„Jedná se o první známý malware, které využívá mechanismy Microsoft Exchange Transport Agent,“ prohlásil Matthieu Faou, výzkumník společnosti Eset, který výzkum vedl. Podle něj umí tento škodlivý kód číst, měnit, blokovat nebo dokonce napsat e-maily a odeslat je pod identitou legitimní osoby z postižené firmy.

Jak je z řádků výše patrné, LightNeuron se zaměřuje na e-mailové servery Microsoft Exchange, a to podle bezpečnostních expertů přinejmenším od roku 2014.

Výzkumníci Esetu dokázali identifikovat tři různé skupiny obětí, byly mezi nimi ministerstva zahraničních věcí zemí východní Evropy a místní diplomatické organizace na Blízkém východě.

„V rámci architektury mailového serveru operuje LightNeuron na stejné úrovni důvěry jako bezpečnostní produkty, třeba spamové filtry. V důsledku tak malware dává útočníkovi úplnou kontrolu nad mailovým serverem, a tím i nad veškerou e-mailovou komunikací,“ konstatoval Faou.

Útok s pomocí PDF a obrázků

Malware podle odborníka využívá tzv. steganografické postupy, aby příchozí e-maily, které obsahují ovládací a kontrolní příkazy, tzv. C&C, nevyvolaly podezření. Povely jsou zakódované v jinak běžných PDF dokumentech a obrázcích ve formátu JPG.

„Schopnost kontrolovat e-mailovou komunikaci dělá z LightNeuron perfektní nástroj pro nenápadnou filtraci dokumentů a ovládání dalších zařízení pomocí C&C mechanismů, které je velmi těžké odhalit a zablokovat,“ zdůraznil bezpečnostní expert.

Faou konstatoval, že nestačí pouhé odstranění škodlivých souborů, protože by to poškodilo mailový server. Přestože tento útok cílil primárně na diplomaty, mohou se s ním pochopitelně setkat také běžní uživatelé.

Za malwarem LightNeuron stojí patrně kyberzločinecká skupina Turla, která s jeho pomocí cílí na vládní a diplomatické organizace.