在全球安全界都在紧锣密鼓调查SolarWinds供应链攻击事件的同时,SolarWinds背后的黑客组织终于有所行动。本周三,一个地址为solarleaks.net的网站悄然上线。虽然该网站只有一个纯文本页面,但所发布的信息却在网络安全界引起了轩然大波。该网站声称(如下图)它正在出售从Microsoft、Cisco、FireEye和SolarWinds窃取的数据。众所周知,所有这些公司都受到了供应链攻击。网站截图显示,微软的Windows源代码和其他代码库标价60万美元,思科多个产品的源代码标价50万美元。第一个泄露的FireEye红队工具标价5万美元,而这次供应链攻击的“载体”,SolarWinds的产品源代码和客户网站拖拽数据库数据,标价25万美元。上述所有泄露数据的打包价格为100万美元。面对媒体询问,思科表示,没有证据表明攻击者窃取了产品源代码,业界正在调查从SolarLeaks网站泄露的数据的真实性。SolarLeaks的行为与ShadowBrokers类似,声称将分批出售被盗数据,并将在晚些时候发布更多信息。另外值得注意的是,solarleaks.net域名是通过NJALLA注册的,NJALLA是俄罗斯黑客组织FancyBear和CozyBear使用的注册商。在没有确凿证据证明SolarWinds事件归因于(俄罗斯黑客组织)的情况下,攻击者在数据泄露网站上报告自己有些出乎意料。RenditionInfosec总裁JakeWilliams表示,这笔交易(发布在SolarLeaks网站上)对具有商业价值的数据的支持,而不是从政府机构窃取的情报,可能表明存在一个真正的集团。但在随后的一条推文中,威廉姆斯指出,以目前的价格很难找到买家,因此SolarLeaks的目的也有可能是误导归因。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
