Echipele de securitate și informații despre amenințări ale Microsoft au surprins o companie de hackeri din Austria care vinde programe spyware pe baza exploatărilor Windows necunoscute anterior.
Noile detalii au fost publicate miercuri într-o postare de blog tehnică de la Centrul de Informații pentru Amenințări (MSTIC) al Microsoft, publicată pentru a coincide cu mărturia scrisă dată de compania de software la o audiere a Comitetului de Informații al Camerei privind programele spion comerciale și supravegherea cibernetică.
Dezvoltatorul de spyware – numit oficial DSIRF, dar pe care Microsoft îl urmărește sub numele de cod KNOTWEED – a creeat un spyware cunoscut sub numele de Subzero, care a fost folosit pentru a viza firme de avocatură, bănci și firme de consultanță din Marea Britanie, Austria și Panama, a spus Microsoft.
Analiza de la MSTIC a constatat că exploatările utilizate de DSIRF pentru a compromite sistemele includ o exploatare de escaladare a privilegiilor zero-day pentru Windows și un atac de execuție de cod la distanță prin Adobe Reader. Microsoft spune că exploit-ul folosit de DSIRF a fost corectat acum într-o actualizare de securitate și că echipa de hackeri de la firma din Austria nu mai pot profita de aceste vulnerabilități.
DSIRF susține că ajută corporațiile multinaționale să efectueze analize de risc și să colecteze informații de afaceri, dar Microsoft (și alte știri locale) au legat compania de vânzarea de spyware folosit pentru supraveghere neautorizată.
MSTIC a găsit legături multiple între DSIRF și exploit-urile și programele malware utilizate în aceste atacuri. Acestea includ infrastructura de comandă și control utilizată de malware-ul care se leagă direct la DSIRF, un cont GitHub asociat DSIRF utilizat într-un atac, un certificat de semnare a codului emis către DSIRF pentru a semna un exploit și alte rapoarte de știri open-source. atribuind Subzero DSIRF
Microsoft
Noile informații despre urmărirea și atenuarea de către Microsoft a exploatărilor DSIRF / KNOTWEED au fost publicate în același timp cu un document de mărturie scrisă prezentat la audierea privind „Combaterea amenințărilor la adresa securității naționale a Statelor Unite din cauza proliferării programelor spion comerciale străine”, care a avut loc pe 27 iulie.
Mărturia scrisă a Microsoft a descris o industrie de spyware comercială în mare măsură nereglementată, în care actorii privați erau liberi să încheie contracte cu regimuri represive din întreaga lume.
„Cu mai bine de un deceniu în urmă, am început să vedem companii din sectorul privat trecând în acest spațiu de supraveghere sofisticat, în timp ce națiunile autocratice și guvernele mai mici căutau capabilitățile omologilor lor mai mari și mai bine dotați cu resurse”,
„În unele cazuri, companiile își construiau capacități pentru ca guvernele să le folosească în conformitate cu statul de drept și valorile democratice. Dar, în alte cazuri, companiile au început să construiască și să vândă supraveghere ca un serviciu… guvernelor autoritare sau guvernelor care acționau în contradicție cu statul de drept și normele privind drepturile omului.”
se arată în mărturie.
Pentru a combate amenințarea la adresa liberei exprimări și a drepturilor omului, Microsoft susține ca Statele Unite ar trebui să ajute la avansarea dezbaterii despre programul spion ca „armă cibernetică”, care ar putea fi apoi supusă normelor și reglementărilor globale, așa cum sunt alte clase de arme.
În aceeași audiere, Comitetul de Informații a primit o mărturie și de la Carine Kanimba, fiica activistului ruandez încarcerat, Paul Rusesabagina, căruia i sa creditat că a salvat până la 1.200 de ruandezi în genocidul din 1994. În timp ce pledează pentru eliberarea tatălui ei, telefonul lui Kanimba a fost considerat de către cercetători că a fost infectat cu programul spion Pegasus al NSO Group.
„Cu excepția cazului în care există consecințe pentru țările și facilitatorii lor care abuzează de această tehnologie, niciunul dintre noi nu este în siguranță”,
a spus Kanimba.
NSO Group a fost menționat și de cercetătorul Citizen Lab, John Scott-Railton, un alt martor expert care a depus mărturie în fața comisiei. Scott-Railton a descris un peisaj global în schimbare în care accesul la cele mai sofisticate și intruzive tehnici de supraveghere digitală – cândva disponibilă doar pentru câteva state naționale – devine mult mai răspândită datorită implicării „companiilor mercenare de spyware”.
Capacitatea mai mare a acestor instrumente înseamnă că chiar și oficialii americani au mai multe șanse să fie vizați, așa cum se pare că s-a întâmplat cu nouă angajați ai Departamentului de Stat care lucrează în Uganda ale căror iPhone-uri au fost sparte cu Pegasus de la NSO.