事不大侮辱性极强：微软、思科等企业源代码被黑客在线售卖，打包价 100 万美元

被盗的几家企业都表示很“懵”。

1 月 12 日，一个名叫 SolarLeaks 网站启动了，该网站表示正在出售微软、思科、FireEye 和 SolarWinds 的源代码以及相关数据。这几家公司的产品源代码均被标上了不同的价格，从 5 万到 60 万不等，全部打包售卖的价格为 100 万美元，并且不支持议价。

几家顶级企业的源代码被盗

SolarLeaks 网站声称以 60 万美元的价格出售微软 2.6G 大小的源代码和存储库。

微软曾于 1 月 3 日在其博客上发布消息，表示在其内部环境中检测到 SolarWinds Orion 平台供应链攻击期间下载的恶意可执行文件。微软表示，黑客设法提升了微软内部网络里的访问权限，因而可以访问少量内部帐户，并利用这些帐户访问了微软的源代码库。微软还强调被访问的帐户只有查看权限，声称黑客没有对代码或工程系统进行任何更改，想以此淡化对公司的影响：

“微软采用一种内部开源（inner source）方法，采用开源软件开发最佳实践，有类似的开源文化，使源代码在微软内部可见。这意味着我们并不依赖源代码的保密性来确保产品的安全性，而我们的威胁模型假定攻击者对源代码有了解。因此查看源代码并不意味着风险随之提高。”

但是这次的黑客行动明显打了微软的脸：并不是微软所讲的“只有访问权限，没什么大不了的”，黑客不仅查看了代码，而且还打包下载了相关代码和数据。

此外，黑客还声称要以 50 万美元出售思科的多种产品源代码，甚至包括思科内部的错误分析工具。

思科随后表示他们知道 SolarLeaks 网站，但没有发现相关证据表明攻击者窃取了他们的源代码，也没有证据表示客户数据被盗。

同时泄漏的还有美国顶级安全公司 FireEye 的红队渗透工具，叫价最为便宜，只要 5 万美元。

FireEye 曾在去年 12 月 8 日发布通告称一个由国家赞助的高度复杂的 APT 组织偷走了他们的红队渗透工具。红队渗透工具是一种网络武器库，能够复制全球最复杂的黑客攻击方法，而且大多数工具都被保存在由 FireEye 密切监控的数字保险库当中。有网安人士表示，黑客可以利用 FireEye 的工具，以合理的方式大肆入侵各类高风险、高知名度目标。

FireEye 创始人凯文·曼迪亚（Kevin Mandia）还曾在上个月发文说：“虽然攻击者能够访问我们的某些内部系统，但是在我们的调查中，没有发现证据表明攻击者从主要系统中窃取了数据。”

打鹰的被鹰啄了眼，此次攻击对这个顶级安全公司来说堪称奇耻大辱，凯文·曼迪亚也只能“佩服”黑客的技术太过厉害了：“根据我 25 年的网络安全经验和对事件的响应，我得出的结论是，我们目睹了一个拥有一流进攻能力的国家的袭击。这次攻击与多年来我们应对的成千上万起事件不同。攻击者量身定制了其世界一流的功能，专门针对和攻击 FireEye。他们在操作安全方面接受过严格的培训，并有纪律和专注地执行。他们秘密采取行动，使用对抗安全工具和法医检查的方法。他们使用了我们或我们的合作伙伴过去从未见过的新颖技术组合。”

最后 SolarLeaks 网站还说，只要花费 100 万美元就可以打包买到所有数据，而且不支持议价，“免得浪费我们的时间”。

他们还表示未来将分批出售被盗的数据并发布更多信息，没有全部透露是因为目前他们还需要保留大部分访问权限。

到底是什么样的黑客组织

有研究人员发现"SolarLeaks"网站才刚注册，使用的域名注册商是 NJALLA。NJALLA 曾被俄罗斯黑客组织 Fancy Bear 和 Cozy Bear 使用过。

在查看 Solarleaks [。] net 的 WHOIS 记录时，分配的名称服务器还会返回“你无法获得任何信息”这样的语句，以嘲笑研究人员。

网络安全公司 Rendition Infosec 的总裁杰克·威廉姆斯 (Jake Williams) 表示，此次交易倾向于具有商业价值的数据，而不是从政府机构窃取的情报，可能表明这是一个真实的黑客组织。

对于黑客组织的具体信息，美国 FBI、NSA 都认为来自俄罗斯。因为 JetBrains 的三位创始人 Sergey Dmitriev、Eugene Belyaev 及 Valentin Kipiatkov 来自俄罗斯，所以上周美国调查机构还怀疑黑客攻击是通过 JetBrains 旗下的 TeamCity（CI/CD 服务器）产品，想对 JetBrains 发起调查。JetBrains 的产品也的确应用广泛，全美财富 100 强公司中有 79 家是 JetBrains 的客户，有 30 万家企业的开发人员在使用 JetBrains 的产品，SolarWinds 就是其中之一。随后，JetBrains 回应说他们从未以任何方式参与或涉及到黑客攻击中。

这次被盗代码的 SolarWinds 也在 1 月 12 日发表博客表示黑客入侵的部署时间可追溯到 2019 年 9 月，从潜伏到代码售卖，时间长达一年多。

只是黑客到底是谁，通过软件开发环境中的什么流程入侵的，大家还无从得知。

延伸阅读：

https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/

https://www.secrss.com/articles/27717