Los investigadores de amenazas de Microsoft acusaron a una empresa austriaca llamada DSIRF de explotar múltiples exploits de día cero en Windows y Adobe para implementar un malware llamado Subzero contra objetivos en Europa, incluido el Reino Unido, y América Central.
DSIRF, con sede en Viena, se describió a sí mismo como proveedor de servicios “a la medida de la misión” en investigación de información, análisis forense e inteligencia basada en datos para clientes multinacionales en los sectores de energía, servicios financieros, comercio minorista y tecnología. Entre los servicios que ofrece se encuentran la debida diligencia y el análisis de riesgos para los activos críticos de sus clientes, incluidos los servicios de pruebas de penetración del equipo rojo.
Pero el Centro de Inteligencia de Amenazas de Redmond (MSTIC) describió a DSIRF como un “actor ofensivo del sector privado” o PSOA, y dijo que aprovechó CVE-2022-22047, un día cero en el Proceso de tiempo de ejecución del servidor de cliente de Windows (CSRSS) que fue parcheado en la actualización del martes de parches de julio de 2022.
También acusó a DSIRF de haber explotado previamente dos vulnerabilidades de escalada de privilegios de Windows y una vulnerabilidad de Adobe Reader, todas las cuales fueron parcheadas el año pasado, y una vulnerabilidad de escalada de privilegios en Windows Update Medic Service.
MSTIC dijo que los PSOA como DSIRF, que ahora está rastreando como Knotweed en su matriz de actores de amenazas, se ganan la vida vendiendo herramientas de piratería completas de extremo a extremo al comprador, similar a cómo opera la deshonrada empresa israelí de spyware NSO, o mediante la ejecución de operaciones de piratería ofensivas en sí mismo.
En el caso de Knotweed, dijo MSTIC, el PSOA puede combinar ambos modelos. “Venden el malware Subzero a terceros, pero también se ha observado que utilizan la infraestructura asociada a Knotweed en algunos ataques, lo que sugiere una participación más directa”, escribió el equipo.
MSTIC dijo que había encontrado múltiples vínculos entre DSIRF y los ataques de Knotweed que sugieren que son lo mismo. Por ejemplo, se ha observado que el actor de amenazas utiliza la infraestructura de comando y control (C2) vinculada a DSIRF en algunos casos, así como una cuenta de GitHub asociada a DSIRF y un certificado de firma de código que se emitió a DSIRF.
Todo esto sugiere que DSIRF ha tenido una participación directa en los ataques cibernéticos, alegó MSTIC.
MSTIC dijo que había encontrado evidencia del despliegue de Subzero contra bufetes de abogados, bancos y consultorías en varios países durante los últimos dos años, y en el curso de sus comunicaciones con una víctima, se enteró de que no había encargado a DSIRF que realizara ningún tipo de red. equipo o pruebas de penetración, y que la intrusión fue maliciosa.
Ya sea que emane de DSIRF o no, hay una serie de acciones que los defensores pueden tomar para protegerse contra Knotweed y Subzero.
Como primer paso, los defensores deben priorizar la aplicación de parches de CVE-2022-22047 si aún no lo han hecho, y confirmar que Microsoft Defender Antivirus esté actualizado a 1.371.503.0 o posterior para detectar indicadores relacionados, todos los cuales están disponibles para leer. Aviso de divulgación de MSTIC.
También pueden verificar de manera útil la configuración de seguridad de sus macros de Excel para controlar qué macros se ejecutan en qué circunstancias, ya que se sabe que Subzero llega en forma de un archivo de Excel malicioso, habilita la autenticación multifactor, lo que las organizaciones deberían hacer por supuesto. y revisar la actividad de autenticación para la infraestructura de acceso remoto.
El título hermano de Computer Weekly, SearchSecurity, se puso en contacto con DSIRF, pero la organización no respondió a las solicitudes de comentarios.
La divulgación de Microsoft coincide con el testimonio escrito de Cristin Flynn Goodwin, su gerente general y asesor general asociado, ante el Comité Permanente de Inteligencia de la Cámara de Representantes del gobierno de EE. UU., que está investigando las amenazas a la seguridad que plantean las operaciones comerciales de malware como NSO y, supuestamente, ahora DSIRF.
“Hace más de una década, comenzamos a ver empresas del sector privado que ingresan a este sofisticado espacio de vigilancia a medida que las naciones autocráticas y los gobiernos más pequeños buscaban las capacidades de sus contrapartes más grandes y con mejores recursos”, dijo Goodwin.
“En algunos casos, las empresas estaban desarrollando capacidades para que los gobiernos las usaran de acuerdo con el estado de derecho y los valores democráticos. Pero en otros casos, las empresas comenzaron a construir y vender vigilancia como un servicio a gobiernos que carecían de la capacidad para construir estas herramientas técnicamente complejas, incluso a gobiernos autoritarios o gobiernos que actuaban de manera inconsistente con el estado de derecho y las normas de derechos humanos.
“Vemos empresas del sector privado que persiguen la adquisición de vulnerabilidades recientemente descubiertas y desarrolladas de forma privada (vulnerabilidades de día cero) y luego las utilizan para desarrollar capacidades únicas para obtener acceso a los sistemas sin el consentimiento del usuario. Luego, estas empresas venden estos exploits o brindan servicios de vigilancia y exploits relacionados a los gobiernos u ofrecen potencialmente estos servicios a empresas con fines de espionaje industrial.
“Una vez que se explotan nuevas vulnerabilidades o se desarrollan capacidades para obtener acceso a los sistemas sin el consentimiento del usuario, otros actores pueden repetir el ejercicio rápidamente”.
Goodwin dijo que Microsoft había abogado durante mucho tiempo por “regímenes legales y normativos claros” para regular dicha tecnología para prohibir los abusos de los derechos humanos y permitir la investigación de seguridad legítima.
“El espionaje cibernético no solo erosiona los derechos de la persona objetivo, sino que con frecuencia también pone en riesgo la seguridad del ecosistema en línea”, dijo.
“La industria del spyware comercial se ha convertido en una industria estimada en más de $ 12 mil millones en valor y probablemente aumentará. Los investigadores de seguridad cibernética, las ONG, los periodistas y las empresas han descubierto abusos inquietantes y, a veces, trágicos de la tecnología, incluidos los ataques contra disidentes, periodistas, abogados y trabajadores de derechos humanos, políticos e incluso familiares de objetivos, incluidos niños.
“Acogemos con beneplácito el enfoque del Congreso sobre los riesgos y abusos que enfrenta el mundo por el uso sin escrúpulos de las tecnologías de vigilancia”.
