软餐(ruancan.com)获悉,在 SolarWinds 被黑事件发生后,据称在 SolarWinds 攻击中盗取的数据正被人公开叫卖。
据悉,一个名为 “SolarLeaks” 的网站正在出售声称来自微软、思科、FireEye 和 SolarWinds 的失窃数据。这些企业都在 SolarWinds 供应链攻击事件中被黑客入侵。
“SolarLeaks” 网站声称,以 60 万美元的价格出售微软源代码和存储库。微软此前确认,黑客在 SolarWinds 入侵期间访问了其源代码。
微软曾表示,查看源代码不会增加风险,因为该微软不依赖源代码的保密性来保证产品的安全。
[Microsoft Windows (partial) source code and various Microsoft repositories]
price: 600,000 USD
data: msft.tgz.enc (2.6G)
该网站还声称,要出售思科多款产品的源代码,以及该思科内部的 bug 跟踪工具。
[Cisco multiple products source code + internal bugtracker dump]
price: 500,000 USD
data: csco.tgz.enc (1.7G)
思科对此回应称,思科已经知晓 SolarLeaks 网站,但没有证据表明攻击者窃取了思科的源代码。
“SolarLeaks” 网站还在出售 FireEye 的红队工具,售价 50,000 美元。FireEye 此前称其源代码在 SolarWinds 事件中被盗。
[FireEye private redteam tools, source code, binaries and documentation]
price: 50,000 USD
data: feye.tgz.enc (39M)
“SolarLeaks” 网站还以 25 万美元的价格出售 SolarWinds 的源代码。
[SolarWinds products source code (all including Orion) + customer portal dump]
price: 250,000 USD
data: swi.tgz.enc (612M)
“SolarLeaks” 网站还称,只要花费 100 万美元,就可以获取所有泄露的数据。
“SolarLeaks” 网站的域名(solarleaks.net)域名通过 NJALLA 注册,NJALLA 是一家成立于 2017 年的网络服务商,由知名的 BT 资源网站海盗湾 (PirateBay) 的创始人 Peter Sunde 创立。俄罗斯黑客组织 Fancy Bear 和 Cozy Bear 都是 NJALLA 的域名客户。
在安全人员查看 “SolarLeaks” 网站的 WHOIS 记录时,分配的域名解析服务器还会以 “您无法获得任何信息” 的语句来嘲讽安全研究人员。
目前,尚不确定 “SolarLeaks” 网站的所有者是否真正拥有所出售的数据。