Bleeping Computer пишет, что в сети появился SolarLeaks (solarleaks[.]net), на котором неизвестные продают данные, которые якобы были украдены у компаний Microsoft, Cisco, FireEye и SolarWinds, во время недавней атаки на цепочку поставок.
Напомню, что в декабре 2020 года стало известно, что неизвестные злоумышленники атаковали компанию SolarWinds и заразили ее платформу Orion малварью. Согласно официальным данным, среди 300 000 клиентов SolarWinds только 33 000 использовали Orion, а зараженная версия платформы была установлена примерно у 18 000 клиентов.
В результате среди пострадавших оказались такие гиганты, как Microsoft, Cisco, FireEye, а также множество правительственных агентств США, включая Госдеп и Национальное управление по ядерной безопасности.
В начале января ФБР, АНБ, CISA и ODNI выпустили совместное заявление, согласно которому за масштабной атакой стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».
Теперь неизвестные сообщают, что готовы продать следующие украденные данные:
- 600 000 долларов: исходные коды Microsoft Windows и другие данные из репозиториев компании (2,6 Гб);
- 500 000 долларов: исходные коды различных продуктов Cisco и дамп внутреннего багтрекера (1,7 Гб);
- 50 000 долларов: приватные инструменты red team FireEye, исходные коды, бинарники и документация (39 Мб);
- 250 000 долларов: исходные коды продуктов SolarWinds (включая Orion) и дамп клиентского портала (612 Мб).
Все эти данные оптом хакеры предлагают купить за один миллион долларов. Кроме того, операторы сайта действуют подобно известной хак-группе The Shadow Brokers и пишут, что сначала ворованная информация будет продаваться партиями, а позже будет свободно опубликована в открытом доступе.
Стоит отметить, что если представители Microsoft ранее подтверждали, что злоумышленники могли похитить исходные коды, то компания Cisco сообщила, что не имеет никаких доказательств кражи своей интеллектуальной собственности.
Интересно, что домен solarleaks[.]net зарегистрирован через регистратора NJALLA, который пользуется популярностью среди хакеров. Так, при попытке посмотреть WHOIS, можно увидеть сообщение «You can get no info».
Пока неизвестно, на самом ли деле у операторов сайта есть те данные, о которых они пишут, или же SolarLeaks – лишь весьма амбициозная попытка скама. Журналисты предприняли попытку связаться со злоумышленники по указанному на сайте email-адресу, но оказалось, что его не существует.
