Ancak aradıkları geçidi bulduklarında sadece 24 saat uğraşmışlardı: hileli trafikten sorumlu gibi görünen tek bir dosya. Carmakal, onu bulduklarında 11 Aralık olduğuna inanıyor.
Dosya, diğer programlar tarafından paylaşılan kod bileşenleri olan bir .dll veya dinamik bağlantı kitaplığıydı. Bu .dll dosyası büyüktü, 4.000’den fazla meşru eylem gerçekleştiren yaklaşık 46.000 satır kod ve bir saat boyunca analiz ettikten sonra buldukları gibi, bir gayri meşru eylem içeriyordu.
.dll dosyasının ana işi, SolarWinds’e bir müşterinin Orion kullanımı hakkında bilgi vermekti. Ancak bilgisayar korsanları, kurbanın ağı hakkında istihbarat iletmesini sağlayan kötü amaçlı bir kod yerleştirdiler. onların bunun yerine komut sunucusu. Ballenthin, SolarWinds’te bir oyun olan haydut koda “Sunburst” adını verdi. Keşif konusunda kendinden geçmişlerdi. Ama şimdi davetsiz misafirlerin onu Orion .dll’ye nasıl gizlice soktuğunu bulmaları gerekiyordu.
Bu önemsiz olmaktan çok uzaktı. Orion .dll dosyası, SolarWinds dijital sertifikasıyla imzalanmıştır. sözde dosyanın yasal şirket kodu olduğunu doğrulamak için. Bir olasılık, saldırganların dijital sertifikayı çalmış, Orion dosyasının bozuk bir sürümünü oluşturmuş, dosyayı orijinal görünmesi için imzalamış ve ardından bozuk .dll dosyasını Mandiant’ın sunucusuna yüklemiş olmasıydı. Ya da daha endişe verici bir şekilde, SolarWinds’in ağını ihlal etmiş ve meşru Orion .dll kaynak kodunu değiştirmiş olabilirler. önce SolarWinds kodu yazılıma dönüştürerek derledi ve imzaladı. İkinci senaryo o kadar abartılı görünüyordu ki Mandiant ekibi bunu gerçekten dikkate almadı; ta ki bir müfettiş SolarWinds web sitesinden bir Orion yazılım güncellemesi indirene kadar. Arka kapı onun içindeydi.
Bunun anlamı şaşırtıcıydı. Orion yazılım paketinin, bazıları Mart ayında saldırıya uğramış yazılım güncellemesini almaya başlayan yaklaşık 33.000 müşterisi vardı. Bu, bazı müşterilerin sekiz aydır tehlikeye girmiş olabileceği anlamına geliyordu. Mandiant ekibi, bir yazılım tedarik zinciri saldırısının bir ders kitabı örneğiyle karşı karşıyaydı – güvenilir yazılımın kaynağında alçakça değiştirilmesi. Saldırganlar tek bir vuruşta binlerce, potansiyel olarak milyonlarca makineye bulaşabilir.
2017’de bilgisayar korsanları, bilgisayar güvenlik temizleme aracı CCleaner’ı tehlikeye atarak bir yazılım tedarik zincirini sabote etmiş ve 2 milyondan fazla kullanıcıya kötü amaçlı yazılım dağıtmıştı. Aynı yıl Rusya, kötü amaçlı NotPetya solucanını, daha sonra tüm dünyaya yayılan TurboTax’ın Ukrayna’daki eşdeğerine yönelik bir yazılım güncellemesinde dağıttı. Kısa bir süre sonra Çinli bilgisayar korsanları, binlerce Asus müşterisine arka kapı kaydırmak için bir yazılım güncellemesi kullandı. Soruşturmanın bu erken aşamasında bile Mandiant ekibi, diğer saldırıların hiçbirinin SolarWinds kampanyasına rakip olmayacağını söyleyebilirdi.
SolarWinds Chase’e Katılıyor
o bir 12 Aralık Cumartesi sabahı, Mandia SolarWinds’in başkanını ve CEO’sunu cep telefonundan aradığında. Texas şirketinde 14 yıllık emektar olan Kevin Thompson, ay sonunda CEO olarak görevinden ayrılıyordu. Mandia’dan duymak üzere olduğu şey – Orion’un enfekte olduğu – görev süresini tamamlamanın harika bir yoluydu. Mandia, “Bunu 24 saat içinde halka açacağız,” dedi. Önce SolarWinds’e bir duyuru yayınlama şansı vereceğine söz verdi, ancak zaman çizelgesi pazarlık konusu değildi. Mandia’nın bahsetmediği şey, kendisinin dış baskı altında olduğuydu: Bir muhabire arka kapı hakkında bilgi verilmiş ve bunu doğrulamak için şirketiyle temasa geçmişti. Mandia, hikayenin Pazar akşamı yayınlanmasını bekliyordu ve bunun önüne geçmek istedi.
Thompson, SolarWinds’in güvenlik mimarisi başkanı Tim Brown’ı ilk arayanlardan biri olarak aramalar yapmaya başladı. Brown ve ekibi, Orion yazılım güncellemelerinde Sunburst arka kapısının varlığını hızlı bir şekilde doğruladı ve bunun 2020 baharından bu yana 18.000 kadar müşteriye teslim edildiğini telaşla anladı. (Onu her Orion kullanıcısı indirmemişti.) Thompson ve diğerleri, Cumartesi gününün çoğunu, karşılaştıkları teknik, yasal ve tanıtım zorluklarını denetlemek için ekipleri çılgınca bir araya getirerek geçirdiler. Ayrıca, ihlal soruşturmasını denetlemesi için şirketin dış hukuk müşaviri DLA Piper’ı da aradılar. Piper’da bir avukat ve adli tıp uzmanlığına sahip eski bir savcı olan Ron Plesco, akşam 22.00 sıralarında arandığında arkadaşlarıyla arka bahçesindeydi.