核心观点与事件概述
2021年1月12日,一个名为"SOLARLEAKS"的恶意网站出现,声称出售SolarWinds供应链攻击中涉及的四家受害公司的数据,包括Microsoft、Cisco、SolarWinds和FireEye的相关信息。该网站通过加密存档文件提供数据,并索要总计100万美元的赎金,引发了对数据真实性及攻击者身份的广泛猜测。
关键数据与证据
- 泄露数据内容:Microsoft部分源代码、Cisco多个产品源代码及内部bugtracker转储、SolarWinds产品源代码(包括猎户座)及客户门户转储、FireEye私有redteam工具、源代码、二进制文件和文档。
- 数据加密:所有数据均使用强加密密钥加密,需要购买者使用提供的PGP公钥解密。
- 联系方式:威胁行为者通过"solarleaks@protonmail.com"提供联系方式,并附有PGP公钥。
- 网站域名:solarleaks[.]net,解析到IP地址185.193.126[.]236,使用Njalla VPS托管,该服务注重隐私且接受加密货币支付。
- 时间线:Reddit上发布泄露公告的时间为2021年1月12日格林威治时间17:16,网站内容最后修改时间在1316至1616小时之间。
研究结论与推测
- 数据真实性:由于文件使用非对称加密编码,且未提供文件列表、屏幕截图等详细证据,数据真实性存疑,可能为无效文件以欺骗潜在购买者。
- 攻击者身份:尽管有推测认为攻击者可能与俄罗斯有关联,但时间上的巧合也可能只是试图利用SolarWinds事件的关注度进行欺诈或暗示外国国家行为体的责任。
- 持续监测:赛博智能研究部门将继续监测情况,以确定数据是否真实有效及是否对受害者构成威胁。
补充信息
- 参考文献:提供了SolarWinds相关漏洞及供应链攻击的博客链接,以及美国执法部门的联合声明链接。
- 附录A:包含网站上的原始内容文本。
