Een website genaamd SolarLeaks verkoopt data die via de SolarWinds hack gestolen werd. Het aanbod bevat onder andere broncode Microsoft, Cisco, FireEye en SolarWinds.
De SolarLeaks website biedt een deel van de Microsoft Windows-broncode en een aantal andere Microsoft-repositories te koop aan voor 600.000 dollar. Via een online dienst voor het hosten van bestanden geeft de website bewijs de code daadwerkelijk in handen te hebben.
Naast de Microsoft-code biedt de website broncode en een interne bug tracker voor meerdere Cisco producten aan voor 500.000 dollar. De broncode voor SolarWinds-producten, waaronder Orion en een klantenportaal staan te koop voor 250.000 dollar en mensen kunnen besloten red team tools, broncode, binaries en documentatie van FireEye kopen voor 50.000 dollar. Ook in al deze gevallen biedt de website bewijs via een dienst voor het hosten van bestanden.
De SolarLeaks website wordt gehost op een IP adres dat is geregistreerd via Njalla, een privacyvriendelijke dienst voor domeinregistratie die wordt gerund door Pirate Bay oprichter Peter Sunde. Dezelfde dienst wordt ook veel gebruikt door de Russische hackgroepen Fancy Bear en Cozy Bear.
Vooral toegang tot Windows broncode komt als verrassing
We wisten al dat Cisco, FireEye en SolarWinds werden aangetast door de aanval. Ook gaf Microsoft aan dat aanvallers toegang hadden verkregen tot een deel van de broncode. De vraag was op dat moment nog welk deel van de broncode hackers hadden ingezien. Het was nog niet bekend dat het om Windows-broncode ging.
Ronen Slavin, co-founder en CTO bij broncode bescherming start-up Cycode vertelde aan SiliconANGLE: “We kunnen niet bevestigen of de broncode die te koop wordt aangeboden echt is. De site beweert Windows broncode aan te bieden. Als het nep is, is het wel een uitgebreide vervalsing.”
Grote problemen als broncode in verkeerde handen komt
Als de Windows en Cisco broncode in de verkeerde handen komt, wordt beveiliging een stuk moeilijker, legt Slavin uit.
“Aanvallers hebben de blauwdrukken om het besturingssysteem, de routing en het beveiligingsapparatuur te reverse engineering. Dit is een krachtige combinatie, want wanneer aanvallers beide endpoints en de verbindingen ertussen kunnen in gevaar kunnen brengen, zijn ze veel beter in staat om zich ongedetecteerd te bewegen binnen netwerken”, zegt Slavin.
Volgens Slavin is vooral de blootstelling van Cisco zorgwekkend, doordat de website beweert ook interne bug tracking data te hebben. Als dit waar is, krijgen hackers zero-day exploits op een presenteerblaadje aangeboden. De data wijzen hackers op kwetsbaarheden die Cisco zelf heeft ontdekt in zijn producten, maar nog niet heeft opgelost.