Microsoft-Vorwürfe konfrontieren DSIRF damit, Spyware unter dem Namen Subzero zu vertreiben. Nun ermittelt der Staatsschutz diesbezüglich.
Gemäß einem, am Mittwoch veröffentlichten Microsoft-Blogbeitrag, würde das österreichische Unternehmen DSIRF, mit Sitz in Wien, Zero-Day-Exploits dafür nutzen, um eine Reihe von Organisationen in Europa und Mittelamerika zu kompromittieren. Die dafür eingesetzte Subzero-Spyware soll in der Lage sein, auf vertrauliche Informationen, wie Passwörter oder Anmeldeinformationen, zuzugreifen. Microsoft wirft dem Hersteller von Staatstrojanern infolge vor, in Angriffe auf Anwaltskanzleien, Banken und Unternehmensberater in Großbritannien, Österreich und Panama verwickelt zu sein. Zur Untersuchung der Vorwürfe hat sich nun der Staatsschutz eingeschaltet. Darüber berichtete das Onlinemagazins Futurzone.
Mitglieder des Microsoft Threat Intelligence Center (MSTIC) stellten fest, Subzero-Malware-Infektionen seien durch eine Vielzahl von Methoden verbreitet worden, einschließlich der Ausnutzung der damaligen Zero-Days von Windows und Adobe Reader. Dies setze voraus, dass die Angreifer von den Schwachstellen vorher wussten.
Microsoft warf DSIRF konkret vor, als PSOA zu agieren. PSOA steht für Private-State Offensive Actor. Darunter zu verstehen sind privatwirtschaftlich organisierte Firmen, die für staatliche Auftraggeber Cyberwaffen in Form von Hacking-as-a-Service-Paketen entwickeln und verkaufen, quasi für deren Aktivitäten Malware bereitstellen.
Laut ihrer Website bietet DSIRF Penetrationstests sowie „auftragsbezogene Dienstleistungen in den Bereichen Informationsrecherche, Forensik sowie Human Intelligence (HUMINT) und Open Source Intelligence (OSINT) für multinationale Unternehmen in den Bereichen Technologie, Einzelhandel, Energie und Finanzen“.
Subzero-Malware nutzt Zero-Day-Exploits
Laut Microsoft ist DSIRF ein Bedrohungsakteur, der „begrenzte und gezielte Angriffe“ gegen Unternehmen durchführt, die Windows- und Adobe-Zero-Day-Schwachstellen sowie eine als „Subzero“ bekannte Malware verwendet. Einer der Zero-Days ist CVE-2022-22047, einer Sicherheitslücke, der das Client Server Runtime Subsystem von Windows betrifft und im Rahmen des Patchdays diesen Monat behoben wurde. Microsoft verfolgt DSIRF unter der Bezeichnung „KNOTWEED“.
PSOAs, so der Technologieriese, seien „Cyber-Söldner“, die Hacking-Tools oder -Dienste als Teil ihres Geschäftsmodells verkaufen. Häufig bieten diese Organisationen entweder Zugang über End-to-End-Hacking-Tools oder die PSOA führt die offensiven Hacking-Operationen selbst durch. Ein prominentes Beispiel für eine PSOA ist der berüchtigte israelische Spyware-Anbieter NSO Group.
DSIRF setze auf Kombination aus zwei Modellen
„Basierend auf beobachteten Angriffen und Nachrichtenberichten glaubt MSTIC, dass KNOTWEED diese Modelle mischen könnte. Einerseits verkaufen sie die Subzero-Malware an Dritte. Andererseits hat man sie aber auch bei einigen Angriffen beobachtet. Diese verwendeten KNOTWEED-assoziierte Infrastruktur, was auf eine direktere Beteiligung hindeutet“, heißt es in dem Blogbeitrag von Microsoft.
Das Microsoft Threat Intelligence Center (MSTIC) verfolgte die Subzero-Aktivitäten zwischen 2021 und 2022. Es fand mindestens einen Fall, in dem ein Subzero-Opfer „keine Red Teaming- oder Penetrationstests in Auftrag gegeben hatte und bestätigte, dass es sich um nicht autorisierte, böswillige Aktivitäten handelte“.
Microsoft führte an, es habe „mehrere Verbindungen“ zwischen DSIRF und den Zero-Day-Exploits und der Subzero-Malware hergestellt:
„Dazu gehören die Command-and-Control-Infrastruktur, die die Malware verwendet und direkt mit DSIRF verbunden ist, ein DSIRF-assoziiertes GitHub-Konto, das mit einem Angriff verknüpft ist. Ferner ein an DSIRF ausgestelltes Codesignaturzertifikat, das zum Signieren eines Exploits verwendet wird. Zudem andere Open-Source-Nachrichten Berichte, in denen Subzero DSIRF zugeschrieben wird.„
Stellungnahme des Unternehmens
Gegenüber Futurezone wies die DSIRF-Geschäftsleitung darauf hin, dass sie Subzero „ausschließlich zur behördlichen Anwendung in Staaten der EU“ entwickelt hätten. In der Stellungnahme betonte das Unternehmen: „Sie wird gewerblich weder angeboten, verkauft noch zur Benutzung bereitgestellt“. Man verwehre sich „mit aller Entschiedenheit gegen den Eindruck, Subzero-Software missbräuchlich verwendet zu haben“.
Zur Aufklärung habe das Unternehmen einen unabhängigen Gutachter beauftragt. Dieser solle die durch das Microsoft-Sicherheitsteam aufgeworfenen Fragen untersuchen. „Darüber hinaus hat DSIRF eine interne Untersuchung der in Zusammenhang mit Subzero stehenden Betriebsabläufe eingeleitet“.
Wie Futurzone weiterführend informierte, so führte das Innenministerium am Freitag auf Anfrage der APA an:
„die Direktion Staatsschutz und Nachrichtendienst (DSN) prüfe die Vorwürfe, es gebe aber bisher keinen Nachweis über den Einsatz von Spyware der Firma“.
