Incydent z SolarWinds: hakerzy oferują sprzedaż kodu źródłowego Microsoft i Cisco

Pod koniec zeszłego roku miał miejsce incydent bezpieczeństwa o nazwie Solorigate, którego ofiarą padli klienci SolarWinds — blisko 18 tysięcy firm. 31 grudnia Microsoft pisał, że w jego dochodzeniu nie odnaleziono dowodów na dostęp do usług produkcyjnych lub danych klientów, a jego systemy nie zostały użyte do atakowania innych. Złośliwemu oprogramowaniu udało się jednak zyskać dostęp do części kodu źródłowego. Teraz został on wystawiony na sprzedaż. Tak przynajmniej utrzymuje pewna grupa hakerska.

Microsoft wykrył złośliwe aplikacje SolarWinds w swoim środowisku, które następnie odizolował i usunął. Wykryto przy tym podejmowane aktywności wykraczające poza samą obecność złośliwego kodu. Chodziło o nietypową aktywność na niewielkiej liczbie wewnętrznych kont. Jedno z nich było użyte do przeglądania kodu źródłowego z kilku repozytoriów. Konto nie miało uprawnień do modyfikacji kodu ani systemów inżynieryjnych, dlatego nie odnotowano żadnych zmian.

Póki co nie wiadomo, czy kod źródłowy ma jakieś specjalne zastosowania (podobno to fragmenty kodu Windows i różnych repozytoriów), niemniej jednak pewien haker twierdzi, że posiada ów kod i chce go sprzedać za 600 tysięcy dolarów. Informację przekazał badacz zabezpieczeń Jake Williams z Rendition Infosec. Ostrzega on, że atakujący — najprawdopodobniej rosyjska grupa Shadow Brokers — faktycznie chce sprzedać jakieś dane, ale prawdopodobnie nie pochodzą one z incydentu Solorigate.

Microsoft dodał jeszcze, że nie ma dowodów, aby wgląd w kod źródłowy naraził jego usługi lub dane klientów. Ponadto przeglądanie kodu nie zwiększa ryzyka, jako że firma nie polega na sekretności kodu w celu ochrony swoich produktów (jak wiadomo, wiele rozwiązań chroniących czy szyfrujących jest dostępnych w Open Source i w żaden sposób ich to nie osłabia).