Microsoft warnt vor Wiener Softwarefirma
Microsofts Sicherheitsteam hat eine Firma mit Sitz in Österreich ausgemacht, die Spyware verkaufen soll, welche auf Zero-Day-Exploits in Windows und Adobe-Produkten basiert. Das wurde in einem Blogpost beschrieben, den Microsoft am Mittwoch veröffentlicht hat. Demnach hat das Unternehmen DSIRF mit Sitz in Wien die Malware Subzero entwickelt, die bei Angriffen gegen Microsoft-Kunden in Europa und Zentralamerika genutzt wurde. In seinen Untersuchungen verweist Microsoft auf DSIRF als KNOTWEED.
„Zu den Opfern gehören Anwaltskanzleien, Banken und Unternehmensberater in Ländern wie Österreich, dem Vereinigten Königreich und Panama“, heißt es in dem Beitrag. Um welche Unternehmen es konkret geht, wird nicht genannt.
Microsofts Sicherheitsteam hat mehrere Verbindungen zwischen DSIRF und den bei diesen Angriffen verwendeten Exploits und Malware gefunden. Darunter Command-and-Control-Infrastruktur, die direkt mit DSIRF verknüpft ist. Außerdem ein DSIRF-assoziiertes GitHub-Konto, das bei einem Angriff verwendet wurde. Ein an das Unternehmen ausgestelltes Codesignaturzertifikat wure außerdem zum Signieren eines Exploits verwendet.
Verbindungen nach Russland
Auf seiner Webseite beschreibt DSIRF seine Tätigkeitsfelder in den Bereichen Cybersicherheit, Datenanalyse, Human Intelligence (HUMINT) und Open Source Intelligence (OSINT).
DSIRF geriet bereits Ende 2021 in die Schlagzeilen, als netzpolitik.org über Subzero als Staatstrojaner berichtete, mit dem Rechner und Smartphones gehackt und überwacht werden können. Die Verflechtungen von DSIRF würden demnach bis in den Kreml sowie zum ehemalige Wirecard-Manager Jan Marsalek reichen. Geschäftsführer Drazen Mokic sagte auf Netzpolitik Anfrage damals, dass Subzero zu diesem Zeitpunkt weder operativ noch kommerziell eingesetzt wurde.
Stellungnahme von DSIRF
Gegenüber der futurzeone erklärt die DSIRF-Geschäftsleitung, dass Subzero "ausschließlich zur behördlichen Anwendung in Staaten der EU" entwickelt worden sei. "Sie wird gewerblich weder angeboten, verkauft noch zur Benutzung bereitgestellt", heißt es in der Stellungnahme. Man verwehre sich "mit aller Entschiedenheit gegen den Eindruck, Subzero-Software missbräuchlich verwendet zu haben".
Zur Aufklärung habe man nun einen unabhängigen Gutachter beauftragt, der die durch das Microsoft-Sicherheitsteam aufgeworfenen Fragen untersuchen solle. "Darüber hinaus hat DSIRF eine interne Untersuchung der in Zusammenhang mit Subzero stehenden Betriebsabläufe eingeleitet", so das Unternehmen.