Microsoft geht gegen Wiener Spionage-Software „SubZero“ vor
Windows-Macher Microsoft hat heute international viel Aufsehen auf eine unscheinbare Wiener Firme gelenkt. Es handelt sich um die DSIRF GmbH (kurz für „Decision Supporting Information Research Forensic“), die unter dem Namen Decknamen KNOTWEED die Spionage-Software SubZero verkauft haben soll. Sie soll dazu genutzt worden sein, um Windows-Nutzer in Europa und Zentralamerika anzugreifen.
In einem (sehr technischen) Blog-Post schildern das Microsoft Threat Intelligence Center (MSTIC) und das Microsoft Security Response Center (MSRC), wie mit der Malware mehrere Windows- and Adobe-Sicherheitslücken (0-day exploits) missbraucht wurden, um in Computer-Systeme einzudringen. Durch einen Patch für Windows sowie Neuerungen bei „Microsoft Defender Antivirus“ und „Microsoft Defender“ sei es gelungen, Maßnahmen gegen SubZero zu ergreifen.
„Zu den bisher beobachteten Opfern gehören Anwaltskanzleien, Banken und strategische Beratungsunternehmen in Ländern wie Österreich, dem Vereinigten Königreich und Panama“, heißt es seitens Microsoft. DSIRF GmbH würde die Geschäftsmodelle „Access as a Service“ and „hack for hire“ betreiben. „Sie verkaufen die Subzero-Malware an Dritte, wurden aber auch dabei beobachtet, wie sie bei einigen Angriffen eine mit KNOTWEED assoziierte Infrastruktur nutzten, was auf eine direktere Beteiligung hindeutet.“ Die österreichische Firma soll also nicht bloß die Malware verkaufen, sondern sich selbst aktiv an den Attacken beteiligen, so der Vorwurf.
Zwischen Wirecard und Russland
Das Wiener Unternehmen, hinter dem ein Firmengeflecht, das bis nach Liechtenstein führt, steckt, will eine „Reihe hochentwickelter Techniken für die Sammlung und Analyse von Informationen“ bieten. „In den zunehmend komplexen und voneinander abhängigen globalen Märkten von heute sind Informationen zur wichtigsten Währung geworden, die über den Erfolg oder Misserfolg eines jeden Unternehmens entscheidet. Der Wert dieser Währung hat in Zeiten des wirtschaftlichen Aufschwungs ebenso zugenommen wie in Rezessionen oder Krisen“, heißt es.
SubZero ist bereits im Zuge des Wirecard-Skandal in Mails zwischen dem Generalsekretär der Russisch-Österreichischen Freundschaftsgesellschaft, Florian Stermann, und dem weiterhin flüchtigen Jan Marsalek aufgetaucht. Marsalek (er soll sich bei Moskau verstecken) schickte Stermann ein Pitchdeck zu der Malware, die bei der „Enttarnung fremder Informationskriegstaktiken“ helfen könne. Der Unternehmer hinter DSIRF, Peter Dietenberger, soll europäischen Firmen geholfen haben, in Russland Geschäfte zu machen. Mehrere weitere Kooperationspartner und Kunden von DSIRF haben gute Drahte nach Russland.
Bei Netzpolitik.org wird SubZero als Staatstrojaner bezeichnet. Mit ihr ließen sich Passwörter extrahieren, Screenshots anfertigen, aktuelle und frühere Standorte anzeigen sowie „auf Dateien des Zielcomputers zugreifen, sie herunterladen, ändern und hochladen“ – alles, was man zur Überwachung einer Person so braucht. 2021 soll sogar Deutschland für die deutsche Hacker-Behörde ZITiS geprüft haben, die Malware zu kaufen.
Wie gut die Hacking-Software nun nach dem Schließen der Sicherheitslücken bei Windows funktionieren wird, bleibt abzuwarten.
