Air-gapped jaringan tidak mudah terganggu, tetapi mereka tidak menawarkan sempurna demi keamanan yang ketat baik. Memanfaatkan insider ancaman, menginfeksi flash drive dan removable media lainnya, dan melakukan side-channel serangan adalah semua teknik aktor berbahaya dapat menggunakan ini untuk menyebarkan malware ke sistem terisolasi.

Memang, para peneliti di ESET melaporkan penemuan baru cyber spionase kerangka kerja yang dirancang dengan maksud untuk melakukan hal itu. Mereka menyebutnya Ramsay, dan mereka mengatakan itu dibangun untuk mengumpulkan dan membawa dokumen-dokumen yang sementara beroperasi dan menyebarkan dalam air‑gapped jaringan.

Di perusahaan posting blog, ESET malware peneliti Ignacio Sanmillan mengatakan sejauh ini ada beberapa korban diketahui dari Ramsay, yang menunjukkan toolkit masih sedang disempurnakan oleh pengembang. Atau, lebih buruk lagi, benar korban hitung lebih bersahaja hanya karena visibilitas miskin dari target organisasi.

Either way, “Ramsay malware membuktikan bahwa air-gapped jaringan tidak benar-benar kebal terhadap pelanggaran,” kata Mordechai Guri, kepala penelitian dan pengembangan di Ben-Gurion University of the Negev Cyber Security Research Center dan chief scientific officer di Morphisec. Guri memiliki pengalaman yang luas belajar kerentanan dan eksploitasi air-gapped jaringan.

Menurut ESET posting, Ramsay mampu pembulatan sampai ada dokumen Microsoft Word hanya target filesystem, mencari tidak hanya drive sistem, tetapi juga jaringan dan removable drive (tergantung pada versi perangkat lunak perusak).

File yang dienkripsi dan disimpan dalam sebuah direktori dan kemudian dikompresi ke file arsip. File ini akan disimpan dalam direktori yang kemudian menghasilkan wadah artefak yang diam-diam menyelinap ke dalam .file doc. “Meskipun terpengaruh dokumen yang akan diubah, itu tidak akan memengaruhi integritas mereka; masing-masing dipengaruhi dokumen Word tetap beroperasi penuh setelah artefak menambahkan telah terjadi,” jelas Sanmillan di ESET posting blog.

Bagaimana Ramsay benar-benar dijalankan pelariannya dari artefak ini, bagaimanapun, adalah tidak diketahui. ESET tersangka tak dikenal “komponen eksternal” scan korban’ sistem file untuk sihir-nilai yang terkandung dalam Ramsay wadah dalam rangka untuk menemukan artefak untuk pelariannya.

Guri kata Ben Gurion University telah meneliti dan bereksperimen dengan beberapa metode yang mungkin dari exfiltrating data dan file dari air-gapped jaringan. “Dalam penelitian kami , kami berfokus pada celah udara rahasia saluran: teknik-teknik untuk membocorkan data dari udara selisih jaringan melalui electomagnetic, magnetik, optik, akustik, termal, dan bahkan getaran metode,” kata Guri.

Selain itu, Ramsay memindai semua jaringan berbagi dan paling removable drive untuk mengontrol file dalam rangka untuk memanfaatkan mereka untuk eksekusi perintah, sementara penyebar komponen dari malware demikian pula scan yang sama ini saham dan drive untuk tujuan propagasi.

“Hal ini penting untuk melihat bahwa ada korelasi antara target drive Ramsay scan untuk perbanyakan dan pengendalian pengambilan dokumen,” ESET posting blog catatan. “Ini menilai hubungan antara Ramsay menyebar dan kemampuan kontrol, menunjukkan bagaimana Ramsay operator memanfaatkan kerangka kerja untuk gerakan lateral, yang menunjukkan kemungkinan bahwa kerangka ini telah dirancang untuk beroperasi di dalam air-gapped jaringan.

“Propagasi teknik terutama terdiri dari file infeksi seperti prepender file infector dalam rangka untuk menghasilkan executable mirip dengan struktur Ramsay umpan installer untuk setiap diakses PE file dalam tersebut ditargetkan drive,” Sanmillan menjelaskan.

Untuk selanjutnya gerakan lateral hanya ditargetkan organisasi, beberapa Ramsay komponen juga dapat memindai untuk mesin-mesin yang rentan terhadap SMB kerentanan dikenal sebagai EternalBlue, ESET laporan.

ESET telah mengaitkan beberapa Ramsay artefak dengan Retro backdoor, yang secara historis telah terikat terkenal korea APT kelompok DarkHotel.

“Ramsay malware memiliki semua keunggulan dari sebuah negara yang disponsori operasi intelijen,” kata Chris Clements, kesadaran keamanan advokat di Cerberus Sentinel. “Ia memiliki kemampuan untuk membatasi perilaku untuk target-target tertentu, yang biasanya tidak terlihat secara umum cybercrime malware dibangun untuk menginfeksi tanpa pandang bulu.”

Selain itu, “Itu dirancang untuk menyebarkan dirinya ke air-gapped komputer, yang ditemukan di tertinggi keamanan jaringan seperti yang digunakan oleh militer dan intelijen lainnya organisasi,” Clements terus. “Kehadiran bahasa korea metadata dan kode kesamaan Retro malware saring oleh DarkHotel kelompok bisa menunjukkan bahwa pemerintah korea Selatan terlibat dalam Ramsay ciptaan, meskipun atribusi penuh dalam kasus ini, sebagai false-flag operasi adalah teknik-teknik yang dapat digunakan oleh badan-badan intelijen.”

Dalam berita terkait, Trend Micro ancaman analis Joey Chen pekan ini dilaporkan bahwa Tropic Trooper — ancaman aktor yang biasanya menunjukkan minat dalam perusahaan yang beroperasi di Hong Kong, Taiwan dan Filipina — baru ini telah mencoba untuk berkompromi air-gapped, terisolasi jaringan yang dijalankan oleh Taiwan dan Filipina militer. Senjata pilihan: USBferry trojan, data-stealing malware yang menyebar melalui USB drive.