{"id":241722,"date":"2021-01-14T11:12:00","date_gmt":"2021-01-14T10:12:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=241722"},"modified":"2021-01-14T12:12:42","modified_gmt":"2021-01-14T11:12:42","slug":"solarleaks-bietet-angeblich-sourcecode-von-cisco-microsoft-und-solarwinds-an","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/14\/solarleaks-bietet-angeblich-sourcecode-von-cisco-microsoft-und-solarwinds-an\/","title":{"rendered":"SolarLeaks bietet angeblich Sourcecode von Cisco, Microsoft und SolarWinds an"},"content":{"rendered":"

[English<\/a>]Eine Webseite mit dem Namen SolarLeaks bietet Sourcecode an, der angeblich bei den Angriffen \u00fcber die Solarburst-Backdoor in den SolarWinds Orion-Produkten bei Cisco, Microsoft und SolarWinds erbeutet wurde. Es k\u00f6nnte sich aber um Trittbrettfahrer handeln. Zudem wurde eine dritte Malware, SunBurst, auf den Build-Systemen von SolarWinds entdeckt. \u00dcber die Malware fand der Supply-Chain-Angriff statt.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber den Tweet<\/a> von Bleeping Computer auf den Sachverhalt gesto\u00dfen, der recht mysteri\u00f6s ist. Der zugeh\u00f6rige Artikel ist hier zu finden<\/a>. Eine neue Seite solarleaks[dot]net bietet Sourcecode an, der angeblich bei den Angriffen \u00fcber die Solarburst-Backdoor in den SolarWinds Orion-Produkten bei Cisco, Microsoft und SolarWinds erbeutet wurde.<\/p>\n

\"SolarLeaks<\/a><\/p>\n

In den vergangenen Stunden scheint diese Seite m\u00f6glicherweise mehrfach offline gegangen zu sein – aktuell ist sie aber wieder erreichbar. Nachfolgend ist ein Screenshot der Seite zu sehen:<\/p>\n

\"SolarLeaks<\/p>\n

Angeblich sollen Teile des Windows-Quellcodes, diverse Cisco-Quellcodes sowie der Quellcode des SolarWinds Orion-Produkts und die FireEye Red-Team-Tools zu haben sein. Kostet insgesamt 1 Million US-Dollar f\u00fcr alles, aber es gibt auch die M\u00f6glichkeit, Teile zu kaufen.<\/p>\n

Alles Fake?<\/h2>\n

Die spannende Frage ist, ob das Angebot ein riesiger Betrug ist. Denn die Betreiber der Webseite verlangen 100 Moneros (Kryptogeld), was aktuell 167,49 US-Dollar entspricht, als Vorabzahlung, um mit Interessenten ins Gesch\u00e4ft zu kommen. Erst dann k\u00f6nne man Probematerial schicken. Wenn 1.000 Leute darauf eingehen, w\u00fcrde dies alleine bereits 167.000 US-Dollar an Einnahmen f\u00fcr nichts und wieder nichts bedeuten.<\/p>\n

Laut diesem Tweet<\/a> wurde die Domain f\u00fcr die Seite \u00fcber NJALLA registriert, ein Anbieter, der auch von den Hacker-Gruppen Fancy Bear und Cozy Bear verwendet wird. Das spricht daf\u00fcr, dass die Hinterm\u00e4nner zumindest ein wenig Informationen \u00fcber die Vorgehensweise der russischen Hackergruppen haben. In Folge-Tweets wird aber die Frage aufgeworfen, warum man die SolarWinds-Kundendatenbank nicht st\u00fcckweise verkauft. Niemand wird eine Viertel-Million US-Dollar f\u00fcr das SolarWinds-Zeug hinlegen.<\/p>\n

In diesem Tweet<\/a> weist jemand darauf hin, dass die Domain bereits seit 13 Jahren in Benutzung ist und einiges auf die Lazarus-Gruppe<\/a> (mutma\u00dflich nordkoreanische Staatshacker) hindeutet. Beim Aufsetzen der Site haben die Hinterm\u00e4nner laut diesem Tweet<\/a> Fehler begangen, so dass IP-Adressen, die sich mit dem Server verbunden haben, einsehbar waren. Das ist wohl zwischenzeitlich korrigiert.<\/p>\n

Josef Cox hat Spiegel-Server gefunden<\/a> und schreibt<\/a>, dass es bisher keinen Beweis gebe, dass die Betreiber echtes Material in den Fingern haben. Lorenzo Franceschi geht in diesem Tweet<\/a> von Betrug aus. Auch Lawrence Abrams von Bleeping Computer geht in diesem Tweet<\/a> von Betrug aus, da keine g\u00fcltige E-Mail-Adresse f\u00fcr eine Kommunikation angegeben wurde. Mal sehen, was noch so ans Tageslicht kommt.<\/p>\n

Dritte SolarWinds-Malware SunSpot entdeckt<\/h2>\n

Derweil kommen immer neue Details \u00fcber den Supply-Chain-Angriff ans Tageslicht. Bisher war bekannt, dass die SolarWinds Orion-Software durch die SolarBurst-Backdoor kompromittiert war und auf manchen Systemen eine weitere Malware, eingeschleust durch eine Schwachstelle in den Orion-Produkten, gefunden wurde. ZDnet berichtet in diesem Artikel<\/a>, dass eine dritte Malware auf den Build-Servern des Opfers SolarWinds gefunden wurde.<\/p>\n

Das Cybersicherheitsunternehmen CrowdStrike, eines der Unternehmen, die direkt an der Untersuchung des Angriffs auf die Lieferkette von SolarWinds beteiligt waren, hat die Malware entdeckt und den Namen SunSpot vergeben. Eine technische Analyse der Malware findet sich in diesem CrowdStrike-Bericht<\/a>. Zusammengefasst l\u00e4sst sich folgendes herausziehen:<\/p>\n