Eset-Forscher haben nach eigenen Angaben ein neues Spionageprogramm entdeckt, das sich auf die Cyberspionage-Gruppe Turla (auch Snake oder Uroburos genannt) zurückführen lassen soll. Im aktuellen Fall handele es sich um eine neuartige Backdoor namens LightNeuron, die es als Advanced Persistent Threat (APT) auf Microsoft Exchange Server abgesehen hat. Sie missbraucht als erstes bekanntes Schadprogramm den Exchange Transport Agenten. Dadurch kann Turla jede über den Mail-Server laufende E-Mail mitlesen, modifizieren oder blocken, so die Eset-Spezialisten. Es lassen sich sogar Nachrichten im Namen legitimer Nutzer verschicken.

Bisher ist bekannt, dass die Backdoor gegen Ziele in Europa, dem Nahen Osten und Brasilien eingesetzt wurden. Alle Einzelheiten haben Eset-Forscher in einem Whitepaper zusammengefasst. Dieses ist auf WeLiveSecurity (www.welivesecurity.com/deutsch/2019/05/07/turla-lightneuron-exchange-server/) erhältlich.

„Früher waren Kernel Rootkits für erfolgreiche APTs ein probates Mittel. Diese haben aber durch die Verbesserung der Sicherheitsarchitektur in Betriebssystemen an Bedeutung verloren. Backdoors wie LightNeuron könnten diese Lücke füllen und zum heiligen Gral der Cyberkriminellen werden“, erklärt Thomas Uhlemann, Eset Security Specialist. Mit der neuen Malware ergaunere sich Turla umfangreiche Zugriffsrechte auf Exchange Server und übernehme so die volle Kontrolle über die gesamte E-Mail-Kommunikation der attackierten Organisation.

Den Eset-Analysen zufolge ist die Backdoor seit 2014 aktiv. Neuartig ist an diesem Spionageprogramm, dass in Microsoft Exchange ein schädlicher Transport Agent eingerichtet wird. Einmal installiert, verarbeitet dieser sämtliche ein- und ausgehenden E-Mails. Transport Agents werden sonst zum Beispiel als Spam-Filter genutzt. Um Kommandos an das Spionageprogramm zu geben, nutzen die Kriminellen manipulierte E-Mails mit PDF- und JPG-Dateien als Anhang. In diesen Dateien sind mit Hilfe steganografischer Techniken verborgene Befehle eingebettet.

Turla ist laut den Sicherheitsfachleuten eine der ältesten Cyberspionage-Gruppen mit mehr als einem Jahrzehnt Erfahrung. Die Gruppe konzentriert sich demnach hauptsächlich auf hochkarätige Ziele wie Regierungen, Wirtschaftsunternehmen sowie diplomatische Einrichtungen in Europa, Zentralasien und dem Nahen Osten. Wichtige Organisationen wie das das Auswärtige Amt der Bundesrepublik Deutschland, das US-Verteidigungsministerium, das Schweizer Rüstungsunternehmen Ruag oder die französische Armee wurden von der Turla bereits erfolgreich infiltriert. Mit LightNeuron haben es die Cyberspione derzeit auf Außenministerien und diplomatische Vertretungen in Osteuropa und dem Nahen Osten abgesehen. Ob es noch weitere Ziele gibt sei im Moment unklar. Eine Ausweitung der Kampagne auf Westeuropa ist für die Turla Spionagegruppe technisch nach Einschätzung von Eset unproblematisch.

Die gesamten Ergebnisse der Eset-Forscher stehen auf WeLiveSecurity zur Verfügung: www.welivesecurity.com/deutsch/2019/05/07/turla-lightneuron-exchange-server/.

Dr. Jörg Schröper ist Chefredakteur der LANline.