Бэкдор Turla: контроль почтовых серверов Microsoft Exchange

Компания ESET сообщила подробности об атаках хакерской группировки Turla. Бэкдор LightNeuron, который используют киберпреступники, позволяет установить практически полный контроль над почтовыми серверами Microsoft Exchange.

Программа LightNeuron была установлена на почтовых серверах министерства иностранных дел одной из восточноевропейских стран и дипломатического представительства на Ближнем Востоке. Эксперты ESET также обнаружили следы вредоносной активности в Бразилии.

Получив доступ к транспортному агенту Microsoft Exchange, злоумышленники могли читать и блокировать письма, заменять вложения и редактировать текст, а также писать и рассылать сообщения от имени сотрудников организации. Эта активность была скрыта в специально созданных PDF-документах и JPG-изображениях – для связи с бэкдором запросы и команды направлялись через эти файлы.

Эксперты ESET отмечают, что очистить почтовый сервер от бэкдора LightNeuron непросто: удаление вредоносных файлов не приносит результатов и, более того, может привести к нарушению работы Microsoft Exchange.

LightNeuron присутствует в арсенале Turla как минимум с 2014 г. Как считают эксперты, данный бэкдор применяется и для Linux-систем. Группировка Turla получила известность в 2008 г., после взлома сети командования вооруженных сил США.