Bleeping Computer informa del descubrimiento del sitio web SolarLeaks (fugas solares[.]neto), donde individuos no identificados afirman estar vendiendo datos supuestamente robados de SolarWinds, Microsoft, cisco, y FireEye durante una reciente ataque a la cadena de suministro.
Sólo para recapitular, en diciembre 2020, se reveló que hackers desconocidos atacaron a SolarWinds, infectando su plataforma Orion con malware. Fuera de 300,000 Clientes de SolarWinds, solamente 33,000 estaban usando Orión, y la versión comprometida de la plataforma se instaló en aproximadamente 18,000 clientes’ máquinas, según cifras oficiales.
Como resultado, Las víctimas incluyeron entidades importantes como Microsoft., cisco, ojo de fuego, así como numerosas agencias gubernamentales de EE. UU., incluido el Departamento de Estado de EE. UU. y la Administración Nacional de Seguridad Nuclear.
A principios de enero, el fbi, NSA, CISA, y ODNI emitieron una declaración conjunta indicando que un anónimo grupo APTO de «probablemente origen ruso» fue responsable del extenso ataque. Los funcionarios describieron el hack de SolarWinds como «un intento de recopilar inteligencia.»
Ahora, Los desconocidos afirman estar dispuestos a vender los siguientes datos robados.:
- $600,000: Códigos fuente de Microsoft Windows y otros datos de los repositorios de la empresa (2.6 ES);
- $500,000: Códigos fuente de varios productos de Cisco y un volcado interno de seguimiento de errores. (1.7 ES);
- $50,000: Herramientas FireEye del equipo rojo privado, códigos fuente, binarios, y documentación (39 MEGABYTE);
- $250,000: Código fuente del producto SolarWinds (incluyendo Orión) y volcado del portal del cliente (612 MEGABYTE).
Los hackers ofrecen vender todos estos datos al por mayor por un millón de dólares. Además, Los operadores del sitio imitan al conocido grupo de hackers The Shadow Brokers., afirmando que inicialmente, la información robada se venderá en lotes, y después, será publicado libremente en el dominio público.
Es de destacar que, si bien los representantes de Microsoft confirmaron previamente la posibilidad de robo del código fuente, Cisco anunció no tener pruebas del robo de su propiedad intelectual. Las fugas solares[.]El dominio net está registrado a través del registrador NJALLA., cual es popular entre los hackers. Al intentar verificar la información de WHOIS, aparece el mensaje «No puedes obtener información.».
Aún se desconoce si los operadores del sitio poseen los datos que afirman tener, o si SolarLeaks es un ambicioso intento de estafa. Los periodistas intentaron contactar a los atacantes utilizando la dirección de correo electrónico proporcionada en el sitio web., pero se comprobó que no existía.