Onderzoekers hebben malware voor Microsoft Exchange-servers ontdekt die speciaal ontwikkeld is om e-mails te lezen, aan te passen of te blokkeren en tevens als een backdoor dient. Daarnaast is de malware zeer lastig te verwijderen. Dat meldt antivirusbedrijf ESET in een vandaag verschenen rapport.
Volgens de virusbestrijder maken de aanvallers gebruik van een techniek die nog nooit eerder is gezien, namelijk een Transport Agent. Microsoft Exchange biedt via het gebruik van Transport Agents extra functionaliteit, zoals het filteren van spam en besmette e-mails en het toevoegen van een onderschrift aan elke verstuurde e-mail.
Transport Agents kunnen worden gemaakt door Microsoft, externe leveranciers of de organisatie die de Exchange-server beheert. De LightNeuron-malware voegt een Transport Agent toe waarmee het berichten kan onderscheppen, lezen en blokkeren, alsmede nieuwe e-mails versturen. Het lijkt erop dat de aanvallers de getroffen organisaties eerst compromitteren en dan de Exchange Server-infecteren. Zo ontdekte ESET op het netwerk van getroffen organisaties ook andere malware van de aanvallers. De onderzoekers stellen dat er voor het installeren van de malware waarschijnlijk gestolen inloggegevens zijn gebruikt.
De eerste versie van de LightNeuron-malware zou al in 2014 zijn ontwikkeld. De meest recente versie is in 2016 gemaakt. Onder andere diplomatieke organisaties en ministeries van Buitenlandse Zaken in Oost-Europa en het Midden-Oosten waren doelwit van de aanvallers. Deze aanvallen vonden in 2017 en 2018 plaats. “In een aantal gevallen draaide LightNeuron met systeemrechten. Het is vaak lastig om dergelijke rechten op een Exchange-server te krijgen, aangezien het één van de belangrijkste middelen van een organisatie is. Eenmaal gecompromitteerd is het waarschijnlijk dat de malware maanden of jaren onopgemerkt blijft”, aldus de onderzoekers.
Het verwijderen van de malware is geen eenvoudige opgave, zo laten de onderzoekers in het onderzoeksrapport verder weten (pdf). Door de twee kwaadaardige bestanden van de malware te verwijderen stopt de Microsoft Exchange-server namelijk met werken en kan niemand in de organisatie nog e-mails versturen of ontvangen. Antivirusbedrijven wordt dan ook aangeraden om deze twee bestanden niet zomaar te verwijderen, maar van een goede schoonmaakroutine gebruik te maken. Het is belangrijk om de kwaadaardige Transport Agent eerst uit te schakelen.
Volgens ESET wordt de LightNeuron-malware door een groep genaamd Turla gebruikt, die ook als Snake en Uroburos bekendstaat. De groep zou verantwoordelijk zijn voor inbraken bij een Zwitsers defensiebedrijf en het Belgische ministerie van Buitenlandse Zaken. Via social engineering en zerodaylekken weet de groep al jarenlang computers te infecteren en gebruikt daarbij zelfs satellieten om data te stelen.
