در نوامبر 2020، ماهها پس از اینکه و، دادگستری اقدامات کاهش نفوذ خود را تکمیل کرد، Mandiant متوجه شد که هک شده است و ردیابی نقض خود را در نرمافزار Orion در یکی از سرورهای خود در ماه بعد دنبال کرد. بررسی این نرمافزار نشان داد که حاوی یک درب پشتی است که هکرها در نرمافزار Orion در هنگام کامپایل شدن توسط SolarWinds در فوریه 2020 در آن جاسازی کرده بودند. درست در زم، که DOJ ترافیک غیرعادی ،وج از سرور Orion خود را کشف کرد. با این حال، هکرها تنها زیر مجموعه کوچکی از این موارد را برای هدف قرار دادن عملیات جاسوسی خود انتخاب ،د. آنها بیشتر به آژانسهای فدرال آلوده و حدود 100 سازمان دیگر از جمله شرکتهای فناوری، سازمانهای ،تی، پیمانکاران دفاعی و اتاقهای فکر نفوذ ،د.
شرکت Mandiant به WIRED گفت که خود Mandiant در 28 ژوئیه 2020 به نرم افزار Orion آلوده شد، که مصادف با دوره ای بود که این شرکت به و، دادگستری برای بررسی نقض آن کمک می کرد.
هنگامی که از این سوال پرسیده شد که چرا، زم، که این شرکت در ماه دسامبر هک زنجیره تامین را اعلام کرد، به طور علنی فاش نکرد که در حال ردیابی یک رویداد مرتبط با کمپین SolarWinds در یک شبکه ،تی ماهها قبل بوده است، یک سخنگوی تنها خاطرنشان کرد که «زم، که ما رفتیم. عمومی، ما سایر مشتریان در معرض خطر را شناسایی کرده بودیم.»
این حادثه بر اهمیت به اشتراک گذاری اطلاعات در میان آژانس ها و صنعت تاکید می کند، چیزی که ،ت بایدن بر آن تاکید کرده است. اگرچه و، دادگستری به CISA اطلاع داده بود، سخنگوی آژانس امنیت ملی به WIRED گفت که تا ژانویه 2021، زم، که اطلاعات در تماسی بین کارمندان چندین آژانس فدرال به اشتراک گذاشته شد، از نقض اولیه DOJ مطلع نشد.
در همان ماه بود که و، دادگستری – که بیش از 100000 کارمند آن در چندین سازمان از جمله FBI، آژانس مبارزه با مواد مخدر و خدمات مارشال های ایالات متحده فعالیت می کنند – به طور علنی آشکار کرد هکرهای پشت کمپین SolarWinds احتمالاً به حدود 3 درصد از صندوق های پستی Office 365 آن دسترسی داشته اند. گزارش های ضد و نقیضی در مورد اینکه آیا این حمله بخشی از کمپین SolarWinds بوده یا توسط همان بازیگران انجام شده است، وجود دارد. شش ماه بعد، این بخش گسترش یافت و اعلام کرد هکرها موفق شده بودند به حساب های ایمیل کارکنان 27 دفتر دادستان ایالات متحده، از جمله دفاتر در کالیفرنیا، نیویورک، و واشنگتن، دی سی نفوذ کنند.
در بی،ه اخیر خود، و، دادگستری گفت که برای “تشویق شفافیت و تقویت انعطاف پذیری میهن”، می خواهد جزئیات جدیدی ارائه دهد، از جمله اینکه گمان می رود هکرها از حدود 7 می تا 27 دسامبر 2020 به حساب های در معرض خطر دسترسی داشته اند. دادههای به خطر افتاده شامل «تمام ایمیلهای ارسال، دریافت و ذخیرهشده و پیوستهایی بود که در آن زمان در آن حسابها یافت شد».
بازرسان حادثه DOJ تنها ،، نبودند که به شواهد اولیه نقض دست یافتند. تقریباً در همان زمان تحقیقات این و،خانه، شرکت امنیتی Volexity، همانطور که این شرکت قبلاً گزارش داده بود، همچنین در حال بررسی یک رخنه در یک اتاق فکر ایالات متحده بود و آن را به سرور Orion سازمان ردیابی کرد. در اوا، سپتامبر، شرکت امنیتی Palo Alto Networks نیز فعالیت غیرعادی در ارتباط با سرور Orion خود را کشف کرد. Volexity مشکوک بود که ممکن است یک درب پشتی در سرور مشتری خود وجود داشته باشد، اما بدون یافتن موردی به تحقیقات پایان داد. Palo Alto Networks همانطور که و، دادگستری با SolarWinds تماس گرفت، اما در آن مورد نیز نتوانستند مشکل را مشخص کنند.
سناتور ران وایدن، یکی از دموکراتهای اورگان که از ش،ت ،ت در جلوگیری و شناسایی کمپین در مراحل اولیه انتقاد کرده است، میگوید این افشاگری نیاز به تحقیق در مورد نحوه واکنش ،ت ایالات متحده به حملات و از دست دادن فرصتها برای توقف آن را نشان میدهد. .
او در ایمیلی نوشت: “کمپین هک SolarWinds روسیه تنها به دلیل یک سری ش،ت های آبشاری توسط ،ت ایالات متحده و شرکای صنعتی آن موفق بود.” من هیچ مدرکی ندیدم که قوه مجریه این ناکامی ها را به طور کامل بررسی و رسیدگی کرده باشد. ،ت فدرال باید فوراً به آنچه که اشتباه رخ داده است بپردازد تا در آینده، درهای پشتی دیگر نرم افزارهای مورد استفاده ،ت به سرعت کشف و خنثی شوند.
منبع: https://www.wired.com/story/solarwinds-hack-public-disclosure/