Microsoft warnt vor mutmasslichem Spyware-Anbieter aus Wien

28. Juli 2022 um 12:28
  • security
  • datenschutz
  • lücke
  • microsoft
image

Ein Unternehmen, das zwischenzeitlich auch in der Schweiz niedergelassen war, zielt laut Microsoft-Forschern mit Sypware auf Zero-Day-Lücken.

Microsoft warnt vor einer Wiener Firma, die Zero-Day-Exploits für verschiedene Produkte verkaufe. Von Angriffen betroffen seien Kunden in Europa und Mittelamerika. In einem Blogpost verlinkt Microsoft auf eine im Webarchive gespeicherte Website der Firma DSIRF, die professionell wirkt. Man verfüge über "eine Reihe hochentwickelter Methoden für die Sammlung und Analyse von Informationen, um die Entscheidungsprozesse unserer Kunden zu unterstützen", heisst es dort.
Knotweed, wie Microsoft die Wiener Firma nennt, habe eine Malware namens Subzero entwickelt. DSIRF und Subzero waren bereits Thema mehrerer Medienberichte. Ende 2021 hiess es bei 'netzpolitik.org', DSIRF habe einen Staatstrojaner entwickelt, um PCs und Smartphones zu überwachen. Dem Bericht zufolge gehört DSIRF wiederum einem in Liechtenstein ansässigen Unternehmen, bis vor kurzem gab es auch einen Standort in Zug. Die Gesellschaft wurde gemäss Handelsregister im September 2021 aufgelöst.
Einmal installiert, übernehme Subzero die volle Kontrolle über das Zielgerät und biete vollständigen Zugriff auf Daten und Passwörter, schreibt 'netzpolitik.org' mit Verweis auf eine Firmenpräsentation von 2018. Aus dieser gehen offenbar auch Spuren nach Moskau hervor. Gegenüber dem Onlineportal erklärte der DSIRF-Geschäftsführer damals, Subzero werde "zu diesem Zeitpunkt weder operativ noch kommerziell eingesetzt".
Subzero werde durch eine Vielzahl von Methoden verbreitet, so das Threat Intelligence Center von Microsoft (MSTIC). Man habe Angriffe auf Anwaltskanzleien, Banken und Beratungsunternehmen in Österreich, dem Vereinigten Königreich und Panama beobachtet. Ausgenutzt würden beispielsweise Schwachstellen in Windows und Adobe.
Im Mai 2022 etwa habe das MSTIC eine Remotecode-Ausführung (RCE) für Adobe Reader und einen Zero-Day-Exploit zur Ausweitung von Berechtigungen in Windows gefunden. Die Exploits seien in einem PDF verpackt gewesen, das den Opfern per E-Mail zugesandt wurde, heisst es weiter.
Für Akteure wie die österreichische Firma verwendet Microsoft den Begriff Private Sector Offensive Actor (PSOA). Diese würden in der Regel nach einem von zwei Business-Modellen arbeiten. Entweder würden Access oder komplette Hacking-Tools als Service verkauft. Oder der PSOA operiere in einem "Hack-for-hire"-Modell und führe gezielte Operationen selbst durch.
"Basierend auf beobachteten Angriffen und Nachrichtenberichten glaubt MSTIC, dass Knotweed diese Modelle vermischt", so die Microsoft-Forscher. "Sie verkaufen die Subzero-Malware an Dritte, wurden aber auch dabei beobachtet, wie sie Knotweed-assoziierte Infrastruktur in einigen Angriffen verwendeten."

Loading

Mehr zum Thema

image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024
image

Haufenweise Kundendaten von Schweizer Personalvermittler gestohlen

Die Firma Das Team ist eines der jüngsten Opfer der Ransomware-Bande Black Basta. Sie publizierte eine Vielzahl heikler Daten im Darkweb.

publiziert am 22.2.2024 4
image

"Verständnis für Einfluss des Cyberraums auf Gesellschaft fehlt"

Die Swiss Cyber Security Days verzeichneten über 2200 Besucherinnen und Besucher. Einig war man sich, dass Cybersicherheit eine gemeinschaftliche Aufgabe ist.

publiziert am 22.2.2024
image

"Wir legen den Schwerpunkt auf die Störung der Bedrohungsakteure"

An den Swiss Cyber Security Days in Bern ging es in den Keynotes nicht nur um Verteidigung, sondern auch um offensive Aktionen. Zum Beispiel durch das FBI.

publiziert am 21.2.2024