Die Vorwürfe des Softwarekonzerns gegen die Wiener IT-Firma wiegen schwer: Microsoft zufolge soll DSIRF sogenannte Zero-Day-Lücken ausgenutzt haben, mit deren Hilfe Nutzer:innen der hauseigenen Schadsoftware Subzero Malware-Angriffe in Europa und Mittelamerika durchgeführt hätten. Zero-Day-Lücken sind Sicherheitslücken in Softwaresystemen, die deren Herstellern noch nicht bekannt sind – und daher auch nicht schnell geschlossen werden können. Hacker:innen, die davon Kenntnis haben, können diese aber ausnutzen.
Subzero: Hacker:innen nutzen Zero-Day-Lücken
Microsoft erklärt, dass die Sicherheitsexpert:innen seines Microsoft Threat Intelligence Center (MSTIC) zahlreiche Angriffe von Subzero festgestellt habe, die insbesondere Zero-Day-Lücken in Windows und dem Adobe Reader ausgenutzt hätten. Konkret betroffen von den Cyberattacken sollen Anwaltskanzleien, Banken und Unternehmensberater in Österreich, Großbritannien und Panama gewesen sein, wie der Standard berichtet. Nicht bekannt gegeben hat Microsoft, von welchen Ländern aus die Cyberangriffe durchgeführt wurden. Auch die Namen der angegriffenen Firmen sind nicht bekannt.
Als Beweis für eine Verbindung zwischen DSIRF und den Malware-Angriffen führt das MSTIC ein angeblich mit dem Unternehmen in Zusammenhang stehendes Github-Konto an, das bei einem der Angriffe verwendet worden sein soll. Zudem soll ein verwendetes Zertifikat für DSIRF ausgestellt worden und Infrastruktur des Unternehmens genutzt worden sein. Microsoft geht davon aus, dass DSIRF, von dem Konzern als „Cyber-Söldner“ bezeichnet, die Subzero-Malware an Dritte verkauft. Die IT-Firma soll aber auch ihre Infrastruktur für Angriffe zur Verfügung gestellt, oder selbst für Angriffe genutzt haben.
Der Staatstrojaner und die Russland-Connection
DSIRF ist keine Unbekannte. Schon Ende 2021 hatte ein geleaktes Firmenvideo für Aufsehen gesorgt, in dem das Unternehmen seine Dienstleistungen vorstellt. Netzpolitik.org wertete Subzero als „Staatstrojaner“, der entwickelt worden sei, „um Rechner und Smartphones zu hacken und zu überwachen“. Besonders pikant angesichts der aktuellen politischen Entwicklungen: DSIRF soll enge Kontakte nach Russland haben. Der Focus schrieb damals unter Bezugnahme auf die in der – eigentlich geheimen – Präsentation genannten Kunden-/Referenzliste: „Alle Spuren führen nach Moskau“.
Die aktuellen Enthüllungen sollen Microsoft zufolge vor allem Partnerfirmen und Kund:innen als Warnung dienen, um speziell nach möglichen Subzero-Attacken Ausschau zu halten. Unbedingt, so Microsoft, sollten die Sicherheitsupdates vom Juli 2022 durchgeführt werden, um eine der ausgenutzten Sicherheitslücken zu schließen. Darüber hinaus soll Microsofts Sicherheitssoftware Defender Malware und Tools erkennen können, mit denen sich Subzero Zugriff auf IT-Systeme verschaffen könnte.
DSIRF weist Vorwürfe „entschieden“ zurück
Gegenüber der Futurezone hat sich DSIRF zu den Vorwürfen geäußert. Demnach sei Subzero „ausschließlich zur behördlichen Anwendung in Staaten der EU“ entwickelt worden. Die Software werde „weder gewerblich angeboten, verkauft noch zur Benutzung bereitgestellt“. Außerdem verwehre sich das Unternehmen „mit aller Entschiedenheit gegen den Eindruck, Subzero-Software missbräuchlich verwendet zu haben“. Jetzt soll ein unabhängiger Gutachter die Vorwürfe aufklären. In die Abläufe rund um Subzero soll eine interne Untersuchung Licht bringen.