【编者按】SolarWinds 黑客攻击事件又延伸出新的危害了：微软、思科、FireEye 等公司的源代码在一网站公开出售，明码标价，甚至打包价为一百万，究竟是什么情况？

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

上个月以 SolarWinds 公司为首被黑客入侵的事件还没调查结束，新的隐患又出现了：据外媒 Bleeping Computer 报道，微软、思科、FireEye 和 SolarWinds 的源代码正在一个名为"SolarLeaks"的网站上公开售卖！这四家公司的共同点不难推断：皆在 SolarWinds 黑客攻击事件中遭到入侵。

去年 12 月 14 日，向来以安全为产品核心的 SolarWinds，却被报道旗下 Orion 网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致其近 18000 名客户存在安全风险。除了 FireEye 、微软和思科，美国财政部、商务部、国土安全部、能源部的国家实验室，以及国家核安全管理局均在受害者之列。

而黑客在此节点出售这四家公司的源代码，并声称这是“最近探险发现的资料”，似乎都在宣示着这批源代码是在 SolarWinds 事件中盗取所得。

5万美元起售，100万美元全包

SolarLeaks 网站对微软、思科、FireEye 和 SolarWinds 的源代码进行了简介与标价，并且明确提出拒绝议价：“不能谈判，不要浪费我们的时间。”

• 微软

黑客出售的是微软 Windows 的部分源代码和各种微软的存储库，2.6G 的资料定价 60 万美元。

微软曾于 1 月初表明 SolarWinds 供应链攻击背后的黑客已经成功侵入微软公司内部技术核心，并查看了多个源代码存储库中的源代码，不过攻击者不具有修改源代码或工程系统所需的权限。

• 思科

1.7G 的思科多产品源代码及内部错误跟踪转储被黑客在网站上出售，定价为 50 万美元。

思科上个月曾表示：虽然思科并不使用 SolarWinds 进行企业网络管理或监控，但已在少数实验室环境和少量的员工终端中识别和修复了受影响的软件。

事发后，思科在其事件回应报告中及时更新了对此事的回答：思科知道此网站，不过目前没有任何证据证明攻击者窃取了我们的源代码。

• SolarWinds

SolarLeaks 网站出售的有关 SolarWinds 的 612M 资料包括 SolarWinds 产品源代码和客户门户转储，定价为 25 万美元。

SolarWinds 是这起规模庞大的黑客攻击事件的源头受害者。去年 3 月份，黑客向使用 SolarWinds 的 Orion 平台版本的所有客户发送恶意的软件更新，从而侵入他们的系统。

• FireEye

最后，还有 FireEye 私有的 Redteam 工具、源代码、二进制文件和文档也被打包出售，39M 的资料定价 5 万美元。

FireEye 是首家披露受到黑客攻击的公司：12 月 8 日 FireEye 表明自己受到了敌对政府发起的黑客攻击，旨在获取公司一些政府客户方面的信息。由此，SolarWinds 黑客攻击事件开始进入公众视野。

除此之外，网站还提供了一个“打包价”：100 万美元即可获得所有泄露资料和额外福利。并且，网站还声称接下来几周将继续公布更多的内容，这种做法与 Shadow Brokers （黑客组织，曾成功黑掉“方程式小组”，并使“方程式小组”的黑客工具大量泄漏）很类似，都是分批出售盗取的资料，并宣称未来会发布更多信息。

源码真实性还未确认

据外媒 Bleeping Computer 报道，SolarLeaks 网站是通过 NJALLA 注册的，而 NJALLA 是一个在俄罗斯黑客组织中颇受欢迎的注册商，Fancy Bear（俄罗斯网络黑客组织，攻击对象多为政府、军队及安全机构，是高级持续性威胁攻击的典型代表） 和 Cozy Bear（俄罗斯网络黑客组织） 都曾使用过。

而在研究人员查看 SolarLeaks 的 WHOIS 记录时，分配的名称服务器还以“You Can Get No Info（您无法获得任何信息）”的语句进行嘲笑。

（图源：Bleeping Computer）

此外，尚且无法确定 SolarLeaks 这个站点是否合法以及站点所有者是否真的拥有所出售的数据。Bleeping Computer 曾尝试与SolarLeaks卖方联系，但邮件被退回，并显示该电子邮件地址不存在的错误。

目前，SolarLeaks 网站进行了更新，其中包含一条新消息，他们的电子邮件已被关闭，想要查看出售资料样本的买家需将 100 XMR（约合 16000 美元）发送到他们提供的 Monero 地址。

“没有证据证明这是真的还是假的，”Avast Security Evangelist 的 Luis Corrons 评论道，但他补充说，“攻击者想通过攻击赚点外快是说得通的，考虑到所出售的这些公司的特征，他们肯定掌握了一些有价值的信息。”

同时，网络安全公司 Rendition Infosec 的 CEO Jake Williams 认为，此次网站出售的内容看起来是更倾向于具有商业价值的资料，并非是从政府机构窃取的情报，这表示 SolarWinds 攻击事件的背后应该是真实的黑客组织。

（图源：Bleeping Computer）

SolarWinds 攻击事件调查进展

忆及这起“公开出售源代码”的源头，让人不禁再次关心 SolarWinds 攻击事件的调查进度，所幸，我们离真相好像又进了一步：第三款恶意软件浮出水面。

参与调查 SolarWinds 攻击事件的安全公司之一 CrowdStrike，在揭示了黑客破坏 SolarWinds Orion 应用程序的构建过程后，日前又发现了与本次黑客攻击事件有关、除此前曝光的 Sunburst（Solarigate）和 Teardrop 以外的第三款恶意软件 —— Sunspot。

CrowdStrike 的调查主要有三个关键点：

• Sunspot 是 SolarWinds 黑客的恶意软件，用于将另一款恶意软件 Sunburst 插入 SolarWinds Orion IT 管理产品的软件版本中；

• Sunspot 负责监视 Orion 产品编译过程中正在运行的进程，并替换其中一个源文件以包含 Sunburst 的恶意代码；

• Sunspot 中增加了一些保护措施，以避免 Orion 的构建失败而引起开发者对 Sunspot 的注意。

此外，CrowdStrike 还补充了一点：虽然 Sunspot 刚被发现，但它其实是黑客攻击 SolarWinds 使用的第一款恶意软件，部署时间甚至可追溯到首次侵入该公司内部网络的 2019 年 9 月。

SolarWinds 事件是美国政府网站遭遇的史上规模最大的一次黑客攻击，并且据报道，昨日 Malwarebytes 成为继微软，FireEye 和 CrowdStrike 之后，被黑客针对的第四大安全公司，虽然 Malwarebytes 主张其入侵与 SolarWinds 事件无关，因为该公司未在其内部网络中使用任何 SolarWinds 软件，并且其产品并不受影响，但潜在的隐患不可忽视，这起 SolarWinds 攻击事件终究还需早日解决。

对此，你有什么看法吗？欢迎评论区留言！

参考链接：

https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/

https://www.crowdstrike.com/blog/sunspot-malware-technical-analysis/

更多精彩推荐

• 2020 ACM Fellows 名单出炉，13 名华人入选，7 名来自国内！

• 舌尖上的AI：人工智能技术正在被“端上”餐桌

• 腾讯AI足球队夺冠Kaggle竞赛，绝悟强化学习方案迁移至足球队

• 用Matplotlib轻松复刻分析图，看看哪个城市买房最自由

• 精彩碰撞！神经网络和传统滤波竟有这火花