Kasım 2020’de, DOJ ihlalin hafifletilmesini tamamladıktan aylar sonra, Mandiant saldırıya uğradığını keşfetti ve ihlalinin izini takip eden ay sunucularından birinde Orion yazılımına kadar sürdü. Yazılımla ilgili bir araştırma, yazılımın, Şubat 2020’de SolarWinds tarafından derlenirken bilgisayar korsanlarının Orion yazılımına yerleştirdiği bir arka kapı içerdiğini ortaya çıkardı. Kusurlu yazılım, Mart ve Haziran arasında indiren yaklaşık 18.000 SolarWinds müşterisine gitti. DOJ, Orion sunucusundan çıkan anormal trafiği keşfettiği sıralarda. Ancak bilgisayar korsanları, casusluk operasyonları için hedef olarak bunların yalnızca küçük bir alt kümesini seçtiler. Virüs bulaşmış federal kurumlara ve teknoloji firmaları, devlet kurumları, savunma müteahhitleri ve düşünce kuruluşları da dahil olmak üzere yaklaşık 100 başka kuruluşa daha fazla girdiler.
Şirket, 28 Temmuz 2020’de Mandiant’ın kendisine Orion yazılımı bulaştığını söyledi.
Şirketin Aralık ayında tedarik zincirini hacklediğini duyurduğunda neden aylar önce bir hükümet ağında SolarWinds kampanyasıyla ilgili bir olayı izlediğini kamuya açıklamadığı sorulduğunda, bir sözcü yalnızca “gittiğimizde” dedi. halka açık, güvenliği ihlal edilmiş diğer müşterileri belirledik.”
Olay, Biden yönetiminin vurguladığı gibi, ajanslar ve sektör arasında bilgi paylaşımının öneminin altını çiziyor. DOJ CISA’yı bilgilendirmiş olsa da, Ulusal Güvenlik Teşkilatından bir sözcü WIRED’e erken DOJ ihlalini Ocak 2021’e kadar öğrenmediğini söyledi.
Aynı ay, 100.000’den fazla çalışanı FBI, Uyuşturucuyla Mücadele Teşkilatı ve US Marshals Service dahil olmak üzere birden fazla kurumu kapsayan DOJ, SolarWinds kampanyasının arkasındaki bilgisayar korsanlarının muhtemelen Office 365 posta kutularının yaklaşık yüzde 3’üne eriştiğini açıkladı. Altı ay sonra departman konuyu genişletti ve bilgisayar korsanlarının California, New York ve Washington, DC’dekiler de dahil olmak üzere 27 ABD Avukatlık ofisindeki çalışanların e-posta hesaplarını ele geçirmeyi başardıklarını duyurdu.
DOJ yaptığı son açıklamada, “şeffaflığı teşvik etmek ve vatanın dayanıklılığını güçlendirmek” için, bilgisayar korsanlarının yaklaşık 7 Mayıs’tan 27 Aralık 2020’ye kadar güvenliği ihlal edilmiş hesaplara erişimi olduğuna inanılanlar da dahil olmak üzere yeni ayrıntılar sağlamak istediğini söyledi. güvenliği ihlal edilen veriler, “o süre içinde bu hesaplarda bulunan gönderilen, alınan ve depolanan tüm e-postaları ve ekleri” içeriyordu.
DOJ olayının müfettişleri, ihlalin erken kanıtlarına rastlayan tek kişiler değildi. Departmanın soruşturmasıyla aynı sıralarda, şirketin daha önce bildirdiği gibi güvenlik firması Volexity de bir ABD düşünce kuruluşundaki bir ihlali araştırıyor ve bunu örgütün Orion sunucusuna kadar takip ediyordu. Eylül ayının sonlarında, güvenlik şirketi Palo Alto Networks de Orion sunucusuyla bağlantılı olarak anormal bir etkinlik keşfetti. Volexity, müşterisinin sunucusunda bir arka kapı olabileceğinden şüphelendi, ancak araştırmayı bulamadan sonlandırdı. Palo Alto Networks, DOJ’un yaptığı gibi SolarWinds ile temasa geçti, ancak bu durumda da sorunu tam olarak belirleyemediler.
Hükümetin kampanyayı erken aşamalarında önleme ve tespit etme konusundaki başarısızlığını eleştiren Oregon Demokrat Senatörü Ron Wyden, ifşaatın ABD hükümetinin saldırılara nasıl tepki verdiğine ve onu durdurmak için kaçırdığı fırsatlara yönelik bir soruşturma ihtiyacını gösterdiğini söylüyor. .
Bir e-postada, “Rusya’nın SolarWinds bilgisayar korsanlığı kampanyası, yalnızca ABD hükümeti ve endüstri ortaklarının ardı ardına gelen başarısızlıkları nedeniyle başarılı oldu” diye yazdı. “Yürütme organının bu başarısızlıkları kapsamlı bir şekilde araştırdığına ve ele aldığına dair herhangi bir kanıt görmedim. Federal hükümetin acilen yanlış giden şeyin temeline inmesi gerekiyor ki gelecekte hükümet tarafından kullanılan diğer yazılımlardaki arka kapılar derhal keşfedilip etkisiz hale getirilebilsin.”