Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향SolarWinds로부터 얻은 데이터를 판매하는 SolarLeaks
작성일 2021-01-14 조회 172

SolarWinds

 

SolarLeaks(솔라릭스)라는 이름의 웹 사이트는 SolarWinds(솔라윈즈) 공격에서 얻었다고 주장하는 자료들을 판매하고 있다.

 

지난 달, 네트워크 관리 회사인 솔라윈즈의 공급망 공격 피해로 18,000명이 사이버 공격을 당한 것으로 밝혀졌다.

 

FBI와 CISA, NSA 등이 공동 발표한 성명에서 이번 공격은 피해자들의 이메일과 파일 등 클라우드 데이터를 빼내려는 러시아 국영 해킹 단체가 벌인 것으로 드러났다.

 

이 웹 사이트는 마이크로소프트의 소스 코드와 저장소를 60만 달러에 판매한다고 주장한다. 마이크로소프트는 공격자들이 솔라윈즈 침해 과정에서 소스 코드에 접속한 것을 확인했다.

 

이 뿐 아니라 여러 시스코 제품에 대한 소스코드와 회사 내부 버그 트래커 덤프를50만 달러에 판매하고 있는데, 시스코가 발표한 보안 권고안에서 공격자가 소스코드를 훔쳤다는 증거는 없다고 밝혔다.

 

이 외에도 파이어아이 레드팀 도구와 소스코드를 5만 달러에, 솔라윈즈 소스 코드와 고객 포털 덤프를 25만 달러에 판매한다.

 

solarleaks[.]net 도메인은 러시아 해킹그룹인 Fancy Bear와 Cozy Bear가 사용하는것으로 알려진 도메인 업체 NJALA를 통해 등록되었다.

 

[그림 1. 도메인 정보 트윗 내용]

 

솔라릭스의 WHOIS 기록을 보면, 할당된 이름 서버는 "You Can Get No Info"라는 문구로 연구원들을 조롱하기도 한다.

 

SolarLeaks nameservers

[그림 2. WHOIS 정보]

 

 

 

첨부파일 첨부파일이 없습니다.
태그 SolarWinds  SolarLeaks