SolarWinds : Un air de Shadow Brokers

Spread the love
  • Yum

SolarWinds : Un air de Shadow Brokers

Les Etats-Unis n’ont pas fini de démêler les ramifications de l’attaque ayant visé la société SolarWinds, mais les auteurs de l’attaque souhaitent visiblement laisser entendre le pire. Un site web du nom de solarleaks a été mis en ligne il y a deux jours par des internautes prétendant être les auteurs de la campagne d’attaques ayant visé SolarWinds et d’autres organisations.

Sur ce site, les auteurs du message proposent de revendre des données prétendument volées sur les serveurs de Microsoft, Cisco ou encore FireEye. Le prix proposé pour l’ensemble des données est fixé à 1 million de dollars, mais les auteurs du message proposent également d’acquérir « le code source partiel de Microsoft Windows et plusieurs dossiers Microsoft » pour 600 000 dollars, du code source Cisco pour 500 000 dollars, et des outils de red team de FireEye ainsi que d’autres codes sources, exécutables et documents volés pour 50 000 dollars. Les détenteurs du site web affirment également que de nouvelles fuites de données sont à venir dans les prochains jours et qu’il ne s’agit que de leur première offre.

publicité

Un air de déjà vu

Le site web semble utiliser le service de Njalla, une société suédoise créée par l’un des fondateurs de Piratebay, et qui propose un niveau d’anonymisation supplémentaire en cachant les données d’enregistrement du nom de domaine de ses utilisateurs. Un certain soin a donc été apporté afin d’anonymiser au maximum les créateurs de la page.

Si vous avez déjà sorti votre porte-monnaie, vous pourriez néanmoins être déçu : comme l’indique Bleeping Computer, l’adresse e-mail indiquée sur la page pour négocier les données ne fonctionne pas et renvoie une erreur indiquant que l’adresse est inexistante. De plus, les auteurs de la page ne donnent aucun élément permettant d’affirmer qu’ils sont bien à l’origine du piratage ou qu’ils possèdent effectivement les données qu’ils proposent à la vente.

Cela pourrait donc bien n’être qu’une simple arnaque profitant de la découverte de ce piratage pour attirer l’attention, ou bien une manœuvre de désinformation de plus, celles-ci étant fréquentes dans le cadre de ce type d’attaques. Il faut dire que la méthode fait évidemment penser au précédent bien connu des Shadow Brokers, un groupe mystérieux apparu en 2016 ayant proposé à la vente plusieurs fichiers et exécutables utilisés par la NSA. Dans ce cas précédent, les données proposées à la vente puis dévoilées publiquement contenaient effectivement des logiciels malveillants utilisés par le renseignement américain, dont la faille EternalBlue qui a ensuite été utilisée dans les attaques WannaCry et NotPetya.

Leave a Reply

%d bloggers like this: