Microsoft warnt vor mutmasslichem Spyware-Anbieter aus Wien

28. Juli 2022, 12:28
  • security
  • datenschutz
  • lücke
  • microsoft
image

Ein Unternehmen, das zwischenzeitlich auch in der Schweiz niedergelassen war, zielt laut Microsoft-Forschern mit Sypware auf Zero-Day-Lücken.

Microsoft warnt vor einer Wiener Firma, die Zero-Day-Exploits für verschiedene Produkte verkaufe. Von Angriffen betroffen seien Kunden in Europa und Mittelamerika. In einem Blogpost verlinkt Microsoft auf eine im Webarchive gespeicherte Website der Firma DSIRF, die professionell wirkt. Man verfüge über "eine Reihe hochentwickelter Methoden für die Sammlung und Analyse von Informationen, um die Entscheidungsprozesse unserer Kunden zu unterstützen", heisst es dort.
Knotweed, wie Microsoft die Wiener Firma nennt, habe eine Malware namens Subzero entwickelt. DSIRF und Subzero waren bereits Thema mehrerer Medienberichte. Ende 2021 hiess es bei 'netzpolitik.org', DSIRF habe einen Staatstrojaner entwickelt, um PCs und Smartphones zu überwachen. Dem Bericht zufolge gehört DSIRF wiederum einem in Liechtenstein ansässigen Unternehmen, bis vor kurzem gab es auch einen Standort in Zug. Die Gesellschaft wurde gemäss Handelsregister im September 2021 aufgelöst.
Einmal installiert, übernehme Subzero die volle Kontrolle über das Zielgerät und biete vollständigen Zugriff auf Daten und Passwörter, schreibt 'netzpolitik.org' mit Verweis auf eine Firmenpräsentation von 2018. Aus dieser gehen offenbar auch Spuren nach Moskau hervor. Gegenüber dem Onlineportal erklärte der DSIRF-Geschäftsführer damals, Subzero werde "zu diesem Zeitpunkt weder operativ noch kommerziell eingesetzt".
Subzero werde durch eine Vielzahl von Methoden verbreitet, so das Threat Intelligence Center von Microsoft (MSTIC). Man habe Angriffe auf Anwaltskanzleien, Banken und Beratungsunternehmen in Österreich, dem Vereinigten Königreich und Panama beobachtet. Ausgenutzt würden beispielsweise Schwachstellen in Windows und Adobe.
Im Mai 2022 etwa habe das MSTIC eine Remotecode-Ausführung (RCE) für Adobe Reader und einen Zero-Day-Exploit zur Ausweitung von Berechtigungen in Windows gefunden. Die Exploits seien in einem PDF verpackt gewesen, das den Opfern per E-Mail zugesandt wurde, heisst es weiter.
Für Akteure wie die österreichische Firma verwendet Microsoft den Begriff Private Sector Offensive Actor (PSOA). Diese würden in der Regel nach einem von zwei Business-Modellen arbeiten. Entweder würden Access oder komplette Hacking-Tools als Service verkauft. Oder der PSOA operiere in einem "Hack-for-hire"-Modell und führe gezielte Operationen selbst durch.
"Basierend auf beobachteten Angriffen und Nachrichtenberichten glaubt MSTIC, dass Knotweed diese Modelle vermischt", so die Microsoft-Forscher. "Sie verkaufen die Subzero-Malware an Dritte, wurden aber auch dabei beobachtet, wie sie Knotweed-assoziierte Infrastruktur in einigen Angriffen verwendeten."

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Wegen Daten-Spionage: Sammelklage gegen Meta

In einer Klageschrift gegen Meta heisst es, Apps von Instagram und Facebook würden Daten mittels eines JavaScript-Code auf Websites einspeisen.

publiziert am 23.9.2022
image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022