jede über den Mail Server laufende E-Mail mitlesen, modifizieren oder blocken. Es können sogar Nachrichten im Namen legitimer Nutzer verschickt werden. Bisher ist bekannt, dass die Backdoor gegen Ziele in Europa, dem Nahen Osten und Brasilien eingesetzt wurden. Alle Einzelheiten haben ESET Forscher in einem Whitepaper zusammengefasst. Dieses ist auf WeLiveSecurity erhältlich.
„Früher waren Kernel Rootkits für erfolgreiche APTs ein probates Mittel. Diese haben aber durch die Verbesserung der Sicherheitsarchitektur in Betriebssystemen an Bedeutung verloren. Backdoors wie LightNeuron könnten diese Lücke füllen und zum heiligen Gral der Cyberkriminellen werden“, erklärt Thomas Uhlemann, ESET Security Specialist. „Mit der neuen Malware ergaunert sich Turla umfangreiche Zugriffsrechte auf Exchange Server und übernimmt so die volle Kontrolle über die gesamte E-Mail-Kommunikation der attackierten Organisation.“
Attacken auf Exchange Server
Den ESET Analysen zufolge ist die Backdoor seit 2014 aktiv. Neuartig ist an diesem Spionageprogramm, dass in Microsoft Exchange ein schädlicher Transport Agent eingerichtet wird. Einmal installiert, verarbeitet dieser sämtliche ein- und ausgehenden E-Mails. Transport Agents werden sonst zum Beispiel als Spam-Filter genutzt. Um Kommandos an das Spionageprogramm zu geben, nutzen die Kriminellen manipulierte E-Mails mit PDF- und JPG-Dateien als Anhang. In diesen Dateien wurde mithilfe steganographischer Techniken verborgene Befehle eingebettet.
USA, Deutschland und Europa gehören zu den Zielen von Turla
Turla ist einer der ältesten Cyberspionage-Gruppen mit mehr als einem Jahrzehnt Erfahrung. Die Gruppe konzentriert sich hauptsächlich auf hochkarätige Ziele wie Regierungen, Wirtschaftsunternehmen sowie diplomatische Einrichtungen in Europa, Zentralasien und dem Nahen Osten. Wichtige Organisationen wie das das Auswärtige Amt der Bundesrepublik Deutschland, das US-Verteidigungsministerium, das Schweizer Rüstungsunternehmen Ruag oder die französische Armee wurden von der Turla bereits erfolgreich infiltriert. Mit LightNeuron haben es die Cyberspione derzeit auf Außenministerien und diplomatische Vertretungen in Osteuropa und dem Nahen Osten abgesehen. Ob es noch weitere Ziele gibt ist derzeit unklar. Eine Ausweitung der Kampagne auf Westeuropa ist für die Turla Spionagegruppe technologisch nach Einschätzung von ESET unproblematisch.
Die gesamten Ergebnisse der ESET-Forscher stehen auf WeLiveSecurity zur Verfügung: https://www.welivesecurity.com/deutsch/2019/05/07/turla-lightneuron-exchange-server/