Bleeping Computer пишет, что в сети появился SolarLeaks (solarleaks[.]net), на котором неизвестные продают данные, которые якобы были украдены у компаний Microsoft, Cisco, FireEye и SolarWinds, во время недавней атаки на цепочку поставок.

Напомню, что в декабре 2020 года стало известно, что неизвестные злоумышленники атаковали ком­панию SolarWinds и зарази­ли ее платформу Orion мал­варью. Сог­ласно офи­циаль­ным дан­ным, сре­ди 300 000 кли­ентов SolarWinds толь­ко 33 000 исполь­зовали Orion, а заражен­ная вер­сия платформы была уста­нов­лена при­мер­но у 18 000 кли­ентов.

В результате среди пос­тра­дав­ших оказались такие гиган­ты, как Microsoft, Cisco, FireEye, а так­же мно­жес­тво пра­витель­ствен­ных агентств США, вклю­чая Гос­деп и Наци­ональ­ное управле­ние по ядер­ной безопас­ности.

В начале января ФБР, АНБ, CISA и ODNI выпустили совместное заявление, согласно которому за масштабной атакой стоит неназванная APT-группировка «вероятно российского происхождения». Сам взлом SolarWinds чиновники охарактеризовали как «попытку сбора разведданных».

Теперь неизвестные сообщают, что готовы продать следующие украденные данные:

  • 600 000 долларов: исходные коды Microsoft Windows и другие данные из репозиториев компании (2,6 Гб);
  • 500 000 долларов: исходные коды различных продуктов Cisco и дамп внутреннего багтрекера (1,7 Гб);
  • 50 000 долларов: приватные инструменты red team FireEye, исходные коды, бинарники и документация (39 Мб);
  • 250 000 долларов: исходные коды продуктов SolarWinds (включая Orion) и дамп клиентского портала (612 Мб).

Все эти данные оптом хакеры предлагают купить за один миллион долларов. Кроме того, операторы сайта действуют подобно известной хак-группе The Shadow Brokers и пишут, что сначала ворованная информация будет продаваться партиями, а позже будет свободно опубликована в открытом доступе.

Стоит отметить, что если представители Microsoft ранее подтверждали, что злоумышленники могли похитить исходные коды, то компания Cisco сообщила, что не имеет никаких доказательств кражи своей интеллектуальной собственности.

Интересно, что домен solarleaks[.]net зарегистрирован через регистратора NJALLA, который пользуется популярностью среди хакеров. Так, при попытке посмотреть WHOIS, можно увидеть сообщение «You can get no info».

Пока неизвестно, на самом ли деле у операторов сайта есть те данные, о которых они пишут, или же  SolarLeaks – лишь весьма амбициозная попытка скама. Журналисты предприняли попытку связаться со злоумышленники по указанному на сайте email-адресу, но оказалось, что его не существует.

Оставить мнение