Eine Wiener Firma soll mehrere 0-Day-Exploits für Malware genutzt haben. Die Spezialisten von Microsoft verfolgten mehrere Angriffe und werteten sie aus. Die Firma DSIRF – mit dem Codenamen Knotweed – will dabei „nichts Missbräuchliches“ sehen. Der Exploit Subzero soll definitiv von DSIRF stammen und wohl ein entwickelter Staats-Trojaner.
Wie bereits heise.de berichtete, beschwert sich Microsoft über die Wiener Firma DSIRF, da diese einen speziell entwickelten Staats-Trojaner selbst eingesetzt haben soll. Mit Subzero sollen bereits seit Februar 2020 mehrere Ziele gehackt und überwacht worden sein, wie Anwälte oder Banken. Diese Tatsache stellt DSIRF wohl nicht in Abrede, bestreitet dabei aber einen missbräuchlichen Einsatz.
Subzero bereits seit 2020 benutzt
In einer Werbepräsentation soll DSIRF beschrieben haben, wie seine Geschäftsfelder aussehen: Biometrie, IT-Beweissicherung, Analyse von Wahlen und Wahlkämpfen, sowie Cyber Warfare. In diesem Umfang soll der Trojaner Subzero als Waffe für die nächste Generation der Online-Kriegsführung beworben worden sein. Gegenüberdem Portal heise.de wurde Subzero als Software zur behördlichen Anwendung in Staaten der EU umschrieben. Etwas verklausuliert für einen Staats-Trojaner.
Microsoft beschreibt in seiner eigenen Analyse die gefundenen Cyber-Angriffe in 2021 und 2022. So etwa: „Im Mai 2022 fand das Microsoft Threat Intelligence Center (MSTIC) eine Adobe Reader Remote Code Execution (RCE) und eine 0-Day Windows Privilege Escalation Exploit Chain, die bei einem Angriff verwendet wurden, der zur Bereitstellung von Subzero führte“.
Microsoft Threat Intelligence Center forscht
Die Exploits wurden in ein PDF-Dokument verpackt, das dem Opfer per E-Mail zugeschickt wurde. Microsoft war nicht in der Lage, den PDF- oder Adobe Reader RCE-Teil der Exploit-Kette zu erwerben, aber die Adobe Reader-Version des Opfers wurde im Januar 2022 veröffentlicht, was bedeutet, dass der verwendete Exploit entweder ein 1-Tages-Exploit war, der zwischen Januar und Mai entwickelt wurde, oder a 0-Day-Exploit. Basierend auf der umfangreichen Nutzung anderer 0-Days durch KNOTWEED gehen wir mit mittlerer Sicherheit davon aus, dass es sich bei Adobe Reader RCE um einen 0-Day-Exploit handelt. Der Windows-Exploit wurde von MSRC analysiert, als 0-Day-Exploit befunden und dann im Juli 2022 als CVE-2022-22047 gepatcht.
Der Angriff mit Subzero hat verschiedene Stadien die den Microsoft Defender-Erkennungsnamen bezeichnen: Jumplump für den persistenten Loader und Corelump für die Haupt-Malware. Microsoft hat dafür einen ausführlichen Blog-Beitrag mit viel technischer Beschreibung.
Mehr bei Microsoft.com
Über Microsoft Deutschland Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind. Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.