Миналата седмица Microsoft заяви, че базирана в Австрия компания на име DSIRF е използвала множество уязвимости от типа zero-days в Windows и Adobe Reader, за да хакне организации, разположени в Европа и Централна Америка. В медиите се появиха множество публикации, свързващи DSIRF със Subzero, злонамерен набор от инструменти за „автоматизирано ексфилтриране на чувствителни/лични данни“ и „специализирани операции за достъп [включително] идентифициране, проследяване и проникване на заплахи”.
Членове на Microsoft Threat Intelligence Center (MSTIC) заявиха, че са открили инфекции със злонамерен софтуер Subzero, разпространявани чрез различни методи, включително експлоатация на това, което по онова време е zero-days на Windows и Adobe Reader, което означава, че нападателите са знаели за уязвимостите преди Microsoft и Adobe. Целите на атаките, наблюдавани до момента, включват адвокатски кантори, банки и стратегически консултантски компании в страни като Австрия, Обединеното кралство и Панама, въпреки че това не са непременно локациите, в които са пребивавали клиентите на DSIRF, платили за атаката. „MSTIC откри множество връзки между DSIRF и експлойтите и зловреден софтуер, използвани в тези атаки“, пишат изследователите на Microsoft. „Те включват инфраструктура за командване и контрол, използвана от злонамерения софтуер, който се свързва директно с DSIRF, асоцииран с DSIRF GitHub акаунт, използван в една атака, сертификат за подписване на код, издаден на DSIRF, използван за подписване на експлойт, и други новинарски доклади с отворен код, приписвайки Subzero на DSIRF.“ Microsoft използва термина PSOA, за да опише кибер наемници като DSIRF. Компанията каза, че повечето PSOA работят по един или двата модела. Първият, достъпът като услуга, продава пълни инструменти за хакване от край до край на клиенти за използване в техните собствени операции. При другия модел, хакване под наем, PSOA извършва сама целевите операции.
Снимки: Unsplash
Виж още: Бил Гейтс пак ще раздава цялото си богатство, което не спира да расте