peterschreiber.media - stock.ado

Cybermenace : LightNeuron, ou pourquoi le serveur de messagerie mérite une attention particulière

Utilisé par le groupe Turla, cet implant s’installe directement sur le serveur Exchange. Des versions Postfix et Sendmail existeraient également. Un emplacement stratégique pour le cyber-espionnage.

L’été dernier, Kaspersky faisait très brièvement référence à un « implant » qu’il attribuait alors – avec une « confiance modérée » – au groupe Turla : LightNeuron. Et de relever son originalité : « ce nouvel artefact vise directement les serveurs Exchange et utilise des appels légitimes standards pour intercepter des courriels, exfiltrer des données, et même envoyer des e-mails au nom des victimes ». Et il faudrait compter avec des versions adaptées aux serveurs Unix et à leurs outils Postfix et Sendmail. Le groupe Turla emploierait très discrètement cette méthode depuis 2014.

Les équipes d’Eset se sont penchées un peu plus sur le sujet et viennent de livrer le détail de leurs travaux. Selon ceux-ci, LightNeuron n’est rien de moins qu’un agent de transport de messagerie pour serveurs Exchange. Ainsi positionné, il est en mesure d’intercepter tous les courriers entrants – même ceux adressés à des destinataires ne disposant pas de boîtes de messagerie sur le serveur –, de les altérer, voire de les bloquer, à l’instar d’un filtre anti-spam. Et ce n’est pas tout.

Ce positionnement hautement stratégique permet à LightNeuron d’être utilisé par le groupe Turla comme une porte dérobée : il peut recevoir des commandes cachées par stéganographie dans des pièces jointes au format Jpeg ou Pdf. De quoi également expliquer la furtivité des attaquants, déjà illustrée début 2018 avec les révélations sur la compromission de la messagerie électronique du gouvernement allemand.

Soupçonné d’être lié aux services du renseignement russe, le groupe Turla serait à l’origine d’une opération de cyber-espionnage contre le groupe RUAG, dès 2014. C’est à cette période que G Data a présenté ses premières découvertes sur le groupe et ses outils, à commencer par le logiciel Uroboros, alors décrit comme « très complexe et sophistiqué, conçu pour voler des données confidentielles ». Kaspersky avait par la suite livré des détails complémentaires.

Eset avait quant à lui déjà documenté une porte dérobée de Turla visant le client de messagerie Outlook. Mais le positionnement directement sur le serveur ouvre aux assaillants des perspectives bien plus étendues. Et cela d’autant plus que le nettoyage n’est pas des plus aisés.

Les chercheurs d’Eset expliquent ainsi que supprimer LightNeuron « n’est pas une tâche facile. Simplement supprimer les deux fichiers malicieux va casser Microsoft Exchange, empêchant tout le monde, au sein de l’organisation, d’envoyer et recevoir des e-mails ». En fait, avant la suppression des deux fichiers liés à l’implant, « il faut désactiver l’agent de transport malicieux ». Une procédure que les chercheurs détaillent dans leur rapport.

Pour approfondir sur Menaces, Ransomwares, DDoS