Smascherati gli attacchi del gruppo hacker Turla
I ricercatori di Eset hanno scoperto un nuovo programma di spionaggio riconducibile al gruppo di spionaggio informatico Turla.
Il caso attuale riguarda un nuovo tipo di backdoor chiamato LightNeuron, che prende di mira Microsoft Exchange Server come minaccia persistente avanzata (APT). Si tratta del primo malware conosciuto che abusa dell'Exchange Transport Agent. Ciò consente a Turla (chiamato anche Snake o Uroburos) di leggere, modificare o bloccare qualsiasi e-mail che passa attraverso il server di posta. Può anche inviare messaggi a nome di utenti legittimi. Finora si sa che la backdoor è stata utilizzata contro obiettivi in Europa, Medio Oriente e Brasile.
"In passato, i rootkit del kernel erano un mezzo collaudato per il successo delle minacce costanti evolutive. Ma queste sono diventate meno importanti con il miglioramento dell'architettura di sicurezza dei sistemi operativi. Backdoor come LightNeuron potrebbero colmare questa lacuna e diventare il Santo Graal dei criminali informatici", spiega Thomas Uhlemann, Eset Security Specialist. "Con il nuovo malware, Turla si appropria di ampi diritti di accesso ai server Exchange e assume così il pieno controllo dell'intera comunicazione e-mail dell'organizzazione attaccata".
Attacchi al server di Exchange
Secondo le analisi, la backdoor è attiva dal 2014. La novità di questo spyware è che un agente di trasporto dannoso viene impostato in Microsoft Exchange. Una volta installato, elabora tutte le e-mail in entrata e in uscita. Gli agenti di trasporto sono altrimenti utilizzati come filtri antispam, ad esempio. Per impartire i comandi allo spyware, i criminali utilizzano e-mail manipolate con file PDF e JPG come allegati. I comandi nascosti sono stati incorporati in questi file utilizzando tecniche steganografiche.
L'Europa è anche una delle destinazioni
Turla è uno dei più antichi gruppi di spionaggio informatico con oltre un decennio di esperienza. Il gruppo si concentra principalmente su obiettivi di alto profilo come governi, imprese commerciali e istituzioni diplomatiche in Europa, Asia centrale e Medio Oriente. Importanti organizzazioni come il Ministero degli Esteri della Repubblica Federale Tedesca, il Dipartimento della Difesa degli Stati Uniti, l'azienda svizzera di armi Ruag o l'esercito francese sono già state infiltrate con successo da Turla. Con LightNeuron, le spie informatiche stanno attualmente prendendo di mira i ministeri stranieri e le missioni diplomatiche in Europa orientale e in Medio Oriente. Al momento non è chiaro se vi siano altri obiettivi. Secondo Eset, l'espansione della campagna all'Europa occidentale non è tecnologicamente problematica per il gruppo di spionaggio Turla.
Il Risultati totali disponibile su WeLiveSecurity.
