وزارت دادگستری ماه‌ها قبل از افشای عمومی نقض سیستم باد خورشیدی را شناسایی کرد

در نوامبر 2020، ماه‌ها پس از اینکه و، دادگستری اقدامات کاهش نفوذ خود را تکمیل کرد، Mandiant متوجه شد که هک شده است و ردیابی نقض خود را در نرم‌افزار Orion در یکی از سرورهای خود در ماه بعد دنبال کرد. بررسی این نرم‌افزار نشان داد که حاوی یک درب پشتی است که هکرها در نرم‌افزار Orion در هنگام کامپایل شدن توسط SolarWinds در فوریه 2020 در آن جاسازی کرده بودند. درست در زم، که DOJ ترافیک غیرعادی ،وج از سرور Orion خود را کشف کرد. با این حال، هکرها تنها زیر مجموعه کوچکی از این موارد را برای هدف قرار دادن عملیات جاسوسی خود انتخاب ،د. آنها بیشتر به آژانس‌های فدرال آلوده و حدود 100 سازمان دیگر از جمله شرکت‌های فناوری، سازمان‌های ،تی، پیمانکاران دفاعی و اتاق‌های فکر نفوذ ،د.

شرکت Mandiant به WIRED گفت که خود Mandiant در 28 ژوئیه 2020 به نرم افزار Orion آلوده شد، که مصادف با دوره ای بود که این شرکت به و، دادگستری برای بررسی نقض آن کمک می کرد.

هنگامی که از این سوال پرسیده شد که چرا، زم، که این شرکت در ماه دسامبر هک زنجیره تامین را اعلام کرد، به طور علنی فاش نکرد که در حال ردیابی یک رویداد مرتبط با کمپین SolarWinds در یک شبکه ،تی ماه‌ها قبل بوده است، یک سخنگوی تنها خاطرنشان کرد که «زم، که ما رفتیم. عمومی، ما سایر مشتریان در معرض خطر را شناسایی کرده بودیم.»

این حادثه بر اهمیت به اشتراک گذاری اطلاعات در میان آژانس ها و صنعت تاکید می کند، چیزی که ،ت بایدن بر آن تاکید کرده است. اگرچه و، دادگستری به CISA اطلاع داده بود، سخنگوی آژانس امنیت ملی به WIRED گفت که تا ژانویه 2021، زم، که اطلاعات در تماسی بین کارمندان چندین آژانس فدرال به اشتراک گذاشته شد، از نقض اولیه DOJ مطلع نشد.

در همان ماه بود که و، دادگستری – که بیش از 100000 کارمند آن در چندین سازمان از جمله FBI، آژانس مبارزه با مواد مخدر و خدمات مارشال های ایالات متحده فعالیت می کنند – به طور علنی آشکار کرد هکرهای پشت کمپین SolarWinds احتمالاً به حدود 3 درصد از صندوق های پستی Office 365 آن دسترسی داشته اند. گزارش های ضد و نقیضی در مورد اینکه آیا این حمله بخشی از کمپین SolarWinds بوده یا توسط همان بازیگران انجام شده است، وجود دارد. شش ماه بعد، این بخش گسترش یافت و اعلام کرد هکرها موفق شده بودند به حساب های ایمیل کارکنان 27 دفتر دادستان ایالات متحده، از جمله دفاتر در کالیفرنیا، نیویورک، و واشنگتن، دی سی نفوذ کنند.

در بی،ه اخیر خود، و، دادگستری گفت که برای “تشویق شفافیت و تقویت انعطاف پذیری میهن”، می خواهد جزئیات جدیدی ارائه دهد، از جمله اینکه گمان می رود هکرها از حدود 7 می تا 27 دسامبر 2020 به حساب های در معرض خطر دسترسی داشته اند. داده‌های به خطر افتاده شامل «تمام ایمیل‌های ارسال، دریافت و ذخیره‌شده و پیوست‌هایی بود که در آن زمان در آن حساب‌ها یافت شد».

بازرسان حادثه DOJ تنها ،، نبودند که به شواهد اولیه نقض دست یافتند. تقریباً در همان زمان تحقیقات این و،خانه، شرکت امنیتی Volexity، همانطور که این شرکت قبلاً گزارش داده بود، همچنین در حال بررسی یک رخنه در یک اتاق فکر ایالات متحده بود و آن را به سرور Orion سازمان ردیابی کرد. در اوا، سپتامبر، شرکت امنیتی Palo Alto Networks نیز فعالیت غیرعادی در ارتباط با سرور Orion خود را کشف کرد. Volexity مشکوک بود که ممکن است یک درب پشتی در سرور مشتری خود وجود داشته باشد، اما بدون یافتن موردی به تحقیقات پایان داد. Palo Alto Networks همانطور که و، دادگستری با SolarWinds تماس گرفت، اما در آن مورد نیز نتوانستند مشکل را مشخص کنند.

سناتور ران وایدن، یکی از دموکرات‌های اورگان که از ش،ت ،ت در جلوگیری و شناسایی کمپین در مراحل اولیه انتقاد کرده است، می‌گوید این افشاگری نیاز به تحقیق در مورد نحوه واکنش ،ت ایالات متحده به حملات و از دست دادن فرصت‌ها برای توقف آن را نشان می‌دهد. .

او در ایمیلی نوشت: “کمپین هک SolarWinds روسیه تنها به دلیل یک سری ش،ت های آبشاری توسط ،ت ایالات متحده و شرکای صنعتی آن موفق بود.” من هیچ مدرکی ندیدم که قوه مجریه این ناکامی ها را به طور کامل بررسی و رسیدگی کرده باشد. ،ت فدرال باید فوراً به آنچه که اشتباه رخ داده است بپردازد تا در آینده، درهای پشتی دیگر نرم افزارهای مورد استفاده ،ت به سرعت کشف و خنثی شوند.