SKADEVARE

Microsoft peker ut østerriksk selskap som digitale leiesoldater

Hevder selskapet står bak fersk skadevare brukt i rettede angrep.

Slik ønsker DSIRF besøkende velkommen til selskapets nettsted.
Slik ønsker DSIRF besøkende velkommen til selskapets nettsted. Skjermbilde: Digi.no
Harald BrombachHarald BrombachNyhetsleder
29. juli 2022 - 12:00

Microsoft kom sammen med IT-sikkerhetsselskapet RiskIQ med en rapport hvor det østerrikske selskapet DSIRF utpekes som en PSOA (Private-Sector Offensive Actor), altså en kommersiell aktør med en virksomhet relatert til offensive cyberangrep. Microsoft kaller slike aktører for cyberleiesoldater.

DSIRF, som Microsoft også omtaler med kodenavnet KNOTWEED, skal ha utviklet en skadevare kalt Subzero, som benytter angrepskode som utnytter flere nulldagssårbarheter i både Windows og Adobe-programvare som Reader. Dette inkluderer en sårbarhet som kan utnyttes til å oppnå økte privilegier i Windows. En sikkerhetsfiks til denne sårbarheten ble utgitt tidligere i juli.

Rettede angrep

Subzero-skadevaren skal ha blitt brukt i begrensede og rettede angrep mot Microsoft-kunder i Europa og Sentral-Amerika, inkludert Storbritannia, Panama og Østerrike. Dels skal den ha blitt brukt av tredjeparter, men det har også blitt observert at den har brukt infrastrukturen til DSIRF, noe som kan bety at selskapet har vært direkte involvert i enkelte av angrepene. 

Både Windows 11 og Copilot forbedres kontinuerlig og får flere nye funksjoner i den nærmeste tiden.
Les også

Ruller ut forbedringer til Copilot og Windows 11

I blogginnlegget blir de tekniske funnene presentert. Koblingen til DSIRF omfatter blant annet DSIRF-eide ressurser som skal være brukt i noen av angrepene, inkludert en Github-konto, kommando- og kontrollinfrastruktur, samt et kodesigneringssertifikat brukt til å signere angrepskode. I tillegg vises det til flere tidligere medieoppslag om selskapets virksomhet. 

Amerikansk høring

Omtrent samtidig med at blogginnlegget ble publisert, offentliggjorde Microsoft et skriftlig vitnemål til en amerikansk kongresshøring om utenlandsk, kommersiell spionvare. 

I vitnemålet skriver Microsoft blant annet at det for mer enn et tiår siden begynte å se selskaper i den private sektoren som begynte å bevege seg i retning av sofistikert overvåking. Dette ble sett i sammenheng med at autokratiske nasjoner og mindre land forsøkte å skaffe seg de samme mulighetene på dette området som de større og bedre utrustede motpartene. 

Digi.no har sendt en henvendelse til DSIRF med spørsmål om hvordan selskapet stiller seg til anklagene. Vi har så langt ikke fått noe svar, men vil oppdatere saken dersom vi hører noe. 

Selskapet oppgir på sitt nettsted det opererer med total diskresjon knyttet til følsomme prosjekter for globale kunder og markedsledende selskaper. Det nevnes at selskapets ansatte har bransjeledende kunnskaper om blant annet cybersikkerhet, dataanalyse, samt etterretning basert på mennesker og åpne kilder. 

«Operation Triangulation» benytter en angrepskjede med svært mange ledd. Den har gitt angriperne full tilgang til operativsystemet i både eldre og helt nye Iphone-mobiler, blant annet ved å omgå avanserte, maskinvarebaserte beskyttelsesmekanismer.
Les også

Superavansert «hack» kan ha gitt angripere full Iphone-tilgang i flere år

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra