APT guruhi Turla 5 yil davomida kuchli orqa eshikni muvaffaqiyatli yashirdi.
LightNeuron, ayniqsa, Microsoft Exchange pochta serveri bilan o’zaro ishlash uchun mo’ljallangan.
Turla APT guruhi xavfsizlik tadqiqotchilari tomonidan kashf etilgan eng murakkab orqa eshiklardan birini qo’lga kiritdi. LightNeuron deb nomlangan orqa eshik Microsoft Exchange pochta serverlari uchun maxsus ishlab chiqilgan va xabarlarni uzatish agenti (MTA) vazifasini bajaradi — bu funksiya orqa eshikda ilgari hech qachon ko’rilmagan. ESET tadqiqotchisi Matthieu Faouning so’zlariga ko’ra, LightNeuron Microsoft Exchange ni nishonga olgan birinchi ma’lum zararli dasturdir. Turla ilgari Neuron zararli dasturidan (shuningdek, DarkNeuron nomi bilan ham tanilgan) foydalangan, ammo u Microsoft Exchange uchun maxsus ishlab chiqilmagan.
LightNeuron Turla a’zolari tomonidan yaratilgan. Guruh kamida 2014-yildan beri orqa eshikdan foydalanib kelmoqda, ammo uni besh yil davomida muvaffaqiyatli yashirdi. Zararli dastur o’z turidagi eng kuchli vositalardan biri bo’lib, operatorlariga zararlangan pochta serveri orqali o’tadigan barcha ma’lumotlarni boshqarish imkonini beradi. Bu shuni anglatadiki, tajovuzkorlar nafaqat elektron pochta xabarlarini ushlab qolishlari, balki yuborishlari, yo’naltirishlari, bloklashlari va tahrirlashlari mumkin.
ESET tadqiqotchilari LightNeuronning uchta qurbonini aniqladilar. Ular orasida Braziliyadagi noma’lum tashkilot, Sharqiy Yevropa mamlakatlaridan birining Tashqi ishlar vazirligi va Yaqin Sharqdagi diplomatik tashkilot bor edi.
LightNeuronni boshqa orqa eshiklardan ajratib turadigan yana bir xususiyati uning g’ayrioddiy C&C mexanizmidir. Microsoft Exchange serverini yuqtirgandan va o’zgartirgandan so’ng, zararli dastur hech qachon to’g’ridan-to’g’ri C&C infratuzilmasiga ulanmaydi. Aloqa elektron pochta orqali yuborilgan PDF va JPG fayllari orqali amalga oshiriladi. Steganografiya yordamida kiberjinoyatchilar buyruqlarni ushbu fayllarga yashirishadi, orqa eshik esa ularni o’qiydi va bajaradi. Spam filtrlari bu elektron pochtalarni filtrlaydi, shuning uchun ular jabrlanuvchi tomonidan hech qachon ko’rinmaydi va bu ularni butunlay bexabar qoldiradi.
