X

Raffinierte Turla-Malware kontrolliert seit Jahren Exchange-Server

Eine schon länger bekannte Gruppe von Kriminellen ist seit einiger Zeit im Besitz einer Malware, mit der sie quasi komplette Exchange-Server unter ihre Kontrolle bringen kann. Der Schadcode wurde von seinen Entdeckern, den Sicherheitsforschern der Firma Eset auf den Namen "LightNeuron" getauft.
Microsoft
13.05.2019  08:27 Uhr
Es ist schon ziemlich bemerkenswert, dass die Malware bisher noch niemandem aufgefallen ist. Dabei deuten verschiedene Hinweise darauf hin, dass sie bereits seit 2014 existiert, auch wenn sie inzwischen natürlich deutlich weiterentwickelt wurde. Auch Eset hat bisher lediglich drei Organisationen ausfindig machen können, die mit LightNeuron nachweislich attackiert wurden. Die Malware öffnet eine Hintertür zu Exchange-Servern und bietet den Angreifern dann umfassende Möglichkeiten, um in die darüber abgewickelte Kommunikation einzugreifen. So können unter anderem E-Mails verschickt werden, es lassen sich Nachrichten an bestimmte Empfänger blockieren und auch eine Manipulation der Inhalte ist möglich. All dies kann zu ziemlich wirksamen Aktionen jeglicher Art genutzt werden.

Turla-Hacker seit Jahren durch gekaperte Satelliten anonym
videoplayer03:11

Befehle in Anhängen versteckt

LightNeuron läuft dafür auf den Systemen mit den gleichen Rechten, mit denen beispielsweise auch sonstige Erweiterungen wie Spamfilter ausgestattet werden. Die Steuerung der Software erfolgt dabei, indem die Angreifer E-Mails mit speziell gestalteten PDF-Dokumenten oder JPEG-Bildern im Anhang an den Server schicken. Mit dem gleichen Steuerungsmodul arbeitete auch schon eine vor vielen Monaten entdeckte Malware, mit der Outlook angegriffen wurde.

Hinter LightNeuron steckt nach allen bisher vorliegenden Indizien eine Gruppe, die vor allem unter dem Namen "Turla" bekannt ist. Dabei handelt es sich um mehrere russische Kriminelle, deren Identität bisher nicht aufgedeckt werden konnte. Die Aktivitäten von Turla lassen sich über viele Jahre zurückverfolgen, in denen immer wieder ausgeklügelte Angriffs-Varianten zum Einsatz kamen. Und die Rückverfolgung wird unter anderem dadurch erschwert, dass die beteiligten sich über gekaperte Satelliten-Verbindungen mit dem restlichen Netz in Verbindung setzen.

Siehe auch: Hacker-Gruppe Turla nutzt Instagram zum Aktivieren ihrer Malware
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture