Os investigadores da ESET descobriram um quadro de ciberespionagem desconhecida até então, que apelidaram de Ramsay. Este foi concebido para recolher e extrair documentos sensíveis a partir de sistemas isolados que não estejam ligados à Internet ou a outros sistemas online. Uma vez que o número de vítimas até agora é muito baixo, a ESET acredita que está em processo de desenvolvimento contínuo.
“Encontrámos um exemplo de Ramsay numa amostra de VirusTotal carregada do Japão. Isso levou-nos a descobrir outros componentes, outras versões deste quadro e outros testes. Tudo isto leva a concluir que se trata de uma operação contínua, com alguns vectores de entrega ainda em aperfeiçoamento”, diz Alexis Dorais-Joncas, chefe da equipa de investigação da ESET em Montreal.
No total, os investigadores descobriram três versões, que diferem em complexidade e sofisticação. Destes, o terceiro é o mais avançado, especialmente em termos de evasão e persistência.
A empresa revelou que o número de vítimas ainda é baixo, pelo que se acredita que se trata de uma operação em desenvolvimento. Mesmo assim, adverte para a importância de conhecer as capacidades de gestão e o mecanismo de controlo utilizado por este quadro de espionagem cibernética de Ramsay:
O principal objectivo desta operação é recolher todos os documentos Microsoft Word existentes dentro do sistema alvo. Os criadores responsáveis pelos vectores de infecção estão a testar diferentes abordagens, desde explorações antigas a aplicações de trojans.
O protocolo de controlo de Ramsay implementa um método de análise descentralizada e recuperação de comandos a partir de documentos de controlo.
O Ramsay incorpora um componente que parece ter sido concebido para funcionar em redes isoladas.