2020 年 11 月、DOJ が侵害の緩和を完了してから数か月後、Mandiant はハッキングされたことを発見し、翌月、サーバーの 1 つで Orion ソフトウェアに侵害があったことを突き止めました。 ソフトウェアの調査により、2020 年 2 月に SolarWinds によってコンパイルされた Orion ソフトウェアにハッカーが埋め込んだバックドアが含まれていることが明らかになりました。 DOJ が Orion サーバーからの異常なトラフィックを発見したのと同じ頃です。 ただし、ハッカーは、これらのごく一部のみをスパイ活動の対象として選択しました。 彼らは、感染した連邦機関や、テクノロジー企業、政府機関、防衛請負業者、シンクタンクなど、約 100 の他の組織にさらに潜入しました。
Mandiant 自体が 2020 年 7 月 28 日に Orion ソフトウェアに感染した、と同社は WIRED に語った。これは、同社が DOJ による侵害調査を支援していた時期と一致していたはずである.
同社が 12 月にサプライ チェーンのハッキングを発表したとき、数か月前に政府ネットワークで SolarWinds キャンペーンに関連するインシデントを追跡していたことを公に開示しなかった理由を尋ねられたとき、広報担当者は次のように述べただけでした。公開されているため、侵害された他の顧客を特定しました。」
この事件は、政府機関や業界間の情報共有の重要性を強調するものであり、バイデン政権が強調してきたことでもあります。 DOJ は CISA に通知しましたが、NSA のスポークスマンは WIRED に、DOJ の初期の侵害については 2021 年 1 月まで知らなかったと語りました。
それは、FBI、麻薬取締局、および米国連邦保安局を含む複数の機関にまたがる 100,000 人を超える従業員を擁する DOJ が公に発表したのと同じ月でした。 明らかに SolarWinds キャンペーンの背後にいるハッカーは、Office 365 メールボックスの約 3% にアクセスした可能性があります。 6か月後、部門はこれを拡大し、 発表した ハッカーは、カリフォルニア、ニューヨーク、ワシントン DC を含む 27 の連邦検事事務所の従業員の電子メール アカウントの侵害に成功しました。
DOJ は後者の声明で、「透明性を促進し、本土の回復力を強化する」ために、ハッカーが 2020 年 5 月 7 日頃から 12 月 27 日頃までに侵害されたアカウントにアクセスしたと考えられていることを含め、新しい詳細を提供したいと述べました。侵害されたデータには、「その間にそれらのアカウント内で見つかった、送信、受信、保存されたすべての電子メールと添付ファイル」が含まれていました。
侵害の初期の証拠に出くわしたのは、司法省の事件の捜査官だけではありませんでした。 部門の調査とほぼ同時期に、セキュリティ会社の Volexity は、以前に同社が報告したように、米国のシンクタンクでの侵害を調査しており、組織の Orion サーバーにたどり着いた. 9 月後半には、セキュリティ会社 Palo Alto Networks も Orion サーバーに関連する異常な活動を発見しました。 Volexity は、顧客のサーバーにバックドアがあるのではないかと疑っていましたが、見つけることができずに調査を終了しました。 パロアルトネットワークスは DOJ と同様に SolarWinds に問い合わせましたが、その場合も問題を特定できませんでした。
オレゴン州の民主党員であるロン・ワイデン上院議員は、政府がキャンペーンを初期段階で防止および検出できなかったことを批判しており、この暴露は、米国政府が攻撃にどのように対応し、攻撃を止める機会を逃したかについて調査する必要があることを示していると述べています。 .
「ロシアの SolarWinds ハッキング キャンペーンが成功したのは、米国政府とその業界パートナーによる一連の連鎖的な失敗のおかげです」と彼は電子メールに書いています。 「行政府がこれらの失敗を徹底的に調査し、対処したという証拠は見たことがありません。 連邦政府は、政府が使用する他のソフトウェアのバックドアが迅速に発見され、無効化されるように、何が悪かったのかを突き止める必要があります。」