كشفت أبحاث ESET عن أداة تخريبية تسمى LightNeuron ، وهو برنامج ضار متخفي في Microsoft Exchange يمكنه قراءة أو تعديل أو حظر أي بريد إلكتروني يمر عبر خادم البريد، ويمكنه أيضًا إنشاء رسائل بريد إلكتروني جديدة وإرسالها تحت هوية المستخدم الشرعي. ويتم التحكم في البرنامج الضار عن بُعد عبر رسائل البريد الإلكتروني باستخدام مرفقات PDF و JPG ذات معلومات خفية.
يقول ” ماتيو فو”، باحث البرمجيات الخبيثة لدى شركة «إسيت» والذي أجرى البحث: “نعتقد أنه يجب إطلاع محترفي أمن تكنولوجيا المعلومات على هذا التهديد الجديد”.
يستهدف LightNeuron خوادم بريد “مايكروسوفت إكس تشانج” منذ عام 2014. وقد حدد باحثو ESET ثلاث مؤسسات مختلفة وقعت ضحية لهذا البرنامج الضار، من بينها وزارة الشؤون الخارجية في بلد من أوروبا الشرقية ومنظمة دبلوماسية إقليمية في الشرق الأوسط.
جمع باحثو ESET أدلة تشير بشكل مؤكد إلى أن LightNeuron ينتمي إلى مجموعة التجسس السيئة السمعة Turla، المعروفة أيضًا باسم Snake. تتم تغطية و مراقبة هذه المجموعة وأنشطتها على نطاق واسع من قبل قسم البحوث في شركة ESET.
ويعد LightNeuron هو أول برنامج ضار معروف يسيء استخدام آلية Microsoft Exchange Transport Agent. وأوضح “ماتيو فو”: “يمكن أن يعمل LightNeuron في بنية خادم البريد بنفس مستوى منتجات الأمن البريدي والقيام بمهام مثل تصفية البريد العشوائي. ونتيجة لذلك، تمنح هذه البرامج الضارة للمهاجم سيطرة كاملة على خادم البريد – وبالتالي تتم السيطرة على جميع الاتصالات عبر البريد الإلكتروني”.
ولجعل رسائل البريد الإلكتروني الخاصة بالقيادة والتحكم (C&C) تبدو وكأنها بدون مشاكل، يقوم LightNeuron بإخفاء أوامره داخل مستندات PDF صالحة أو صور JPG.
إن قدرة LightNeuron على التحكم في اتصالات البريد الإلكتروني تجعله أداة مثالية للتسلل الخفي للوثائق، وكذلك للتحكم في الأجهزة المحلية الأخرى عبر “آلية القيادة و التحكم” التي يصعب اكتشافها وحظرها.
و أضاف” فو”: “نظرًا للتحسينات الأمنية في أنظمة التشغيل، فإن الجذور الخفية لبرامج التجسس الخبيثة تتلاشى بسرعة بعيدًا عن ترسانة المهاجمين. ورغم ذلك فإن حاجة المهاجمين للأدوات التي يمكنها العيش في النظام المستهدف وصيد الملفات القيمة ما تزال قائمة، كل ذلك دون إثارة أي شك. ولهذا برز LightNeuron كحل يخدم مجموعة هجمات Turla”.
وحذر باحثو ESET من أن تنظيف LightNeuron من الشبكة ليس بالمهمة السهلة: لا تعمل إزالة الملفات الضارة على التخلص منه، حيث يمكن أن تتسبب في كسر خادم البريد الإلكتروني.
ونصح “فو”، قائلاً: “نحن ننصح و نشجع المسؤولين على قراءة أوراق البحث بالكامل قبل تنفيذ آلية التنظيف”.
يمكن الاطلاع على التحليل التفصيلي، بما في ذلك القائمة الكاملة لمؤشرات التسوية والعينات، في ورقة البحث:
Turla LightNeuron: One Email Away from Remote Code Execution and on GitHub.