Une entreprise autrichienne a profité de failles dans Windows et Adobe pour pirater et espionner des sociétés pour le compte de ses clients.
Des cabinets d’avocats, des banques, des cabinets de conseil en stratégie en Autriche, au Royaume-Uni, ou encore au Panama, tous ces organismes ont été espionnés par une société baptisée DSIRF. Immatriculée en Autriche, cette entreprise exploitait des failles dans Windows et le lecteur de PDF d’Adobe pour collecter des données sur les ordinateurs des victimes. Ce sont les chercheurs du Microsoft Threat Intelligence Center (MSTIC) qui ont détecté ces piratages et identifié leur auteur.
Les outils malveillants, des certificats utilisés et un compte GitHub, ont mené les membres du MSTIC vers cette société qui œuvre dans le cybermercenariat. L’attaque a été baptisée Knotweed par Microsoft. C’est en mai 2022 que le MSTIC a découvert une exécution de code à distance via Adobe Reader. Elle était associée à une faille zero day de Windows maintenant identifiée sous le nom CVE-2022-22047 et corrigée depuis.
Des cybermercenaires
La vulnérabilité permettait l’élévation des privilèges afin de prendre le contrôle de l’ordinateur. La charge utile était un malware développé par DSRIF baptisé SubZero. Il accorde un contrôle total au système compromis. Il était hébergé dans un document PDF ou un fichier Excel doté de macros envoyé à la victime par e-mail.
Qu’une société privée spécialisée dans le cyberespionnage réalise ce genre d’opération n’est pas une nouveauté. Ce fut le cas, l’an dernier, avec l’entreprise israélienne NSO et son logiciel pour mobiles Pegasus qui ciblait les journalistes, les avocats, les personnalités politiques et des militants. Les clients de ces sociétés sont bien souvent des États.