microsoft:-dsirf-vende-il-malware-subzero

Microsoft: DSIRF vende il malware Subzero

Secondo Microsoft, DSIRF sta sfruttando diversi zero-day di Windows e Adobe che hanno colpito organizzazioni in Europa e America centrale.

Di cosa si occupa l’azienda austriaca DSIRF

Le unità di intelligence sulle minacce e di risposta alla sicurezza del gigante tecnologico hanno collegato una serie di cyberattacchi a un attore di minacce chiamato “Knotweed”. È meglio conosciuto come la società di raccolta di informazioni con sede a Vienna, Decision Supporting Information Research Forensic, o DSIRF.

Sul suo sito web, DSIRF afferma la sua fondazione nel 2016. Ma sostiene di avere oltre due decenni di esperienza nella fornitura di “informazioni guidate dai dati a società multinazionali nei settori della tecnologia, della vendita al dettaglio, dell’energia e della finanza”. Oltre a offrire test red team, in cui si concede il permesso agli hacker di trovare e sfruttare le vulnerabilità della sicurezza durante i test dei prodotti.

Il rapporto di Microsoft 

Nel suo rapporto Microsoft ha dichiarato che Knotweed è attivo almeno dal 2020 e ha sviluppato uno spyware – soprannominato Subzero. Questo consente ai suoi clienti di introdursi in modo remoto e silenzioso nel computer e nel telefono. Ma anche nell’infrastruttura di rete e nei dispositivi connessi a Internet di una vittima.

Subzero è simile per funzionalità a Pegasus di NSO Group e a DevilsTongue di Candiru ed è spesso utilizzato dai governi per monitorare giornalisti, attivisti e difensori dei diritti umani.

Secondo una copia di una presentazione interna pubblicata da Netzpolitik nel 2021, DSIRF pubblicizza Subzero come uno strumento di “guerra informatica di nuova generazione” in grado di prendere il pieno controllo del PC di un obiettivo, rubare le password e rivelare la sua posizione in tempo reale. 

Il rapporto sostiene che DSIRF, che a quanto pare ha legami con il governo russo, ha pubblicizzato il suo strumento per l’uso durante le elezioni presidenziali statunitensi del 2016. Il rapporto afferma che anche la Germania stava valutando l’acquisto e l’utilizzo di Subzero per i suoi servizi di polizia e di intelligence.

DSIRF vende il malware Subzero, ma non solo 

Microsoft osserva che, oltre a vendere il malware Subzero, DSIRF – alias Knotweed – è stato osservato utilizzare la propria infrastruttura in alcuni degli attacchi. Suggerendo, così, un coinvolgimento più diretto nel colpire le vittime. Queste includevano studi legali, banche e società di consulenza strategica con vittime note in Austria, Panama e Regno Unito.

Ma il gigante tecnologico ha dichiarato di aver confermato a una vittima presa di mira da Subzero. Questa “non aveva commissionato alcun red teaming o penetration test”. E che l’attività era non autorizzata e dannosa.

Secondo il rapporto, Subzero è distribuito attraverso una serie di vettori, tra cui molteplici exploit zero-day in Windows e Adobe. Tra questi, la falla CVE-2022-22047, recentemente patchata, un bug nel sottosistema runtime client-server di Windows (CSRSS), che può essere utilizzato per ottenere un livello di accesso al dispositivo della vittima superiore a quello dell’utente loggato. Microsoft ha dichiarato di aver corretto almeno quattro zero-days utilizzati da DSIRF a partire dal 2021.

Knotweed ha anche incorporato macro-dannose in documenti Excel. Questi includevano malware di secondo livello nascosto all’interno di un’immagine JPEG dall’aspetto regolare ma di dimensioni “anomale”, camuffata da meme. Le macro sono un modo comune per gli attori malintenzionati di ottenere l’accesso per distribuire malware e ransomware. Ma Microsoft le ha recentemente bloccate nelle applicazioni Office per impostazione predefinita.

Come difendersi da questi attacchi?

Per difendersi da questi attacchi, Microsoft raccomanda alle aziende di:

  • applicare la patch CVE-2022-22047
  • Mantenere aggiornato il software antivirus 
  • Attivare l’autenticazione multifattoriale

Il gigante tecnologico chiede inoltre che si intraprendano ulteriori azioni contro i produttori di spyware. Avvertendo che DSIRF non sarà l’ultimo cyber mercenario a venire alla luce.

“Vediamo sempre più spesso [attori offensivi del settore privato] che vendono i loro strumenti a governi autoritari che agiscono in modo incoerente con lo stato di diritto e le norme sui diritti umani, dove vengono utilizzati per colpire i sostenitori dei diritti umani, i giornalisti, i dissidenti e altre persone coinvolte nella società civile”, ha dichiarato Chris Goodwin, direttore generale della Digital Security Unit di Microsoft. 

“Accogliamo con favore l’attenzione del Congresso per i rischi e gli abusi che tutti noi collettivamente affrontiamo a causa dell’uso senza scrupoli delle tecnologie di sorveglianza. E incoraggiamo la regolamentazione per limitare il loro uso sia qui negli Stati Uniti che in altre parti del mondo”.

Greta Kapllani

Sono una ragazza albanese con una forte passione per le lingue e ciò che la comunicazione può creare se usata in modo strategico. Nel tempo libero mi piace leggere e scrivere poesie in lingue diverse.

Scopri tutti gli articoli di Greta Kapllani

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.