Lauschangriff auf Exchange-Server

Forscher des slowakischen IT-Security-Anbieters Eset haben ein neues Spionageprogramm entdeckt, das sich auf die Cyberspionage-Gruppe Turla (auch Snake oder Uroburos genannt) zurückführen lässt. Im aktuellen Fall handelt es sich demnach um eine neuartige Backdoor namens LightNeuron, die es als Advanced Persistent Threat (APT) auf Microsoft-Exchange-Server abgesehen hat. Sie missbraucht als erstes bekanntes Schadprogramm den Exchange-Transport-Agenten.

Hierdurch könne die Hackergruppe Turla jede über den Server laufende E-Mail mitlesen, modifizieren oder blocken, berichten die Virenjäger von Eset. Es können sogar Nachrichten im Namen legitimer Nutzer verschickt werden. Bisher ist laut den Sicherheitsexperten bekannt, dass die Backdoor gegen Ziele in Europa, im Nahen Osten und in Brasilien eingesetzt wurde. Alle Einzelheiten haben die Eset-Forscher in einem Whitepaper zusammengefasst, das auf der Eset-eigenen Webseite «WeLiveSecurity» erhältlich ist.

«Früher waren Kernel-Rootkits für erfolgreiche APTs ein probates Mittel. Diese haben aber durch die Verbesserung der Sicherheitsarchitektur in Betriebssystemen an Bedeutung verloren. Backdoors wie LightNeuron könnten diese Lücke füllen und zum heiligen Gral der Cyberkriminellen werden», erklärt Thomas Uhlemann, Security-Spezialist bei Eset. «Mit der neuen Malware ergaunert sich Turla umfangreiche Zugriffsrechte auf Exchange Server und übernimmt so die volle Kontrolle über die gesamte E-Mail-Kommunikation der attackierten Organisation», führt er weiter aus.