Secondo un blog di Microsoft pubblicato mercoledì, un’azienda austriaca sta utilizzando exploit zero-day e malware per compromettere diverse organizzazioni in Europa e America centrale.
L’azienda in questione è DSIRF, accusata da Microsoft di essere un “attore offensivo del settore privato” (PSOA). Secondo il sito web di DSIRF, l’azienda fornisce test di penetrazione e “servizi su misura nel campo della ricerca di informazioni, della forensica e dell’intelligence basata sui dati a società multinazionali nei settori della tecnologia, della vendita al dettaglio, dell’energia e della finanza“.
Secondo Microsoft, tuttavia, DSIRF è un attore di minacce che conduce “attacchi limitati e mirati” contro le organizzazioni utilizzando le vulnerabilità zero-day di Windows e Adobe e un malware noto come “Subzero“. Uno degli zero-day è CVE-2022-22047, un bug che colpisce il Client Server Runtime Subsystem di Windows, che è stato risolto nell’ambito del Patch Tuesday di questo mese. Microsoft traccia il DSIRF come “KNOTWEED“.
Secondo il gigante tecnologico, le PSOA sono “mercenari informatici” che vendono strumenti o servizi di hacking come parte del loro modello di business. Spesso queste organizzazioni vendono sia l’accesso tramite strumenti di hacking end-to-end, sia il PSOA stesso che conduce le operazioni di hacking offensivo. Un esempio importante di PSOA è il famigerato fornitore di spyware israeliano NSO Group.
Il DSIRF avrebbe combinato i due modelli.
“Sulla base degli attacchi osservati e dei resoconti giornalistici, MSTIC ritiene che KNOTWEED possa fondere questi modelli: vende il malware Subzero a terzi, ma è stato anche osservato utilizzare infrastrutture associate a KNOTWEED in alcuni attacchi, il che suggerisce un coinvolgimento più diretto“, si legge nel post sul blog di Microsoft.
Microsoft non è la prima a notare un collegamento tra DSIRF e la vendita di malware. Il sito di notizie tedesco Netzpolitik si è occupato di Subzero lo scorso dicembre, ad esempio.
Il Microsoft Threat Intelligence Center (MSTIC) ha monitorato l’attività di Subzero tra il 2021 e il 2022 e ha trovato almeno un caso in cui una vittima di Subzero “non aveva commissionato alcun red teaming o penetration test e ha confermato che si trattava di un’attività malevola non autorizzata“. Tra le presunte vittime figurano banche, studi legali e società di consulenza strategica in Paesi come Austria, Panama e Regno Unito.
Microsoft ha dichiarato di aver stabilito “molteplici collegamenti” tra DSIRF e gli exploit zero-day e il malware Subzero.
“Tra questi, l’infrastruttura di comando e controllo utilizzata dal malware che si collega direttamente a DSIRF, l’utilizzo di un account GitHub associato a DSIRF in un attacco, l’utilizzo di un certificato di firma del codice rilasciato a DSIRF per firmare un exploit e altre notizie open-source che attribuiscono Subzero a DSIRF“, ha dichiarato Microsoft.
