Microsoft обвиняет австрийскую компанию в атаках на юридические фирмы и банки
Базирующаяся в Вене DSIRF (Decision Supporting Information Research Forensic) относится к категории кибер-наемников, которые продают хакерские инструменты или услуги с помощью различных бизнес-моделей и выполняют целевые атаки по заказу.
Microsoft утверждает, что у нее есть доказательства того, что DSIRF продает вредоносное ПО Subzero третьим сторонам, кроме того в некоторых атаках она использует собственную инфраструктуру, что предполагает прямое участие, пишет Reuters.
Subzero — вредоносное программное обеспечение, предназначенное для шпионажа или кражи информации с устройства цели, которое использует так называемые эксплойты нулевого дня для доступа к конфиденциальной информации, такой как пароли или учетные данные для входа в систему.
По словам исследователей атаки велись на юридические фирмы, банки и стратегические консалтинговые компании в таких странах, как Австрия, Великобритания и Панама.
В межгрупповой документации от Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) указано, что австрийский злоумышленник стоял за атаками нулевого дня с использованием CVE-2022-22047, недавно исправленного дефекта безопасности в подсистеме выполнения клиент/сервер Windows (csrss.exe)
Эксплойты нулевого дня — это серьезные недостатки программного обеспечения, представляющие большую ценность как для хакеров, так и для шпионов, поскольку они работают, даже если программное обеспечение получило обновление.
Некоторые фирмы, занимающиеся кибербезопасностью, разрабатывают такие инструменты для развертывания наряду с обычным пентестом или тестированием на проникновение, чтобы проверить защиту компании от вредоносных атак.
«Взаимодействие Microsoft с жертвой подтвердило, что она не давала согласия на использование Red Team и развертывание вредоносных программ, и что это была несанкционированная деятельность», — сообщила Reuters генеральный менеджер Microsoft Security Unit Кристин Гудвин.
Согласно копии внутренней презентации, опубликованной в прошлом году немецким новостным сайтом Netzpolitik, DSIRF рекламирует Subzero как инструмент «кибервойны следующего поколения», который может получить полный контроль над компьютером цели, украсть пароли и раскрыть его местоположение.
Выводы Microsoft были сделаны в то время, когда Соединенные Штаты и Европа обдумывают ужесточение правил в отношении поставщиков шпионского ПО, быстрорастущей и недостаточно регулируемой мировой индустрии, а также после того, как было обнаружено, что шпионское ПО Pegasus, разработанное израильским NSO, использовалось правительствами для слежки за журналистами и диссиденты.
В мае этого года группы реагирования Microsoft заявили, что они также обнаружили удаленное выполнение кода Adobe Reader (RCE) и цепочку эксплойтов нулевого дня для повышения привилегий Windows, которые использовались в атаке с развертыванием вредоносного ПО Subzero.
Эксплойты австрийской компании также связаны с двумя эксплойтами повышения привилегий Windows (CVE-2021-31199 и CVE-2021-31201), которые использовались в тандеме с эксплойтом Adobe Reader (CVE-2021-28550) в 2021 году.
Microsoft рекомендовала пользователям ускорить развертывание обновлений безопасности за июль 2022 года, чтобы защитить свои системы от эксплойтов, использующих CVE-2022-22047. Антивирусная программа Microsoft Defender и Microsoft Defender также внедрили средства обнаружения вредоносных программ и инструментов вредоносного ПО.
Индустрия кибернаемников была в центре внимания в течение всего года, а крупные технологические поставщики — Microsoft, Facebook*, Apple и Google — лидировали в исследовательских отчетах по кибербезопасности.
*Facebook - социальная сеть, запрещенная в РФ