Le cyberpiratage mondial SolarWinds réalisé avec l'appui d'une puissance étatique tel que la Russie déboucherait donc sur une vulgaire vente de données sur le dark web ? On a du mal à y croire mais un site baptisé SolarLeaks prétend en tout cas détenir des données issues de ce vaste hack sans pour autant qu'il soit possible de relier le groupe malveillant qui est derrière cette opération avec les pirates de SolarWinds. De nombreuses data seraient mise en vente, dont du code source Microsoft pour 600 000 dollars, Cisco pour 500 000 dollars, SolarWinds pour 250 000 $ ou encore les outils Red Team de FireEye pour 50 000 $. « Cisco est au courant de l'existence de ce site Web et n'a aucune preuve pour le moment d'un vol de propriété intellectuelle lié à des événements récents. Nous nous engageons à faire preuve de transparence et si nous trouvons des informations dont nos clients doivent avoir connaissance, nous les partagerons via nos canaux », a expliqué Cisco.
Cerise sur la gâteau : pour la modique somme d'1 million de dollars, SolarLeaks indique être en mesure de livrer la totalité des codes sources volés. Un peu trop gros pour être vrai... Après quelques recherches, il s'avère que le nom de domaine de ce site est enregistré sur le registrar NJALLA, utilisé par des cybergangs russes connus comme Fancy Bear et Cozy Bear.
16 000 $ pour récupérer des extraits de données leakées
Après avoir vu leur adresse de contact ProntonMail désactivée par ce dernier, les cyberpirates derrière SolarLeaks se sont fendu d'explications et consignes à l'intention de leurs éventuels acheteurs : « nos adresses e-mail principales et de sauvegarde ont été fermées. Nous comprenons que vous souhaitez plus d'informations, mais nous ne pouvons pas donner d'informations gratuitement. Ce serait une insulte à nos acheteurs de confiance. Cependant, nous pouvons fournir des exemples de données (pour toutes les fuites + bonus) comme preuve de propriété. Comme nous ne considérons que des partenaires sérieux, voici comment nous traiterons les demandes : Envoyez exactement 100 XMR à l'adresse ci-dessous, ajoutez un identifiant de paiement avec votre adresse e-mail afin que nous puissions vous recontacter. Vous devez encoder votre adresse e-mail sous forme de données de 32 octets dans l'identifiant de paiement ».
16 000 $ pour récupérer d'hypothétiques extraits de données volées d'un des plus grands piratages de l'Histoire cela intéresse-t-il quelqu'un ? « Bien que le site soit toujours considéré par beaucoup comme une arnaque, Microsoft a étrangement commencé à détecter l'archive cryptée contenant prétendument leur code source comme HackTool: Win32 / Solardump.A et HackTool: Win32 / Solardump.B », explique cependant Bleeping Computer. « Pour compliquer les choses, une copie de site SolarLeak a été créée avec le même contenu de site Web, mais une adresse Monero différente ». Les mystères du dark web sont décidément impénétrables certes, mais hautement monnayables.
Commentaire