一个名为solarleaks.net的网站公布了4个待售卖的数据,其生成,数据均通过Solarwinds供应链事件中攻击获取。
这个站点发布价目表如下
[Microsoft Windows(部分)源代码和各种Microsoft存储库]
价格:60万美元
数据:msft.tgz.enc(2.6G)
[思科多种产品源代码+内部bugtracker数据]
价格:50万美元
数据:csco.tgz.enc(1.7G)
[SolarWinds产品源代码(全部包括Orion)+客户门户数据]
价格:25万美元
数据:swi.tgz.enc(612M)
[FireEye私有redteam工具,源代码,二进制文件和文档]
价格:5万美元
数据:feye.tgz.enc(39M)
这里的FireEye可以见此:APT组织分析公司火眼被APT组织入侵,红队工具被窃
4个一起团购价,100万美元即可打包带走。
而这4个文件下回来之后,经过二道的确认发现文件实际上是已经加密的情况,加密方法和之前影子经纪人的售卖方式一致。
必须要通过邮件交流,付费后才能获取到解密密钥。
当年影子经纪人也就是shadowbroker,在2016年8月公布“eqgrp-free-file.tar.xz.gpg“和”eqgrp-auction-file.tar.xz.gpg“两个文件,其中提供了第一个a文件的密码。2017年4月9日,“eqgrp-auction-file.tar.xz.gpg”文件解开密码。
此外,solarleaks.net域名通过域名隐私保护平台NJALLA进行注册,俄罗斯黑客组织Fancy Bear和Cozy Bear经常在那购置域名进行攻击活动。
而影子经纪人据称就是来自俄罗斯的黑客组织。
因此,可以说明一点,这个网站的建立者至少是非常了解影子经纪人此前的活动。
最后,复现一下该域名的ns记录,确实是在进行嘲讽(you can get)
本文始发于微信公众号(二道情报贩子):模仿影子经纪人?有人出售在SolarWinds攻击中盗取的数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论