Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Aizsardzība » Ar Krieviju saistīti kiberspiegi izmanto izsmalcinātu lūku priekš Microsoft Exchange

Ar Krieviju saistīti kiberspiegi izmanto izsmalcinātu lūku priekš Microsoft Exchange

Lūka LightNeuron pirmo reizi ir minēta Kaspersky Lab ziņojumā par sarežģīto mērķēto kiberuzbrukumu tendencēm 2018. gada 2. ceturksnī “APT Trends Report Q2 2018”. Toreiz Kaspersky Lab rakstīja: “Viens no interesantākajiem uzbrukumiem, ko mēs atklājām, bija Turla implants (attiecināms uz šo uzbrucēju ar vidēju pārliecību), ko mēs saucam par LightNeuron. Šis jaunais artefakts ir tieši mērķēts uz Exchange serveriem un izmanto standarta izsaukumus, lai pārtvertu e-pastu, izfiltrētu datus un pat sūtītu vēstules cietušo vārdā. Mēs uzskatām, ka šis uzbrucējs varētu būt izmantojis šo tehniku kopš 2014. gada, un tam ir versija, kas skar Unix serverus ar Postfix un Sendmail. Līdz šim mēs esam redzējuši šī implanta upurus Tuvajos Austrumos un Vidusāzijā.”

 

 

Turla ir tā saucamais Advanced Persistent Threat jeb APT (šim terminam vēl arvien nav oficiāla tulkojuma), ar ko speciālisti apzīmē noteiktas kiberuzbrucēju grupas, kas visbiežāk ir valstu uzturētas, un to arsenālu. Turla APT tiek saistīts ar Krievijas specdienestu darbību. Kaspersky Lab pētnieki gadu gaitā ir publicējuši vairākus publiskus ziņojumus par Turla APT un atklājuši grupas izmantotās programmatūras kodā tās radītāju krievvalodības pazīmes (lasiet: Russian-speaking cyber spies exploit satellites). Kaspersky Lab Globālās analīzes un izpētes komanda seko vairāk kā 100 APT darbībām un pārskatu pār tām var atrast vietnē https://apt.securelist.com/, bet detalizētus slēgtos ziņojumus var saņemt, izmantojot uzņēmuma pakalpojumu Kaspersky Threat Intelligence Services. Kopumā starp APT ar krievvalodības pazīmēm Kaspersky Lab bagātīgajā atklājumu klāstā ir Moonlight MazeRedOctoberCloudAtlasMinidukeCosmicDukeEpic TurlaPenquin TurlaTurlaBlack EnergyAgent.BTZTeamspySofacy (a.k.a. Fancy Bear, APT28), CozyDuke un citi.

Nupat publicētā ESET publiskajā ziņojumā ir vairāk informācijas par instrumenta LightNeuron unikālajām iespējām, kas to izceļ starp visām citām lūkām, kuras līdz šim pielietotas e-pasta serveros. Pētījums atklāj, ka kiberspiegu grupa Turla ir izstrādājusi un izmanto vienu no visizsmalcinātākajām lūkām, kāda jebkad redzēta priekš e-pasta serveriem. Lūka LightNeuron darbojas kā pasta pārsūtīšanas aģents (MTA).

Kā tiek ziņots, Turla jau iepriekš uzbruka e-pasta serveriem, izmantojot ļaunprogrammatūru Neuron (jeb DarkNeuron), bet tā nebija īpaši izstrādāta uzbrukumam Microsoft Exchange. Dažas citas APT grupas izmanto tradicionālās lūkas, lai uzraudzītu pasta serveru darbību. Tomēr LightNeuron ir pirmā, kas iekļaujas Microsoft Exchange darbplūsmā. Tā kā LightNeuron darbojas dziļā līmenī, tā ļauj hakeriem pilnībā kontrolēt visus datus, kas iet caur inficēto e-pasta serveri, tātad pārtvert, novirzīt vai rediģēt ienākošā vai izejošā e-pasta saturu. Tas padara LightNeuron par vienu no efektīvākajiem šāda veida instrumentiem.

Grupa Turla ir ieguvusi bēdīgu slavu ar savām iepriekšējām operācijām, kuras labi iederētos pat Holivudas filmās. Savulaik grupa izmantoja sakaru satelītus (lasiet Kaspersky Lab ziņojumu – Satellite Turla: APT Command and Control in the Sky), lai nodrošinātu ļaunprogrammatūras nogādāšanu attālos pasaules nostūros, izstrādāja ļaunprogrammatūru, kas slēpa savu vadības mehānismu komentāros pie Britnijas Spīrsas fotogrāfijām vietnē Instagram un pārņēma IPS (interneta pakalpojumu sniedzēju) infrastruktūru, lai pāradresētu lietotājus uz ļaunprogrammatūru.

 

Turla kiberspiegošanas grupas mērķu kartē ir arī Latvija.

Turla kiberspiegošanas grupas mērķu kartē ir arī Latvija.

Pētnieki uzskata, ka LightNeuron izceļas arī ar savu vadības un kontroles mehānismu. Kad Microsoft Exchange serveris ir inficēts un modificēts ar lūku LightNeuron, uzbrucēji nekad ar to tieši nesavienojas. Tā vietā viņi sūta e-pasta vēstules ar piesaistītām PDF vai JPG datnēm. Izmantojot steganogrāfiju, Turla slēpj PDF un JPG datnēs komandas, kuras lūka nolasa un izpilda.

Pētnieki uzsver, ka LightNeuron spēj lasīt un modificēt e-pasta vēstules, kas iet caur Exchange serveri, izveidot un nosūtīt jaunas e-pasta vēstules, kā arī neļaut lietotājiem saņemt noteiktas vēstules. Turklāt cietušajām organizācijām ir grūti konstatēt Turla operatoru un tā saziņu ar lūku — galvenokārt tāpēc, ka komandas ir paslēptas PDF / JPG datņu kodā un ienākošās e-pasta vēstules var tikt maskētas kā banāls surogātpasts. Starp konstatētajiem LightNeuron mērķiem ESET pētnieki norāda organizāciju Brazīlijā, kādas Austrumeiropas valsts Ārlietu ministriju un reģionālo diplomātisko organizācija Tuvajos Austrumos.

 

 

ESET ziņojumā dažu minēto spiegu programmatūras komponenšu skenējumu rezultāti parāda apmierinošus rezultātus, tomēr tas, visdrīzāk, nozīmē, ka pētījumā minētās kontrolsummas nav no LightNeuron versijām, kas atklātas pavisam nesen. Uz svaigākiem paraugiem skeneru veikums mēdz būt krietni sliktāks. Ko vēl var piebilst? Laikam to, ka bez tradicionālajiem galiekārtu drošības risinājumiem nopietnu APT atklāšana prasa atbilstošu tehnoloģisko bruņojumu, kāds, piemēram, ir Kaspersky Anti Targeted Attack (KATA) Platform.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 1

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu