【編者按】SolarWinds 黑客攻擊事件又延伸出新的危害了:微軟、思科、FireEye 等公司的源代碼在一網站公開出售,明碼標價,甚至打包價爲一百萬,究竟是什麼情況?
整理 | 鄭麗媛
出品 | CSDN(ID:CSDNnews)
上個月以 SolarWinds 公司爲首被黑客入侵的事件還沒調查結束,新的隱患又出現了:據外媒 Bleeping Computer 報道,微軟、思科、FireEye 和 SolarWinds 的源代碼正在一個名爲"SolarLeaks"的網站上公開售賣!這四家公司的共同點不難推斷:皆在 SolarWinds 黑客攻擊事件中遭到入侵。
去年 12 月 14 日,向來以安全爲產品核心的 SolarWinds,卻被報道旗下 Orion 網絡監控軟件更新服務器遭黑客入侵併植入惡意代碼,導致其近 18000 名客戶存在安全風險。除了 FireEye 、微軟和思科,美國財政部、商務部、國土安全部、能源部的國家實驗室,以及國家核安全管理局均在受害者之列。
而黑客在此節點出售這四家公司的源代碼,並聲稱這是“最近探險發現的資料”,似乎都在宣示着這批源代碼是在 SolarWinds 事件中盜取所得。
5萬美元起售,100萬美元全包
SolarLeaks 網站對微軟、思科、FireEye 和 SolarWinds 的源代碼進行了簡介與標價,並且明確提出拒絕議價:“不能談判,不要浪費我們的時間。”
微軟
黑客出售的是微軟 Windows 的部分源代碼和各種微軟的存儲庫,2.6G 的資料定價 60 萬美元。
微軟曾於 1 月初表明 SolarWinds 供應鏈攻擊背後的黑客已經成功侵入微軟公司內部技術核心,並查看了多個源代碼存儲庫中的源代碼,不過攻擊者不具有修改源代碼或工程系統所需的權限。
思科
1.7G 的思科多產品源代碼及內部錯誤跟蹤轉儲被黑客在網站上出售,定價爲 50 萬美元。
思科上個月曾表示:雖然思科並不使用 SolarWinds 進行企業網絡管理或監控,但已在少數實驗室環境和少量的員工終端中識別和修復了受影響的軟件。
事發後,思科在其事件迴應報告中及時更新了對此事的回答:思科知道此網站,不過目前沒有任何證據證明攻擊者竊取了我們的源代碼。
SolarWinds
SolarLeaks 網站出售的有關 SolarWinds 的 612M 資料包括 SolarWinds 產品源代碼和客戶門戶轉儲,定價爲 25 萬美元。
SolarWinds 是這起規模龐大的黑客攻擊事件的源頭受害者。去年 3 月份,黑客向使用 SolarWinds 的 Orion 平臺版本的所有客戶發送惡意的軟件更新,從而侵入他們的系統。
FireEye
最後,還有 FireEye 私有的 Redteam 工具、源代碼、二進制文件和文檔也被打包出售,39M 的資料定價 5 萬美元。
FireEye 是首家披露受到黑客攻擊的公司:12 月 8 日 FireEye 表明自己受到了敵對政府發起的黑客攻擊,旨在獲取公司一些政府客戶方面的信息。由此,SolarWinds 黑客攻擊事件開始進入公衆視野。
除此之外,網站還提供了一個“打包價”:100 萬美元即可獲得所有泄露資料和額外福利。並且,網站還聲稱接下來幾周將繼續公佈更多的內容,這種做法與 Shadow Brokers (黑客組織,曾成功黑掉“方程式小組”,並使“方程式小組”的黑客工具大量泄漏)很類似,都是分批出售盜取的資料,並宣稱未來會發布更多信息。
源碼真實性還未確認
據外媒 Bleeping Computer 報道,SolarLeaks 網站是通過 NJALLA 註冊的,而 NJALLA 是一個在俄羅斯黑客組織中頗受歡迎的註冊商,Fancy Bear(俄羅斯網絡黑客組織,攻擊對象多爲政府、軍隊及安全機構,是高級持續性威脅攻擊的典型代表) 和 Cozy Bear(俄羅斯網絡黑客組織) 都曾使用過。
而在研究人員查看 SolarLeaks 的 WHOIS 記錄時,分配的名稱服務器還以“You Can Get No Info(您無法獲得任何信息)”的語句進行嘲笑。
(圖源:Bleeping Computer)
此外,尚且無法確定 SolarLeaks 這個站點是否合法以及站點所有者是否真的擁有所出售的數據。Bleeping Computer 曾嘗試與SolarLeaks賣方聯繫,但郵件被退回,並顯示該電子郵件地址不存在的錯誤。
目前,SolarLeaks 網站進行了更新,其中包含一條新消息,他們的電子郵件已被關閉,想要查看出售資料樣本的買家需將 100 XMR(約合 16000 美元)發送到他們提供的 Monero 地址。
“沒有證據證明這是真的還是假的,”Avast Security Evangelist 的 Luis Corrons 評論道,但他補充說,“攻擊者想通過攻擊賺點外快是說得通的,考慮到所出售的這些公司的特徵,他們肯定掌握了一些有價值的信息。”
同時,網絡安全公司 Rendition Infosec 的 CEO Jake Williams 認爲,此次網站出售的內容看起來是更傾向於具有商業價值的資料,並非是從政府機構竊取的情報,這表示 SolarWinds 攻擊事件的背後應該是真實的黑客組織。
(圖源:Bleeping Computer)
SolarWinds 攻擊事件調查進展
憶及這起“公開出售源代碼”的源頭,讓人不禁再次關心 SolarWinds 攻擊事件的調查進度,所幸,我們離真相好像又進了一步:第三款惡意軟件浮出水面。
參與調查 SolarWinds 攻擊事件的安全公司之一 CrowdStrike,在揭示了黑客破壞 SolarWinds Orion 應用程序的構建過程後,日前又發現了與本次黑客攻擊事件有關、除此前曝光的 Sunburst(Solarigate)和 Teardrop 以外的第三款惡意軟件 —— Sunspot。
CrowdStrike 的調查主要有三個關鍵點:
Sunspot 是 SolarWinds 黑客的惡意軟件,用於將另一款惡意軟件 Sunburst 插入 SolarWinds Orion IT 管理產品的軟件版本中;
Sunspot 負責監視 Orion 產品編譯過程中正在運行的進程,並替換其中一個源文件以包含 Sunburst 的惡意代碼;
Sunspot 中增加了一些保護措施,以避免 Orion 的構建失敗而引起開發者對 Sunspot 的注意。
此外,CrowdStrike 還補充了一點:雖然 Sunspot 剛被發現,但它其實是黑客攻擊 SolarWinds 使用的第一款惡意軟件,部署時間甚至可追溯到首次侵入該公司內部網絡的 2019 年 9 月。
SolarWinds 事件是美國政府網站遭遇的史上規模最大的一次黑客攻擊,並且據報道,昨日 Malwarebytes 成爲繼微軟,FireEye 和 CrowdStrike 之後,被黑客針對的第四大安全公司,雖然 Malwarebytes 主張其入侵與 SolarWinds 事件無關,因爲該公司未在其內部網絡中使用任何 SolarWinds 軟件,並且其產品並不受影響,但潛在的隱患不可忽視,這起 SolarWinds 攻擊事件終究還需早日解決。
對此,你有什麼看法嗎?歡迎評論區留言!
參考鏈接:
https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/
https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/
更多精彩推薦