به گزارش مرکز مدیریت راهبردی افتا، پژوهشگران ESET اخیرا یک درپشتی پیشرفته را بررسی کردهاند که توسط گروه جاسوسی سایبری Turla (شناخته شده همچنین با نام Snake) توسعه یافته است. این درپشتی که LightNeuron نام دارد، از سال ۲۰۱۴ در حال هدف قرار دادن سرورهای ایمیل Microsoft Exchange است.
به گزارش معاونت بررسی مرکز افتا، به نقل از ESET، این اولین بدافزاری است که به طور ویژه سرورهای ایمیل Microsoft Exchange را هدف قرار میدهد. گروه Turla پیشتر نیز سرورهای ایمیل را با استفاده از بدافزاری با نام Neuron (یا DarkNeuron) هدف قرار میداد، اما این بدافزار مختص Microsoft Exchange نبوده است.
بدلیل پیچیدگی درپشتی LightNeuron، هکرها میتوانند کنترل کامل یک سرور ایمیل را بدست گیرند. آنها میتوانند محتوای ایمیلهای وروردی یا خروجی را منتقل، ویرایش یا مسدود کنند. این درپشتی که توسط گروه مخرب Turla توسعهیافته است، از سال ۲۰۱۴ در حال فعالیت است.
علاوه بر تمرکز درپشتی LightNeuron بر روی سرورهای Microsoft Exchange، از دیگر ویژگیهای بارز این بدافزار مکانیزم فرمان و کنترل آن است. زمانی که هکرها یک سرور Microsoft Exchange را از طریق درپشتی LightNeuron آلوده کنند، به طور مستقیم به آن متصل نمیشوند، بلکه آنها با ارسال ایمیلهای حاوی پیوستهای PDF یا JPG، سرور را کنترل میکنند. این روش که پنهاننگاری (Steganography) نام دارد، بدین صورت عمل میکند که دستورهای مهاجمین درون فایلهای PDF و تصاویر JPG قرار میگیرند و درپشتی با دریافت آنها، دستورها را اجرا میکند. بدلیل این شیوه ارتباط با سرور فرمان و کنترل، این بدافزار برای مدت زیادی پنهان مانده بود.
بدافزار LightNeuron پس از آلوده کردن سرور میتواند تمامی ایمیلهای ورودی و خروجی از سرور Exchange را مشاهده و ویرایش کند. همچنین میتواند ایمیل جدید ارسال کند و از دریافت برخی ایمیلها توسط یک کاربر جلوگیری کند.
منابع :
