Le dernier post de blog de l’équipe sécurité de Microsoft ne s’embarrasse pas de pincette. L’éditeur dénonce l’exploitation de plusieurs vulnérabilités de Windows et d’Adobe Redaer par un malware, Subzero, développé voire opéré par un acteur malveillant, Knotweed, qui se trouve être une société autrichienne on ne peut plus légale.
On associe souvent les mercenaires cyber à des Etats peu ou pas amicaux, ou à Israël. Pourtant ce n’est ni NSO, ni Candiru, ni les Russes, ni les Iraniens qui ont attaqué des cabinets d'avocats, des banques et des consultants en stratégie en Autriche, au Royaume-Uni ou encore Panama. A en croire un post de blog de Microsoft, c’est une société autrichienne, enregistrée, disposant d’un numéro de TVA… bref, une entreprise en apparence légale, répondant au nom de DSIRF, mais affublée du pseudo Knotweed par l'éditeur. A raison, car ses activités semblent particulièrement floues.
Si la société se dit aujourd’hui autrichienne avec des bureaux également au Liechtenstein, en 2019, elle était Suisse et présente à Vienne, Zurich et Moscou. D’ailleurs, elle ne s’attachait pas à l’époque à ses seules activités de reconnaissance biométrique et d’intelligence économique. « Notre équipe est très diversifiée, avec des compétences de pointe en matière de cybersécurité, d'analyse de données, d'intelligence humaine (HUMINT) et d'intelligence en source ouverte (OSINT) » écrivait DSIRF il y a quelques années. Ah, et elle était également spécialisée, fut un temps, en analyses électorales.
Un malware efficace
Quel est donc la véritable activité de cette entreprise ? Pour Microsoft, il s’agit d’un Private Sector Offensive Actor, au même titre que Candiru ou NSO Group. DSIRF, ou Knotweed, est selon Redmond l’éditeur d’une programme malveillant, Subzero, que la société fournit à ses clients, voire ne l’exploite pas elle-même pour leur compte. Et si DSIRF assure se livrer à du « Red Teaming », une activité tout ce qu’il y a de plus légal, Microsoft indique qu’une victime de Subzero lui a confirmé ne jamais avoir commandé ce type de services, et avoir identifié l’attaque non comme un pentest mais comme « une activité malveillante non autorisée ».
Subzero est un petit futé. Très modulaire, il ne s’installe que dans la mémoire vive de l’appareil infecté, évitant ainsi une bonne partie des mesures de détection classique. Ensuite, c’est open bar : le malware contient des fonctionnalités de keylogger, de captures d’écran, d’exécution de code à distance ou encore d’exfiltration de fichiers. Il se répand notamment par le biais de macros contenus dans des fichiers Excel et exploitent au moins trois vulnérabilités de Windows et deux d’Adobe PDF Reader pour monter en privilège.