Mutmaßliche Autoren der Malware Subzero

Microsoft warnt vor österreichischer Hacking-Firma

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Die von der im Dezember 2021 ausführlich beschriebenen Malware Subzero ausgenutzte Lücke wurde geschlossen. Die Wiener Firma dahinter, von der Microsoft nur mit dem Codenamen "Knotweed" spricht, soll sie sowohl verkauft, als auch bei Auftragsarbeiten eingesetzt haben.
Microsoft geht seit 2021 verstärkt gegen PSOAs (Private Sector Offensive Actors), also Firmen, die Hacking Tools entwickeln und anbieten, vor. Jetzt hat der Konzern eine österreichische Firma ins Visier genommen.
Microsoft geht seit 2021 verstärkt gegen PSOAs (Private Sector Offensive Actors), also Firmen, die Hacking Tools entwickeln und anbieten, vor. Jetzt hat der Konzern eine österreichische Firma ins Visier genommen.
Foto: Pixels Hunter - shutterstock.com

Firmen wie The Hacking Team, Zerodium, Quadream oder FinFisher, die Schwachstellen aufspüren oder aufkaufen und damit handeln, sind Herstellern und IT-Sicherheitsexperten seit langem ein Dorn im Auge. Manche Behörden allerdings greifen sogar auf die Dienste solcher Anbieter zurück, da sie selbst nicht in der Lage sind, Sicherheitslücken zu finden, die aber für ihre Aufgaben ausnutzen wollen. Auch diese Praxis wird vielfach stark kritisiert. Denn es ist wahrscheinlich, dass nicht geschlossene Sicherheitslücken irgendwann auch von Kriminellen entdeckt und ausgenutzt werden.

Die Grauzone ist jedoch groß. In dieser Grauzone bewegt sich offenbar auch die österreichische Firma DSIRF, die Microsoft aber als "Knotweed" anspricht - vielleicht, um mit seiner Berichterstattung keine Werbung für das Unternehmen zu machen. Der Konzern bezeichnet solche Unternehmen als Cyber-Söldner beziehungsweise als PSOA (Private Sector Offensive Actor) und hat eine von Knotweed ausgenutzte Zero-Day-Lücke (CVE-2022-22047) in Microsoft-Produkten jetzt geschlossen.

Die von den Österreichern entwickelte Malware "Subzero" wurde Microsoft zufolge für gezielte Angriffe auf seine Kunden ausgenutzt, unter anderem in Österreich, Großbritannien und Panama. DSIRF unterhält Büros in Wien und Liechtenstein und bietet eigener Aussage zufolge "multinationalen Unternehmen aus Technologie, Retail, Energie- und Finanzsektor auf die jeweilige Aufgabe maßgeschneiderte Services im Bereich der Informationsbeschaffung, Forensik sowie der datengetriebenen Aufklärung" an.

Dahinter verbergen sich letztlich Hacking-Tools und Hacking-Services, die unterschiedlich vermarktet werden. Zum Beispiel kann der Kunde die Hacking-Tools erwerben und selbst nutzen oder der Auftraggeber nennt dem Dienstleister exakte Ziele, die der dann möglichst unbemerkt angreift.

Microsoft geht aufgrund seiner Beobachtungen davon aus, dass in dem Fall beides getan wurde: Die als Subzero bezeichnete, offenbar von Knotweed/DSIRF entwickelte Malware sei sowohl verkauft als auch von dem Unternehmen in eigenen Aktionen eingesetzt worden. Die Malware Subzero und die Aktivitäten der Firma DSIRF hatte "Netzpolitik" bereits im Dezember 2021 ausführlich beschrieben. Dabei wurden auch die guten Kontakte des Unternehmens nach Russland aufgedeckt.

Wahrscheinlich auch deshalb hat Microsoft jetzt beim Geheimdienstausschuss des US-Repräsentantenhauses eine schriftliche Aussage (PDF) zu seinem Kampf gegen die Zunahme ausländischer, kommerzieller Spyware eingereicht. Darin beschreibt Microsoft seine Beobachtungen. Demnach verkaufen PSOAs ihre Tools und Services immer häufiger an autoritäre Regierungen, die die Überwachungstechnologie ohne Rücksichtnahme auf Menschenrechte und Gesetze einsetzen. Ganz neu ist das nicht, allerdings scheint die damit verbundene Problematik zuzunehmen. Dass sich auch Behörden demokratischer Staaten - etwa Deutschland - in der Vergangenheit bei solchen Firmen bedienten, wurde von Experten schon länger scharf kritisiert.

Microsoft fordert die Politik nun auf, den Einsatz solcher Tools sowohl in den USA als auch weltweit konsequent zu untersagen und zu bekämpfen. Bereits im vergangenen Jahr hatte Microsoft von ähnlichen Aktivitäten des israelischen Unternehmens Candiru berichtet (von dem es unter der Bezeichnung "Sourgum" spricht). Alle Knotweed zugeordneten Aktivitäten und welche Schwachstellen in Adobe- und Microsoft-Produkten dafür ausgenutzt wurden, schildert Microsoft ausführlich hier.

Mehr zum Thema

Der Staatstrojaner ist auch nur eine Malware

So viel verdienen Security-Experten als Schwachstellenjäger

Wie Sicherheitsbehörden Handys überwachen können

Zur Startseite