Microsoft kom sammen med IT-sikkerhetsselskapet RiskIQ med en rapport hvor det østerrikske selskapet DSIRF utpekes som en PSOA (Private-Sector Offensive Actor), altså en kommersiell aktør med en virksomhet relatert til offensive cyberangrep. Microsoft kaller slike aktører for cyberleiesoldater.
DSIRF, som Microsoft også omtaler med kodenavnet KNOTWEED, skal ha utviklet en skadevare kalt Subzero, som benytter angrepskode som utnytter flere nulldagssårbarheter i både Windows og Adobe-programvare som Reader. Dette inkluderer en sårbarhet som kan utnyttes til å oppnå økte privilegier i Windows. En sikkerhetsfiks til denne sårbarheten ble utgitt tidligere i juli.
Rettede angrep
Subzero-skadevaren skal ha blitt brukt i begrensede og rettede angrep mot Microsoft-kunder i Europa og Sentral-Amerika, inkludert Storbritannia, Panama og Østerrike. Dels skal den ha blitt brukt av tredjeparter, men det har også blitt observert at den har brukt infrastrukturen til DSIRF, noe som kan bety at selskapet har vært direkte involvert i enkelte av angrepene.
I blogginnlegget blir de tekniske funnene presentert. Koblingen til DSIRF omfatter blant annet DSIRF-eide ressurser som skal være brukt i noen av angrepene, inkludert en Github-konto, kommando- og kontrollinfrastruktur, samt et kodesigneringssertifikat brukt til å signere angrepskode. I tillegg vises det til flere tidligere medieoppslag om selskapets virksomhet.
Amerikansk høring
Omtrent samtidig med at blogginnlegget ble publisert, offentliggjorde Microsoft et skriftlig vitnemål til en amerikansk kongresshøring om utenlandsk, kommersiell spionvare.
I vitnemålet skriver Microsoft blant annet at det for mer enn et tiår siden begynte å se selskaper i den private sektoren som begynte å bevege seg i retning av sofistikert overvåking. Dette ble sett i sammenheng med at autokratiske nasjoner og mindre land forsøkte å skaffe seg de samme mulighetene på dette området som de større og bedre utrustede motpartene.
Digi.no har sendt en henvendelse til DSIRF med spørsmål om hvordan selskapet stiller seg til anklagene. Vi har så langt ikke fått noe svar, men vil oppdatere saken dersom vi hører noe.
Selskapet oppgir på sitt nettsted det opererer med total diskresjon knyttet til følsomme prosjekter for globale kunder og markedsledende selskaper. Det nevnes at selskapets ansatte har bransjeledende kunnskaper om blant annet cybersikkerhet, dataanalyse, samt etterretning basert på mennesker og åpne kilder.
