SolarLeaks 出售微软思科等公司源代码等数据，打包价$100万

上个月，有报道称网络管理公司 SolarWinds 遭到一起严重供应链攻击，影响1.8万名客户。

FBI、CISA 和 NSA 联合发布声明指出，这起攻击“可能“是由俄罗斯国家黑客组织发动的，该组织的目的是窃取受害者的云数据如邮件和文件。

近日，solarleaks[.]net 网站启动，声称出售盗自微软、思科、火眼和 SolarWinds公司的数据，而这些网站隶属于已证实受此攻击影响的公司。

该网站声称以60万美元的价格出售微软公司的源代码，而微软此前曾证实其源代码遭访问。另外该网站还出售思科多款产品的源代码以及更令人担心的内部漏洞追踪工具数据，价格为50万美元。思科发布安全公告称已注意到该网站但未有证据表明攻击者窃取了其源代码。另外，该网站还出售火眼公司非公开的红队工具，价格为5万美元。此外，该公司还出售 SolarWinds 公司的源代码和客户门户转储数据，价格为25万美元。

这些被盗数据的总售价为140万美元，而网站声称出100万即可打包带走。

和“影子经纪人“做法一样，SolarLeaks 网站表示将分批出售被盗数据，后续将放出更多数据。

Solarleaks.net 域名通过 NJALLA 注册商注册，而俄罗斯黑客组织 Fancy Bear 和 Cozy Bear 也使用该域名注册商。查看WHOIS记录可知，分配的名称服务器还以 “You Can Get No Info” 奚落安全研究员。

目前尚无法证实该网站是否合法以及网站所有人是否拥有正在出售的数据。

Rendition Infosec 公司的总裁 Jake Williams 指出，出售倾向于具有商业价值的数据而不是盗自政府机构的情报，这种行为可能表明这是一个真实存在的黑客组织。

不过当记者发送邮件时，该邮箱地址会被退信，并显示出错信息提示该邮箱不存在。而微软拒绝置评。

1月13日，媒体 Motherboard 公司的记者 Lorenzo Franceschi-Bicchierai 收到一封声称来自 SolarLeaks 的邮件。当提到提供被盗数据样本时，被拒绝，理由是没“这么简单“。

当天晚些时候，SolarLeaks 网站更新称，ProtonMail 关闭了其邮件，想要查看数据样本的买家应该首先向列出的门罗币地址发送100个 XMR（或约1.6万美元）。在邮件末尾，网站所有人提供了一些关于他们如何获得数据的“线索“：一个 SHA-256哈希但和已知文件之间并不存在关联。ProtonMail 公司也证实称已封掉该网站所有人的邮箱账号。

虽然目前很多人认为这是一个欺诈网站，但奇怪的是微软开始检测声称包含其源代码的加密文档为 HackTool:Win32/Solardump.A 和HackTool:Win32/Solardump.A。

更糟糕的是，SolarLeak[.]net 的山寨站点也创建了包含同样内容的网站，不过给出的是另外一个门罗币地址。

我们将持续关注事态进展。