Bleeping Computer relata a descoberta do site SolarLeaks (vazamentos solares[.]líquido), onde indivíduos não identificados afirmam estar vendendo dados supostamente roubados da SolarWinds, Microsoft, Cisco, e FireEye durante um recente ataque à cadeia de abastecimento.
Só para recapitular, em dezembro 2020, foi revelado que hackers desconhecidos atacaram SolarWinds, infectando sua plataforma Orion com malware. Fora de 300,000 Clientes SolarWinds, apenas 33,000 estavam usando Orion, e a versão comprometida da plataforma foi instalada em aproximadamente 18,000 clientes’ máquinas, segundo dados oficiais.
Como resultado, as vítimas incluíam entidades importantes como a Microsoft, Cisco, FogoEye, bem como inúmeras agências governamentais dos EUA, incluindo o Departamento de Estado dos EUA e a Administração Nacional de Segurança Nuclear.
No início de janeiro, o FBI, NSA, CISA, e ODNI emitiram uma declaração conjunta indicando que um Grupo APT de “provavelmente origem russa” foi responsável pelo extenso ataque. O hack da SolarWinds foi descrito pelas autoridades como “uma tentativa de reunir informações.”
Agora, os indivíduos desconhecidos afirmam estar prontos para vender os seguintes dados roubados:
- $600,000: Códigos-fonte do Microsoft Windows e outros dados dos repositórios da empresa (2.6 GB);
- $500,000: códigos-fonte de vários produtos Cisco e um dump interno do rastreador de bugs (1.7 GB);
- $50,000: ferramentas FireEye da equipe vermelha privada, códigos-fonte, binários, e documentação (39 MB);
- $250,000: Código-fonte do produto SolarWinds (incluindo Órion) e despejo do portal do cliente (612 MB).
Os hackers se oferecem para vender todos esses dados em massa por um milhão de dólares. Adicionalmente, os operadores do site imitam o conhecido grupo de hackers The Shadow Brokers, afirmando que inicialmente, as informações roubadas serão vendidas em lotes, e depois, será publicado gratuitamente em domínio público.
Vale ressaltar que, embora os representantes da Microsoft tenham confirmado anteriormente a possibilidade de roubo de código-fonte, Cisco anunciou não ter evidências de roubo de sua propriedade intelectual. Os vazamentos solares[.]net é registrado através do registrador NJALLA, qual é popular entre hackers. A tentativa de verificar as informações WHOIS resulta na mensagem “Você não pode obter nenhuma informação”.
Ainda não se sabe se os operadores do site possuem os dados que afirmam ter, ou se SolarLeaks for uma tentativa ambiciosa de fraude. Jornalistas tentaram entrar em contato com os invasores usando o endereço de e-mail fornecido no site, mas descobriu-se que era inexistente.