猖狂！微软、思科源码惨遭黑客 100 万美元打包出售

发布时间：2021-01-20 22:58:27来源：CSDN

【CSDN编者按】SolarWinds黑客攻击事件又延伸出新的危害了：微软、思科、FireEye等公司的源代码在一网站公开出售，明码标价，甚至打包价为一百万，究竟是什么情况？

整理|郑丽媛

出品|CSDN（ID：CSDNnews）

上个月以SolarWinds公司为首被黑客入侵的事件还没调查结束，新的隐患又出现了：据外媒BleepingComputer报道，微软、思科、FireEye和SolarWinds的源代码正在一个名为"SolarLeaks"的网站上公开售卖！这四家公司的共同点不难推断：皆在SolarWinds黑客攻击事件中遭到入侵。

去年12月14日，向来以安全为产品核心的SolarWinds，却被报道旗下Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致其近18000名客户存在安全风险。除了FireEye、微软和思科，美国财政部、商务部、国土安全部、能源部的国家实验室，以及国家核安全管理局均在受害者之列。

而黑客在此节点出售这四家公司的源代码，并声称这是“最近探险发现的资料”，似乎都在宣示着这批源代码是在SolarWinds事件中盗取所得。

5万美元起售，100万美元全包

SolarLeaks网站对微软、思科、FireEye和SolarWinds的源代码进行了简介与标价，并且明确提出拒绝议价：“不能谈判，不要浪费我们的时间。”

微软

黑客出售的是微软Windows的部分源代码和各种微软的存储库，2.6G的资料定价60万美元。

微软曾于1月初表明SolarWinds供应链攻击背后的黑客已经成功侵入微软公司内部技术核心，并查看了多个源代码存储库中的源代码，不过攻击者不具有修改源代码或工程系统所需的权限。

思科

1.7G的思科多产品源代码及内部错误跟踪转储被黑客在网站上出售，定价为50万美元。

思科上个月曾表示：虽然思科并不使用SolarWinds进行企业网络管理或监控，但已在少数实验室环境和少量的员工终端中识别和修复了受影响的软件。

事发后，思科在其事件回应报告中及时更新了对此事的回答：思科知道此网站，不过目前没有任何证据证明攻击者窃取了我们的源代码。

SolarWinds

SolarLeaks网站出售的有关SolarWinds的612M资料包括SolarWinds产品源代码和客户门户转储，定价为25万美元。

SolarWinds是这起规模庞大的黑客攻击事件的源头受害者。去年3月份，黑客向使用SolarWinds的Orion平台版本的所有客户发送恶意的软件更新，从而侵入他们的系统。

FireEye

最后，还有FireEye私有的Redteam工具、源代码、二进制文件和文档也被打包出售，39M的资料定价5万美元。

FireEye是首家披露受到黑客攻击的公司：12月8日FireEye表明自己受到了敌对政府发起的黑客攻击，旨在获取公司一些政府客户方面的信息。由此，SolarWinds黑客攻击事件开始进入公众视野。

除此之外，网站还提供了一个“打包价”：100万美元即可获得所有泄露资料和额外福利。并且，网站还声称接下来几周将继续公布更多的内容，这种做法与ShadowBrokers（黑客组织，曾成功黑掉“方程式小组”，并使“方程式小组”的黑客工具大量泄漏）很类似，都是分批出售盗取的资料，并宣称未来会发布更多信息。

源码真实性还未确认

据外媒BleepingComputer报道，SolarLeaks网站是通过NJALLA注册的，而NJALLA是一个在俄罗斯黑客组织中颇受欢迎的注册商，FancyBear（俄罗斯网络黑客组织，攻击对象多为政府、军队及安全机构，是高级持续性威胁攻击的典型代表）和CozyBear（俄罗斯网络黑客组织）都曾使用过。

而在研究人员查看SolarLeaks的WHOIS记录时，分配的名称服务器还以“YouCanGetNoInfo（您无法获得任何信息）”的语句进行嘲笑。

（图源：BleepingComputer）

此外，尚且无法确定SolarLeaks这个站点是否合法以及站点所有者是否真的拥有所出售的数据。BleepingComputer曾尝试与SolarLeaks卖方联系，但邮件被退回，并显示该电子邮件地址不存在的错误。

目前，SolarLeaks网站进行了更新，其中包含一条新消息，他们的电子邮件已被关闭，想要查看出售资料样本的买家需将100XMR（约合16000美元）发送到他们提供的Monero地址。

“没有证据证明这是真的还是假的，”AvastSecurityEvangelist的LuisCorrons评论道，但他补充说，“攻击者想通过攻击赚点外快是说得通的，考虑到所出售的这些公司的特征，他们肯定掌握了一些有价值的信息。”

同时，网络安全公司RenditionInfosec的CEOJakeWilliams认为，此次网站出售的内容看起来是更倾向于具有商业价值的资料，并非是从政府机构窃取的情报，这表示SolarWinds攻击事件的背后应该是真实的黑客组织。

（图源：BleepingComputer）

SolarWinds攻击事件调查进展

忆及这起“公开出售源代码”的源头，让人不禁再次关心SolarWinds攻击事件的调查进度，所幸，我们离真相好像又进了一步：第三款恶意软件浮出水面。

参与调查SolarWinds攻击事件的安全公司之一CrowdStrike，在揭示了黑客破坏SolarWindsOrion应用程序的构建过程后，日前又发现了与本次黑客攻击事件有关、除此前曝光的Sunburst（Solarigate）和Teardrop以外的第三款恶意软件——Sunspot。

CrowdStrike的调查主要有三个关键点：

Sunspot是SolarWinds黑客的恶意软件，用于将另一款恶意软件Sunburst插入SolarWindsOrionIT管理产品的软件版本中；

Sunspot负责监视Orion产品编译过程中正在运行的进程，并替换其中一个源文件以包含Sunburst的恶意代码；

Sunspot中增加了一些保护措施，以避免Orion的构建失败而引起开发者对Sunspot的注意。

此外，CrowdStrike还补充了一点：虽然Sunspot刚被发现，但它其实是黑客攻击SolarWinds使用的第一款恶意软件，部署时间甚至可追溯到首次侵入该公司内部网络的2019年9月。

SolarWinds事件是美国政府网站遭遇的史上规模最大的一次黑客攻击，并且据报道，昨日Malwarebytes成为继微软，FireEye和CrowdStrike之后，被黑客针对的第四大安全公司，虽然Malwarebytes主张其入侵与SolarWinds事件无关，因为该公司未在其内部网络中使用任何SolarWinds软件，并且其产品并不受影响，但潜在的隐患不可忽视，这起SolarWinds攻击事件终究还需早日解决。

对此，你有什么看法吗？欢迎评论区留言！

参考链接：

https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/

https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

THEEND

更多精彩推荐

“分享、点赞、在看”