Spionage: Eset-Forscher entlarven hochentwickeltes Programm (Symbolbild: Pixabay/ Geralt)

Ein Forscher-Team der IT-Security-Spezialistin Eset hat ein bisher unbekanntes Spionageprogramm namens Ramsay analysiert, welches auf das Sammeln und Herausfiltern sensibler Dateien aus sogenannten "Air Gap"-Systemen spezialisiert ist. "Air Gap" ist die Bezeichnung für ein Sicherheitskonzept für Computer und Netzwerke, die nicht direkt mit dem Internet oder anderen Netzen verbunden sind.

Aufgrund der derzeit noch geringen Verbreitung vermuten die Forscher, dass das Spionageprogramm für gezielte Angriffe genutzt wird oder sich noch in der Entwicklung befindet. Für diese These spreche, dass die Malware-Autoren scheinbar verschiedene Infektionswege ausprobierten. Zum Beispiel komme ein alter Exploit zum Einsatz, der Microsoft-Word-Schwachstellen aus dem Jahr 2017 ausnutze. Insgesamt haben die Eset-Forscher gemäss Mitteilung bisher drei verschiedene Versionen von Ramsay entdeckt, die sich in ihrer Komplexität unterscheiden. Ihre Analyse haben die Experten auf Welivesecurity.de veröffentlicht.

"Ramsay ist ein hochentwickeltes Spionageprogramm in speziellen Air-Gap-Systemen, die nicht direkt mit dem Internet verbunden sind", erklärt dazu Thomas Uhlemann, Eset Security Specialist. "Gerade der Infektionsvektor über alte Windows-Sicherheitslücken zeigt aber auch, dass selbst in solchen Umgebungen offenbar die einfachsten Methoden zum Schutz nicht befolgt werden. Andernfalls würde sich die Entwicklung für Cyberkriminelle nicht lohnen."

Funktionen von Ramsay

"Besonders bemerkenswert ist das architektonische Design des Spionageprogramms. Die Verbreitungs- und Kontrollfähigkeiten ermöglichen die effektive Infiltration in Netzwerken, die nicht mit dem Internet verbunden sind", weiss Uhlemann zu berichten. Ramsay bietet demnach eine Reihe von Funktionen, die speziell auf das Einsatzgebiet zugeschnitten sind:
- Dateisammlung und verdeckte Speicherung: Das primäre Ziel von Ramsay ist es, alle vorhandenen Dokumente innerhalb des Dateisystems zu sammeln.
- Ausführen von Befehlen: Das Kontrollprotokoll von Ramsay besitzt eine Methode zum Scannen und Abrufen von Befehlen.
- Verbreitung: Ramsay hat eine Komponente, die für den Betrieb in Systemen konzipiert ist, die nicht direkt mit dem Internet verbunden sind.

Die gesamte Analyse ist auf Welivesecurity verfügbar!



Der Online-Stellenmarkt für ICT Professionals