ESET-onderzoekers hebben een niet eerder gedocumenteerde cyberspionageomgeving
ontdekt die ze Ramsay hebben genoemd. Die omgeving is specifiek ontwikkeld voor
het verzamelen en exfiltreren van gevoelige documenten afkomstig van air-gapped
systemen, systemen die niet met internet of andere online systemen verbonden
zijn. Daar het aantal slachtoffers tot dusver erg laag is, denkt ESET dat deze
omgeving nog in volle ontwikkeling is.
“We vonden
eerst een exemplaar van Ramsay in een VirusTotal-voorbeeld uit Japan geüpload en
dat ons na de ontdekking bevestigde dat het nog in een ontwikkelingsfase is,
met verspreidingsvectoren die aan fijne testen onderworpen zijn, ”aldus Alexis
Dorais-Joncas, hoofd van het ESET-onderzoeksteam in Montreal.
Volgens de bevindingen
van ESET heeft Ramsay verschillende ontwikkelingen doorgemaakt op basis van de
verschillende gevallen van het gevonden kader, die wijzen op een lineaire progressie
zowel van aantal en complexiteit van zijn mogelijkheden. De ontwikkelaars die
verantwoordelijk zijn voor infectievectoren lijken verschillende benaderingen
te proberen, zoals het gebruik van oude exploits voor Microsoft
Word-kwetsbaarheden vanaf 2017 en het inzetten van getrojaniseerde applicaties,
mogelijk voor verspreiding via spear-phishing.
De drie ontdekte
versies van Ramsay verschillen in complexiteit en verfijning, waarbij de derde versie de meest geavanceerde is, vooral met
betrekking tot ontwijking en persistentie.
De
architectuur van Ramsay biedt een reeks mogelijkheden die via een logging-mechanisme
beheerd worden:
·
Verzameling
van bestanden en geheime opslag: het eerste doel van dit raamwerk is het
verzamelen van alle bestaande Microsoft Word-documenten binnen het
bestandssysteem van een doelwit.
· Uitvoeren
van de opdracht: het controleprotocol van Ramsay gebruikt een
gedecentraliseerde methode voor het scannen en ophalen van opdrachten uit
controledocumenten.
· Verspreiding:
Ramsay heeft een geïntegreerde component
die zou ontworpen zijn om binnen air-gapped netwerken te werken.
“Opmerkelijk
is hoe het architecturaal ontwerp van Ramsay, en meer bepaald de relatie tussen
de verspreidings- en controlemogelijkheden, het mogelijk maakt te werken in
air-gapped netwerken - netwerken die dus
niet met internet verbonden zijn”, zegt Dorais-Joncas.
Lees voor meer technische details over Ramsay,
de blog post “Ramsay: A cyber espionage toolkit
tailored for Air-Gapped Networks” op https://welesecurity.com
Volg ESET Research op Twitter ESET Research on Twitter voor
het laatste nieuws van de onderzoeksteams. Bezoek eveneens https://www.eset.com/be-nl/