Oostenrijks spionagebedrijf beschuldigd door Microsoft zegt dat hacking tool voor EU-staten was

Een Oostenrijks bedrijf dat volgens Microsoft kwaadaardige software heeft gemaakt die op de computersystemen van sommige van zijn klanten in ten minste drie landen is ontdekt, heeft gezegd dat zijn spionage-instrument "Subzero" alleen voor officieel gebruik in EU-landen was bestemd.

Woensdag zei Microsoft dat de firma, DSIRF, de spionagesoftware, of spyware -- waarmee toegang kan worden verkregen tot vertrouwelijke informatie zoals wachtwoorden of inloggegevens -- had ingezet bij een niet nader genoemd aantal niet nader genoemde banken, advocatenkantoren en strategische adviesbureaus.

"Subzero is software van het Oostenrijkse DSIRF GesmbH, die uitsluitend is ontwikkeld voor officieel gebruik in de staten van de EU. Het wordt niet aangeboden, verkocht of beschikbaar gesteld voor commercieel gebruik," zei DSIRF in een verklaring per e-mail.

"In het licht van de door Microsoft beschreven feiten verwerpt DSIRF resoluut de indruk dat het de Subzero-software misbruikt zou hebben," voegde het eraan toe.

Het was niet duidelijk welke regeringen van de EU-lidstaten, als die er al waren, het programma gebruikten. DSIRF heeft niet gereageerd op verzoeken om verder commentaar.

Het Oostenrijkse ministerie van Binnenlandse Zaken vertelde vrijdag aan het plaatselijke persbureau APA dat het de beweringen van Microsoft aan het onderzoeken was. Het ministerie heeft niet gereageerd op verzoeken van Reuters om commentaar.

Spyware-instrumenten zijn in Europa en de Verenigde Staten meer in de belangstelling gekomen nadat ontdekt was dat Pegasus, spyware ontwikkeld door de Israëlische NSO, door regeringen gebruikt werd om journalisten en dissidenten te bespioneren.

DSIRF zei dat het een onafhankelijke deskundige opdracht had gegeven de door Microsoft aan de orde gestelde kwesties te onderzoeken, en dat het de Amerikaanse tech-gigant had benaderd voor "samenwerking in deze kwestie".

Microsoft weigerde verder commentaar te geven.

In zijn blogpost van donderdag zei het bedrijf dat DSIRF vier zogenaamde "zero-day exploits" had ontwikkeld, ernstige softwarefouten die van grote waarde zijn voor zowel hackers als spionnen, omdat ze werken zelfs als de software up to date is.

DSIRF noemde een handvol eerdere, commerciële, klanten als referenties in een interne presentatie waarin Subzero werd gepromoot en die vorig jaar door de Duitse nieuwswebsite Netzpolitik werd gepubliceerd.

Twee van de bedrijven die in die presentatie genoemd werden, SIGNA Retail en Dentons, vertelden Reuters dat zij de spyware niet gebruikt hadden en geen toestemming hadden gegeven om als referentie voor het bedrijf te fungeren.

DSIRF heeft niet gereageerd op een verzoek om commentaar op de zaak.