ESET-i teadurid on avastanud varem esitamata küberspionaažiraamistiku, millele andsid hüüdnimeks Ramsay. Raamistik on kohandatud tundlike dokumentide kogumiseks ja väljaõngitsemiseks raadioliides-süsteemidest, mis pole ühendatud interneti ega muude veebisüsteemidega. Et ohvrite arv on seni olnud väga väike, usub ESET, et selle raamistiku arendus jätkub.
“Esialgu leidsime Ramsay näite ühes Jaapanist üleslaaditud VirusTotali näidises, mis juhtis meid raamistiku täiendavate komponentide ja muude versioonide leidmiseni koos oluliste tõenditega, et järeldada, et raamistik on alles arendusjärgus, täppistestimisest lähtuvate kohaletoimetamise vektoritega,” ütleb ESET-i Montrealis asuva teadusrühma juht Alexis Dorais-Joncas.
ESETi leidude kohaselt on Ramsay läbi teinud mitu iteratsiooni, mis põhinevad leitud raamistiku eri näidetel, tähistades selle võimekuste arvu ja keerukuse lineaarset progresseerumist. Nakkusvektorite eest vastutavad arendajad näivad proovivat erisuguseid lähenemisviise, näiteks kasutavad Microsofti Wordi 2017. a. nõrkuste vanu ekspluataatoreid ja troojalasega rakenduste juurutamist kohaletoimetamiseks, tõenäoliselt andmepüügi kaudu. Ramsay kolm avastatud versiooni erinevad keerukuse poolest; hiljutine kolmas versioon on kõige arenenum, eelkõige kõrvalehoidumise ja järjekindluse poolest.
Ramsay arhitektuur pakub mitmeid sisselogimismehhanismi kaudu hallatavaid võimalusi:
- Failide kogumine ja varjatud salvestamine: selle raamistiku peamine eesmärk on koguda kõik olemasolevad Microsoft Wordidokumendid objekti failisüsteemi.
- Käsu käivitamine: Ramsay juhtelemendi protokoll rakendab detsentraliseeritud meetodit kontrolldokumentidest käskude skannimiseks ja toomiseks.
- Levimine: Ramsay manustab komponendi, mis näib olevat kavandatud töötama raadioliidesvõrkudes.
“Eriti tähelepanuväärne on see, kuidas Ramsay arhitektuuri disain, eriti selle levimis- ja juhtimisvõimaluste vaheline seos, võimaldab sel töötada raadioliidesvõrkudes – st võrkudes, mis pole internetti ühendatud,“ ütleb Dorais-Joncas.
Avastatud Ramsay versioonide ülevaade
Ramsay tehniliste üksikasjade kohta lugege blogipostitusest “Ramsay: A cyber espionage toolkit tailored for Air-Gapped Networks” platvormil WeLiveSecurity. Jälgige kindlasti ESET Researchi Twitteris, kus on viimased uudised ESET Researchilt.