SolarWinds黑客組織開始銷售泄露數(shù)據(jù)
在全球安全界緊鑼密鼓調(diào)查SolarWinds供應(yīng)鏈攻擊的同時(shí),SolarWinds背后的黑客組織終有所行動(dòng)。
本周三,一個(gè)地址為solarleaks.net的網(wǎng)站悄然上線,雖然該網(wǎng)站只有一個(gè)純文本頁(yè)面,但是公布的信息卻在網(wǎng)絡(luò)安全行業(yè)引發(fā)軒然大波。
該網(wǎng)站聲稱(下圖)正在出售來(lái)自微軟、思科、FireEye和SolarWinds的被盜數(shù)據(jù)。眾所周知,所有這些公司都在供應(yīng)鏈攻擊中遭到入侵。
根據(jù)網(wǎng)站截圖,微軟的Windows源代碼和其他代碼庫(kù)標(biāo)價(jià)60萬(wàn)美元,思科多個(gè)產(chǎn)品的源代碼標(biāo)價(jià)50萬(wàn)美元。
最先曝光泄露的FireEye紅隊(duì)工具標(biāo)價(jià)5萬(wàn)美元,而本次供應(yīng)鏈攻擊的“載體”,SolarWinds的產(chǎn)品源代碼和客戶網(wǎng)站拖庫(kù)數(shù)據(jù)標(biāo)價(jià)25萬(wàn)美元。
上述所有泄露數(shù)據(jù)的打包價(jià)格為100萬(wàn)美元。
面對(duì)媒體質(zhì)詢,思科表示沒有證據(jù)表明被攻擊者竊取了產(chǎn)品源代碼,業(yè)界對(duì)SolarLeaks網(wǎng)站泄露數(shù)據(jù)的真實(shí)性正在調(diào)查中。
SolarLeaks的行為方式類似于影子經(jīng)紀(jì)人,聲稱將分批出售被盜的數(shù)據(jù),并將在以后發(fā)布更多信息。
此外,值得注意的是,solarleaks.net域通過(guò)NJALLA注冊(cè),而NJALLA是俄羅斯黑客組織Fancy Bear和Cozy Bear使用的注冊(cè)商,在SolarWinds事件歸因(至俄羅斯黑客組織)尚未取得確鑿證據(jù)的情況下,攻擊者在數(shù)據(jù)泄露網(wǎng)站中自報(bào)家門多少有些出人意料。
Rendition Infosec的總裁杰克·威廉姆斯(Jake Williams)表示,此次(SolarLeaks網(wǎng)站公布的)交易傾向于具有商業(yè)價(jià)值的數(shù)據(jù),而不是從政府機(jī)構(gòu)竊取的情報(bào),這可能表明這是一個(gè)真實(shí)的集團(tuán)。但在隨后的推文中,威廉姆斯指出,以目前的標(biāo)價(jià)很難找到買家,因此SolarLeaks的目的也有可能是歸因誤導(dǎo)。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
