Piratage de SolarWinds : le retour des Shadow Brokers ?
Le 14 janvier 2021 à 09h26
2 min
Internet
Un site Web nommé « SolarLeaks » vend des données de Microsoft, Cisco, FireEye et SolarWinds qui, avance-t-il, ont été volées lors du piratage sophistiqué que le FBI, la CISA et la NSA ont attribué aux services de renseignement russes, relève BleepingComputer.
Dans un style similaire à celui des Shadow Brokers, le groupe non-identifié qui avait proposé à la vente une partie de l'arsenal, des vulnérabilités et des outils volés à la NSA, les acteurs de SolarLeaks déclarent qu'ils vendront les données volées par lots, et que d'autres seront publiés à une date ultérieure.
Le site prétend vendre du code source et des référentiels Microsoft, qui a confirmé que les pirates ont eu accès à son code source, pour 600 000 $. Du code source de plusieurs produits Cisco ainsi que, encore plus préoccupant, le traqueur de bogues interne de l'entreprise, est quant à lui proposé à 500 000 $. Le site prétend également vendre des outils de la « red team » et du code source de FireEye pour 50 000 $. Enfin, du code source de SolarWinds est proposé à 250 000 $. Le tout serait disponible pour 1 million de dollars.
Le domaine solarleaks.net est enregistré via NJALLA, un registrar connu pour être utilisé par les groupes de cyberespionnage russes Fancy Bear et Cozy Bear. Les données WHOIS de solarleaks[.]net montrent par ailleurs que les serveurs de noms assignés narguent également les enquêteurs en mode « You Can Get No Info ».
Le modus operandi, le prix très élevé demandé et le fait qu'aucune donnée gouvernementale ne soit (en l'état) commercialisé laisse entendre que SolarLeaks n'émanerait pas d'escrocs ni de scammers, mais bien d'une entité puissante et bien organisée type Shadow Brokers... ou qui voudrait bien se faire passer pour telle.
Le 14 janvier 2021 à 09h26
Commentaires (3)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/01/2021 à 09h40
#1
Il faut toujours être prudent quant à l’attribution d’une attaque. Pour l’instant le mode opératoire TTP (Tactics/Techniques/Procedures) n’a pas déjà été utilisé par un autre groupe connu, même si des éléments sont communs.
Les autorités américaines penchent pour Fancy Bear et Cozy Bear, mais Kaspersky trouve des similitudes avec Kazuar, plutôt utilisé par le groupe Turla qu’on associe au FSB, ce qui expliquerait qu’il n’y a pas de demander de rançon.
Le 14/01/2021 à 14h17
#2
Je serais l’un d’entre eux, je couperait l’herbe sous le pied de ces marchands criminels en ouvrant gratuitement l’intégralité des codes sources volés, le tout suivi dans la foulée de mises à jour logicielles pour corriger toutes les éventuelles failles détectées dans ces portions de code.
Le 14/01/2021 à 15h45
#2.1
C’est pas aussi simple.