پژوهشگران موسسه امنیتی ESET نفوذ ۵ ساله گروه جاسوسی سایبری (Turla) را به سرورهای ایمیل سازمانی مایکروسافت اکسچنج (Microsoft Exchange) برملا کردند.
به گزارش خبرگزاری دان به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، این اولین بدافزاری است که به طور ویژه سرورهای ایمیل Microsoft Exchange را از طریق درپشتی LightNeuron، هدف قرار داده است.
سرور Exchange مایکروسافت کار مدیریت ایمیلهای درون سازمان را برعهده دارد.
به دلیل پیچیدگی درپشتیLightNeuron ، هکرها میتوانند کنترل کامل یک سرور ایمیل را به دست گیرند و محتوای ایمیلهای ورودی یا خروجی را منتقل، ویرایش یا مسدود کنند و یا از دریافت برخی ایمیلها توسط کاربر جلوگیری کند.
علاوه بر تمرکز درپشتی LightNeuron روی سرورهای Microsoft Exchange، از دیگر ویژگیهای بارز این بدافزار مکانیزم فرمان و کنترل آن است. یعنی زمانی که هکرها یک سرور Microsoft Exchange را از طریق درپشتی LightNeuron آلوده میکنند، به طور مستقیم به آن متصل نمیشوند، بلکه با ارسال ایمیلهای حاوی پیوستهای PDF یا JPG، سرور را کنترل میکنند.
کارشناسان معاونت بررسی مرکز افتا میگویند که این روش با نام پنهاننگاری (Steganography) ، به این صورت عمل میکند که دستورهای مهاجمان درون فایلهای PDF و تصاویر JPG قرار داده میشود و درپشتی با دریافت آنها، دستورها را اجرا میکند و به دلیل همین شیوه ارتباط با سرور فرمان و کنترل، این بدافزار برای مدت زیادی پنهان مانده بود.
سرور Exchange مایکروسافت کار مدیریت ایمیلهای درون سازمان را برعهده دارد.
به دلیل پیچیدگی درپشتیLightNeuron ، هکرها میتوانند کنترل کامل یک سرور ایمیل را به دست گیرند و محتوای ایمیلهای ورودی یا خروجی را منتقل، ویرایش یا مسدود کنند و یا از دریافت برخی ایمیلها توسط کاربر جلوگیری کند.
علاوه بر تمرکز درپشتی LightNeuron روی سرورهای Microsoft Exchange، از دیگر ویژگیهای بارز این بدافزار مکانیزم فرمان و کنترل آن است. یعنی زمانی که هکرها یک سرور Microsoft Exchange را از طریق درپشتی LightNeuron آلوده میکنند، به طور مستقیم به آن متصل نمیشوند، بلکه با ارسال ایمیلهای حاوی پیوستهای PDF یا JPG، سرور را کنترل میکنند.
کارشناسان معاونت بررسی مرکز افتا میگویند که این روش با نام پنهاننگاری (Steganography) ، به این صورت عمل میکند که دستورهای مهاجمان درون فایلهای PDF و تصاویر JPG قرار داده میشود و درپشتی با دریافت آنها، دستورها را اجرا میکند و به دلیل همین شیوه ارتباط با سرور فرمان و کنترل، این بدافزار برای مدت زیادی پنهان مانده بود.
