Die von der im Dezmber 2021 ausführlich beschriebene Malware Subzero ausgenutzte Lücke wurde geschlossen. Die Wiener Firma dahinter, von der Microsoft nur mit dem Codenamen "Knotweed" spricht, soll sie sowohl verkauft als auch bei Auftragsarbeiten eingesetzt haben.
Firmen wie The Hacking Team, Zerodium, Quadream oder FinFisher, die Schwachstellen aufspüren oder aufkaufen und damit handeln, sind Herstellern und IT-Sicherheitsexperten seit langem ein Dorn im Auge. Manche Behörden allerdings greifen sogar auf die Dienste solcher Anbieter zurück, da sie selbst nicht in der Lage sind, Sicherheitslücken zu finden, die aber für ihre Aufgaben ausnutzen wollen. Auch diese Praxis wird vielfach stark kritisiert. Denn es ist wahrscheinlich, dass nicht geschlossene Sicherheitslücken irgendwann auch von Kriminellen entdeckt und ausgenutzt werden.
Die Grauzone ist jedoch groß. In dieser Grauzone bewegt sich offenbar auch die österreichische Firma DSIRF, die Microsoft aber als "Knotweed" anspricht - vielleicht, um mit seiner Berichterstattung keine Werbung für das Unternehmen zu machen. Der Konzern bezeichnet solche Unternehmen als Cyber-Söldner beziehungsweise als PSOA (Private Sector Offensive Actor) und hat eine von Knotweed ausgenutzte Zero-Day-Lücke (CVE-2022-22047) in Microsoft-Produkten jetzt geschlossen.
Die von den Österreichern entwickelte Malware "Subzero" wurde Microsoft zufolge für gezielte Angriffe auf seine Kunden ausgenutzt, unter anderem in Österreich, Großbritannien und Panama. DSIRF unterhält Büros in Wien und Liechtenstein und bietet eigener Aussage zufolge "multinationalen Unternehmen aus Technologie, Retail, Energie- und Finanzsektor auf die jeweilige Aufgabe maßgeschneiderte Services im Bereich der Informationsbeschaffung, Forensik sowie der datengetriebenen Aufklärung" an.
Dahinter verbergen sich letztlich Hacking-Tools und Hacking-Services, die unterschiedlich vermarktet werden. Zum Beispiel kann der Kunde die Hacking-Tools erwerben und selbst nutzen oder der Auftraggeber nennt dem Dienstleister exakte Ziele, die der dann möglichst unbemerkt angreift.
Microsoft geht aufgrund seiner Beobachtungen davon aus, dass in dem Fall beides getan wurde: Die als Subzero bezeichnete, offenbar von Knotweed/DSIRF entwickelte Malware sei sowohl verkauft als auch von dem Unternehmen in eigenen Aktionen eingesetzt worden. Die Malware Subzero und die Aktivitäten der Firma DSIRF hatte "Netzpolitik" bereits im Dezember 2021 ausführlich beschrieben. Dabei wurden auch die guten Kontakte des Unternehmens nach Russland aufgedeckt.
Wahrscheinlich auch deshalb hat Microsoft jetzt beim Geheimdienstausschuss des US-Repräsentantenhauses eine schriftliche Aussage (PDF) zu seinem Kampf gegen die Zunahme ausländischer, kommerzieller Spyware eingereicht. Darin beschreibt Microsoft seine Beobachtungen. Demnach verkaufen PSOAs ihre Tools und Services immer häufiger an autoritäre Regierungen, die die Überwachungstechnologie ohne Rücksichtnahme auf Menschenrechte und Gesetze einsetzen. Ganz neu ist das nicht, allerdings scheint die damit verbundene Problematik zuzunehmen. Dass sich auch Behörden demokratischer Staaten - etwa Deutschland - in der Vergangenheit bei solchen Firmen bedienten, wurde von Experten schon länger scharf kritisiert.
Microsoft fordert die Politik nun auf, den Einsatz solcher Tools sowohl in den USA als auch weltweit konsequent zu untersagen und zu bekämpfen. Bereits im vergangenen Jahr hatte Microsoft von ähnlichen Aktivitäten des israelischen Unternehmens Candiru berichtet (von dem es unter der Bezeichnung "Sourgum" spricht). Alle Knotweed zugeordneten Aktivitäten und welche Schwachstellen in Adobe- und Microsoft-Produkten dafür ausgenutzt wurden, schildert Microsoft ausführlich hier.