Microsoft обвиняет австрийскую компанию в атаках на юридические фирмы и банки

Логотип компании
27.07.2022
Microsoft обвиняет австрийскую компанию в атаках на юридические фирмы и банки
Исследователи безопасности из Microsoft заявили, что за серией цифровых вторжений в банки, юридические фирмы и стратегические консалтинговые компании как минимум в трех странах стояла австрийская фирма стояла DSIRF.

Базирующаяся в Вене DSIRF (Decision Supporting Information Research Forensic) относится к категории кибер-наемников, которые продают хакерские инструменты или услуги с помощью различных бизнес-моделей и выполняют целевые атаки по заказу.

Microsoft утверждает, что у нее есть доказательства того, что DSIRF продает вредоносное ПО Subzero третьим сторонам, кроме того в некоторых атаках она использует собственную инфраструктуру, что предполагает прямое участие, пишет Reuters.

Subzero — вредоносное программное обеспечение, предназначенное для шпионажа или кражи информации с устройства цели, которое использует так называемые эксплойты нулевого дня для доступа к конфиденциальной информации, такой как пароли или учетные данные для входа в систему.

По словам исследователей атаки велись на юридические фирмы, банки и стратегические консалтинговые компании в таких странах, как Австрия, Великобритания и Панама.

В межгрупповой документации от Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) указано, что австрийский злоумышленник стоял за атаками нулевого дня с использованием CVE-2022-22047, недавно исправленного дефекта безопасности в подсистеме выполнения клиент/сервер Windows (csrss.exe)

Эксплойты нулевого дня — это серьезные недостатки программного обеспечения, представляющие большую ценность как для хакеров, так и для шпионов, поскольку они работают, даже если программное обеспечение получило обновление.

Некоторые фирмы, занимающиеся кибербезопасностью, разрабатывают такие инструменты для развертывания наряду с обычным пентестом или тестированием на проникновение, чтобы проверить защиту компании от вредоносных атак.

«Взаимодействие Microsoft с жертвой подтвердило, что она не давала согласия на использование Red Team и развертывание вредоносных программ, и что это была несанкционированная деятельность», — сообщила Reuters генеральный менеджер Microsoft Security Unit Кристин Гудвин.

Согласно копии внутренней презентации, опубликованной в прошлом году немецким новостным сайтом Netzpolitik, DSIRF рекламирует Subzero как инструмент «кибервойны следующего поколения», который может получить полный контроль над компьютером цели, украсть пароли и раскрыть его местоположение.

Выводы Microsoft были сделаны в то время, когда Соединенные Штаты и Европа обдумывают ужесточение правил в отношении поставщиков шпионского ПО, быстрорастущей и недостаточно регулируемой мировой индустрии, а также после того, как было обнаружено, что шпионское ПО Pegasus, разработанное израильским NSO, использовалось правительствами для слежки за журналистами и диссиденты.

В мае этого года группы реагирования Microsoft заявили, что они также обнаружили удаленное выполнение кода Adobe Reader (RCE) и цепочку эксплойтов нулевого дня для повышения привилегий Windows, которые использовались в атаке с развертыванием вредоносного ПО Subzero.

Эксплойты австрийской компании также связаны с двумя эксплойтами повышения привилегий Windows (CVE-2021-31199 и CVE-2021-31201), которые использовались в тандеме с эксплойтом Adobe Reader (CVE-2021-28550) в 2021 году.

Microsoft рекомендовала  пользователям ускорить развертывание обновлений безопасности за июль 2022 года, чтобы защитить свои системы от эксплойтов, использующих CVE-2022-22047. Антивирусная программа Microsoft Defender и Microsoft Defender также внедрили средства обнаружения вредоносных программ и инструментов вредоносного ПО. 

Индустрия кибернаемников была в центре внимания в течение всего года, а крупные технологические поставщики — Microsoft, Facebook*, Apple и Google — лидировали в исследовательских отчетах по кибербезопасности.

*Facebook - социальная сеть, запрещенная в РФ

Похожие статьи