根据国外媒体的最新报道,在 SolarWinds遭受攻击之后,据称在SolarWinds攻击中被网络攻击者成功窃取的数据正被人公开叫卖。据了解,声称出售被盗数据的是一家名为“SolarLeaks”的网站,其中涉及到大量来自微软、思科、FireEye 和 SolarWinds 的泄露数据,而这些公司都已经被证实了在SolarWinds 供应链攻击事件中被网络犯罪分子成功入侵。
想必安全社区里的各位都知道,就在上个月,网络管理公司SolarWinds遭受了一次复杂的网络攻击,而这一次的攻击活动针对的是SolarWinds产品供应链,并导致一万八千多名用户受到了严重影响。
根据美国联邦调查局(FBI)、美国网络安全与基础设施安全局(CISA)和美国国家安全局(NSA)发布的一份联合声明,这一次的网络供应链攻击很可能是一个由俄罗斯国家资助的黑客组织所实施的,而这一次攻击的主要目的是从目标用户的网络系统中窃取电子邮件和敏感文件等云数据。
就在这两天,一个地址为solarleaks[.]net正式上线了,并对外声称他们将出售从微软、思科、FireEye和SolarWinds那里窃取来的数据。众所周知,上面所有这些公司都在此次供应链攻击中受到了严重影响。
该网站声称,他们将以六十万美元的价格出售微软的产品源代码以及代码/文件存储库。而微软方面也表示,网络犯罪分子在进行SolarWinds供应链攻击的过程中,确实访问了他们的源代码。
[Microsoft Windows (partial) source code and various Microsoft repositories]
price: 600,000 USD
data: msft.tgz.enc (2.6G)
这群网络犯罪分子还表示,他们将出售思科公司旗下多个产品的源代码,而更令人担忧的问题在于该公司的内部漏洞追踪和处理机制。[Cisco multiple products source code + internal bugtracker dump]
price: 500,000 USD
data: csco.tgz.enc (1.7G)
思科公司在今天更新的一份安全公告中表示,他们目前已经知道了这个名叫SolarLeaks的网站了,但没有任何证据可以表明他们成功窃取了思科的产品源代码。
思科公司的安全顾问在接受采访时表示:“思科目前已经知道这个名叫SolarLeaks的网站了,但是目前没有任何证据可以表明近期发生的SolarWinds 供应链攻击以及被盗数据出售事件涉及到跟我们相关的任何知识产权盗窃行为。我们一直都将客户的安全放在第一位,也会保证信息的透明度,如果我们发现任何需要客户被告知的事情,我们将通过我们的既定渠道来跟我们的客户分享所有的信息。”
除此之外,这个名为SolarLeaks的网站还声称将出售他们在攻击过程中成功窃取到的“红队”私人工具以及FireEye的产品源代码,针对这两部分数据,网络犯罪分子的要价为五万美元。[FireEye private redteam tools, source code, binaries and documentation]
price: 50,000 USD
data: feye.tgz.enc (39M)
最后,该网站还将以二十五万美元的价格出售SolarWinds的产品源代码以及客户门户网站源码。[SolarWinds products source code (all including Orion) + customer portal dump]
price: 250,000 USD
data: swi.tgz.enc (612M)
当然了,套餐总是吸引人的,所以该网站还给出了一个打包价,即支付一百万美元,所有的被盗数据你皆可收入囊中。
跟之前Shadow Borkers(影子经纪人)的行事风格类似,SolarLeaks网站背后的网络犯罪分子表示,他们同样也会以分批次的形式出售被盗数据,随着时间的推移,之后他们还将泄露和公布更多的被盗数据。
根据网络安全研究专家的分析,Solarleaks[.]net域名是通过NJALLA注册的,而俄罗斯黑客组织Fancy Bear和Cozy Bear此前也是通过这家域名注册机构注册的攻击域名。
安全研究专家Rickey Gevers表示,这个域名目前的注册时长为一天,该域名是通过NJALLA注册的。但是,NJALLA是俄罗斯黑客组织Fancy Bear和Cozy Bear的首选域名注册机构,这也足以证明,这个网站背后的网络犯罪分子多多少少都跟俄罗斯有些联系。
在对Solarleaks[.]net网站的WHOIS记录进行分析时,研究人员发现,网络犯罪分子在设置域名服务器时,还写上了”You Can Get No Info”(你啥也找不到)的字样来挑衅研究分析人员。
目前,研究人员还无法确定的是,如果这个网站的所有者真的开始出售那些被盗数据的话,那么这个网站是否是一个合法网站呢?
安全公司Rendition Infosec的总裁杰克·威廉姆斯(Jake Williams)认为,这群网络犯罪分子你出售的内容更倾向于具有商业更高的数据,而不是那些从政府机构窃取的情报信息,因此他们更像是一个真正意义上的网络犯罪组织。
搞笑的是,当我们尝试与该网站的运维人员取得联系并询问相关问题时,我们发现该网站提供的电子邮件地址是错误的,错误信息表示该电子邮件地址根本不存在。
目前,我们也在尝试与微软方面取得联系,并尝试向他们确认是否已经知道了这个网站的存在以及攻击者是否窃取了他们的产品源码数据,因为当时微软方面对外声称的是网络犯罪分子仅仅只是访问了他们的数据,而没有提到数据被盗的问题。