Microsoft stoppt Fox Tempest – den Dienst, der Malware wie vertrauenswürdige Software signierte

Fox Tempest nutzte diese Infrastruktur jedoch, um kurzlebige Zertifikate für Schadsoftware zu erzeugen. Dadurch konnten Malware‑Dateien so aussehen, als seien sie von einer vertrauenswürdigen Quelle signiert worden.

Nach Microsofts Analyse erzeugte die Operation mehr als 1.000 Zertifikate und betrieb hunderte Azure‑Tenants und Cloud‑Abonnements, um die Infrastruktur aufrechtzuerhalten.

Die Rolle von signspace[.]cloud

Im Zentrum der Operation stand eine Plattform namens signspace[.]cloud. Sie funktionierte wie ein kostenpflichtiger Online‑Service für Cyberkriminelle.

Der Ablauf war relativ simpel:

• Angreifer luden eine Malware‑Datei hoch.
• Der Dienst nutzte missbräuchlich Zugriff auf Artifact Signing.
• Die Datei wurde mit einem gültigen digitalen Zertifikat signiert zurückgegeben.

Durch diese Signatur konnten die Dateien Sicherheitsprüfungen leichter umgehen und vertrauenswürdiger erscheinen, sowohl für Nutzer als auch für automatische Schutzsysteme.

Berichten zufolge waren viele dieser Zertifikate nur etwa 72 Stunden gültig. Das erschwerte es Verteidigern, sie rechtzeitig zu entdecken und zu widerrufen, während Angreifer trotzdem genug Zeit hatten, die signierte Malware zu verbreiten.

Verbindungen zu Ransomware‑Gruppen

Die Infrastruktur von Fox Tempest wurde laut Sicherheitsanalysen von mehreren Cybercrime‑Gruppen genutzt.

Zu den bekannten Nutzern gehörten unter anderem:

• Rhysida (Ransomware‑Gruppe)
• Vanilla Tempest
• Storm‑0501
• weitere von Microsoft beobachtete Bedrohungsakteure

Die signierten Dateien tauchten in Kampagnen mit Malware‑Familien wie Oyster, Lumma Stealer und Vidar auf, auch wenn nicht alle Details über die technische Zusammenarbeit zwischen den Gruppen öffentlich sind.

Wie Microsoft die Operation stoppte

Um Fox Tempest zu stoppen, kombinierte Microsoft juristische Schritte, technische Gegenmaßnahmen und eigene Ermittlungen.

Wichtige Maßnahmen waren:

Zivilklage in den USA
Microsoft reichte eine Klage beim U.S. District Court for the Southern District of New York ein, die später öffentlich gemacht wurde und gezielt auf die Infrastruktur von Fox Tempest abzielte.

Abschaltung der Infrastruktur
In Zusammenarbeit mit Hosting‑Anbietern wurden die Website der Gruppe beschlagnahmt und Server sowie Dienste abgeschaltet.

Widerruf der Zertifikate
Mehr als 1.000 betrügerische Code‑Signing‑Zertifikate wurden ungültig gemacht.

Blockierung von Cloud‑Ressourcen
Microsoft deaktivierte hunderte Azure‑Tenants und virtuelle Maschinen, die zur Durchführung des Dienstes genutzt wurden.

Ermittlungen und Undercover‑Arbeit
Die Microsoft‑Einheit Digital Crimes Unit (DCU) analysierte die Infrastruktur der Gruppe und nutzte Ermittlungs‑ und Undercover‑Techniken, um Betreiber und Abläufe zu identifizieren.

Diese Schritte führten letztlich dazu, dass die technische Grundlage des Signierdienstes weitgehend zusammenbrach.

Warum der Fall sicherheitspolitisch wichtig ist

Der Fall Fox Tempest zeigt zwei größere Entwicklungen in der Cyberkriminalität.

Cybercrime wird zur Dienstleistungsbranche

Moderne Angriffe bestehen oft aus spezialisierten Bausteinen. Kriminelle kaufen etwa:

• Ransomware‑as‑a‑Service
• Zugangsdaten von sogenannten Initial‑Access‑Brokern
• Malware‑Hosting
• oder eben digitale Signaturen für Schadsoftware

Fox Tempest verkaufte nur eine einzelne Fähigkeit – vertrauenswürdige Signaturen – spielte damit aber eine wichtige Rolle in zahlreichen Angriffsketten.

Missbrauch von Code‑Signaturen untergräbt Vertrauen

Digitale Signaturen sind ein zentrales Sicherheitsprinzip moderner Software. Betriebssysteme wie Windows nutzen sie, um zu prüfen, ob Programme authentisch sind und nicht manipuliert wurden.

Wenn Angreifer gültige oder betrügerisch ausgestellte Zertifikate einsetzen können, hat das mehrere Folgen:

• Warnmeldungen erscheinen seltener
• Malware lässt sich leichter ausführen
• Reputation‑basierte Schutzmechanismen greifen schlechter

Damit wird die Vertrauensebene der gesamten Software‑Ökonomie angegriffen.

Die größere Lektion

Der Schlag gegen Fox Tempest zeigt, dass die Bekämpfung von Cyberkriminalität zunehmend bedeutet, Dienstleister innerhalb des kriminellen Ökosystems zu stören – nicht nur die eigentlichen Ransomware‑Gruppen.

Wenn Infrastruktur oder Services entfernt werden, die von vielen Angreifern gleichzeitig genutzt werden, kann das ganze Teile der Cybercrime‑Lieferkette auf einmal schwächen.

Gleichzeitig verdeutlicht der Fall ein dauerhaftes Problem: Selbst Technologien, die eigentlich Vertrauen schaffen sollen – wie Code‑Signaturen – können zum Einfallstor werden, sobald Angreifer Wege finden, sie zu missbrauchen.