SKADEVARE

Microsoft peker ut østerriksk selskap som digitale leiesoldater

Hevder selskapet står bak fersk skadevare brukt i rettede angrep.

Slik ønsker DSIRF besøkende velkommen til selskapets nettsted.
Slik ønsker DSIRF besøkende velkommen til selskapets nettsted. Skjermbilde: Digi.no
Harald BrombachHarald BrombachNyhetsleder
29. juli 2022 - 12:00

Microsoft kom sammen med IT-sikkerhetsselskapet RiskIQ med en rapport hvor det østerrikske selskapet DSIRF utpekes som en PSOA (Private-Sector Offensive Actor), altså en kommersiell aktør med en virksomhet relatert til offensive cyberangrep. Microsoft kaller slike aktører for cyberleiesoldater.

DSIRF, som Microsoft også omtaler med kodenavnet KNOTWEED, skal ha utviklet en skadevare kalt Subzero, som benytter angrepskode som utnytter flere nulldagssårbarheter i både Windows og Adobe-programvare som Reader. Dette inkluderer en sårbarhet som kan utnyttes til å oppnå økte privilegier i Windows. En sikkerhetsfiks til denne sårbarheten ble utgitt tidligere i juli.

Rettede angrep

Subzero-skadevaren skal ha blitt brukt i begrensede og rettede angrep mot Microsoft-kunder i Europa og Sentral-Amerika, inkludert Storbritannia, Panama og Østerrike. Dels skal den ha blitt brukt av tredjeparter, men det har også blitt observert at den har brukt infrastrukturen til DSIRF, noe som kan bety at selskapet har vært direkte involvert i enkelte av angrepene. 

– Det har vært mange store ord om KI i det siste. Nå er det på tide å snu oppmerksomheten til fagfolkene våre, sette i gang med utprøving og se om vi finner områder der KI og annen spennende teknologi kan gi oss gevinster, skriver Skatteetatens IT-direktør Jørn Leonhardsen.
Les også

Digitalisering: Mer styring fra toppen er feil svar

I blogginnlegget blir de tekniske funnene presentert. Koblingen til DSIRF omfatter blant annet DSIRF-eide ressurser som skal være brukt i noen av angrepene, inkludert en Github-konto, kommando- og kontrollinfrastruktur, samt et kodesigneringssertifikat brukt til å signere angrepskode. I tillegg vises det til flere tidligere medieoppslag om selskapets virksomhet. 

Amerikansk høring

Omtrent samtidig med at blogginnlegget ble publisert, offentliggjorde Microsoft et skriftlig vitnemål til en amerikansk kongresshøring om utenlandsk, kommersiell spionvare. 

I vitnemålet skriver Microsoft blant annet at det for mer enn et tiår siden begynte å se selskaper i den private sektoren som begynte å bevege seg i retning av sofistikert overvåking. Dette ble sett i sammenheng med at autokratiske nasjoner og mindre land forsøkte å skaffe seg de samme mulighetene på dette området som de større og bedre utrustede motpartene. 

Digi.no har sendt en henvendelse til DSIRF med spørsmål om hvordan selskapet stiller seg til anklagene. Vi har så langt ikke fått noe svar, men vil oppdatere saken dersom vi hører noe. 

Selskapet oppgir på sitt nettsted det opererer med total diskresjon knyttet til følsomme prosjekter for globale kunder og markedsledende selskaper. Det nevnes at selskapets ansatte har bransjeledende kunnskaper om blant annet cybersikkerhet, dataanalyse, samt etterretning basert på mennesker og åpne kilder. 

Direktør Yoshiki Enomoto i Icom Inc viser fram selskapets utgåtte IC-VC82-modell, tilsynelatende den walkietalkie-modellen som Hizbollah kjøpte for fem måneder siden. Men Icom sluttet å produsere disse i 2014.
Les også

Reuters: Enkelt å kompromittere forsyningskjeden til elektronikk

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra