駭客建立了一個全新的網站solarleaks.net,公開出售在SolarWinds供應鏈攻擊中竊取得來的原始碼。網站所有者聲稱他們是入侵SolarWinds的駭客組織,並正在拍賣從Microsoft,Cisco,SolarWinds和FireEye竊取到的原始碼,眾所周知,所有這些公司都在供應鏈攻擊中遭到入侵。據了解SolarLeaks網站所有者在模仿Shadow Brokers的方式,聲稱將分批出售盜來的數據,並將在以後發布更多資料。
Solarleaks.net網域名只有1天的歷史,在2021年1月11日註冊,並使用瑞典的隱私託管服務商Njalla來註冊。Njalla是APT駭客組織Fancy Bear和Cozy Bear的首選註冊商。僅此一項就已經表明,該網站背後的人們至少對俄羅斯作案手法(Modus operandi)是有所了解的。當然,這也可能是一個騙局(Scam)。
目前尚不清楚Solarleaks網站販售的數據的真實性,但相信由於Infosec的目光都在看著這事件的發展,值得我們持續關注。
目前Solarleaks網站以60萬美元的價格出售Microsoft原始碼和存儲庫,以50萬美元價格出售Cicso原始碼和內部的bugtracker dump, 以50萬美元價格出售Fireye的紅隊工具原始碼,和以25萬美元的價格出售SolarWinds原始碼和客戶的portal dump。
該網站說,只要花費100萬美元,就可以獲得所有洩露的數據!
SolarWinds供應鏈攻擊的有關情資:
https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8
https://otx.alienvault.com/pulse/5fe0d2b1258adac64a4f9adc
https://otx.alienvault.com/pulse/5fd825b7fa4eb2223a0cf812
https://otx.alienvault.com/pulse/5ffc7929fdeee95e277473b7