في تشرين الثاني (نوفمبر) 2020 ، بعد أشهر من انتهاء وزارة العدل من التخفيف من اختراقها ، اكتشفت Mandiant أنه قد تم اختراقها ، وتتبعت خرقها إلى برنامج Orion على أحد خوادمها في الشهر التالي. كشف تحقيق في البرنامج الذي يحتوي على باب خلفي أن المتسللين قد تم تضمينهم في برنامج Orion أثناء قيام SolarWinds بتجميعه في فبراير 2020. تم نشر البرنامج الملوث إلى حوالي 18000 عميل SolarWinds ، الذين قاموا بتنزيله بين مارس ويونيو ، صحيح. في وقت قريب من اكتشاف وزارة العدل لحركة المرور الشاذة التي تخرج من خادم Orion الخاص بها. ومع ذلك ، اختار المتسللون مجموعة فرعية صغيرة فقط من هؤلاء لاستهداف عملياتهم التجسسية. لقد توغلوا أكثر في الوكالات الفيدرالية المصابة وحوالي 100 منظمة أخرى ، بما في ذلك شركات التكنولوجيا والوكالات الحكومية ومقاولي الدفاع ومراكز الفكر.
أصيبت Mandiant نفسها ببرنامج Orion في 28 يوليو 2020 ، وفقًا لما أخبرت به الشركة WIRED ، والتي كانت ستتزامن مع الفترة التي كانت الشركة تساعد فيها وزارة العدل في التحقيق في انتهاكها.
عندما سُئلت عن السبب ، عندما أعلنت الشركة عن اختراق سلسلة التوريد في كانون الأول (ديسمبر) ، لم تفصح علنًا عن أنها كانت تتعقب حادثًا متعلقًا بحملة SolarWinds في شبكة حكومية قبل أشهر ، أشار المتحدث باسمها فقط إلى أنه “عندما ذهبنا علنًا ، فقد حددنا عملاء آخرين مخترقين “.
يؤكد الحادث على أهمية تبادل المعلومات بين الوكالات والصناعة ، وهو أمر أكدت عليه إدارة بايدن. على الرغم من أن وزارة العدل قد أخطرت CISA ، إلا أن متحدثًا باسم وكالة الأمن القومي أخبر WIRED أنها لم تعلم بخرق وزارة العدل المبكر حتى يناير 2021 ، عندما تمت مشاركة المعلومات في مكالمة بين موظفي العديد من الوكالات الفيدرالية.
كان ذلك هو نفس الشهر الذي كشفت فيه وزارة العدل – التي يعمل بها أكثر من 100000 موظف من وكالات متعددة بما في ذلك مكتب التحقيقات الفيدرالي ، ووكالة مكافحة المخدرات ، وخدمة المارشال الأمريكية – أن المتسللين وراء حملة SolarWinds ربما تمكنوا من الوصول إلى حوالي 3 في المائة من علب بريد Office 365 الخاصة بها. بعد ستة أشهر ، توسعت الإدارة في هذا الأمر وأعلنت أن المتسللين تمكنوا من اختراق حسابات البريد الإلكتروني للموظفين في 27 مكتبًا لمحامي الولايات المتحدة ، بما في ذلك مكاتب كاليفورنيا ونيويورك وواشنطن العاصمة.
في بيانه الأخير ، قال وزارة العدل إنه من أجل “تشجيع الشفافية وتعزيز صمود الوطن” ، أراد تقديم تفاصيل جديدة ، بما في ذلك أنه يعتقد أن المتسللين تمكنوا من الوصول إلى الحسابات المخترقة من حوالي 7 مايو إلى 27 ديسمبر 2020. و تضمنت البيانات المخترقة “جميع رسائل البريد الإلكتروني والمرفقات المرسلة والمستلمة والمخزنة التي تم العثور عليها داخل تلك الحسابات خلال ذلك الوقت”.
لم يكن المحققون في حادثة وزارة العدل هم الوحيدون الذين عثروا على أدلة مبكرة على الخرق. في نفس وقت تحقيقات القسم تقريبًا ، كانت شركة الأمن Volexity ، كما ذكرت الشركة سابقًا ، تحقق أيضًا في انتهاك في مركز أبحاث أمريكي وتتبعته إلى خادم Orion الخاص بالمنظمة. في وقت لاحق من شهر سبتمبر ، اكتشفت شركة الأمن Palo Alto Networks أيضًا نشاطًا غير عادي فيما يتعلق بخادم Orion الخاص بها. اشتبهت شركة Volexity في أنه قد يكون هناك باب خلفي على خادم عميلها ولكنها أنهت التحقيق دون العثور على واحد. اتصلت Palo Alto Networks بـ SolarWinds ، كما فعلت وزارة العدل ، ولكن في هذه الحالة أيضًا ، فشلوا في تحديد المشكلة.
يقول السناتور رون وايدن ، وهو ديمقراطي من ولاية أوريغون ، والذي انتقد فشل الحكومة في منع الحملة واكتشافها في مراحلها الأولى ، إن الكشف يوضح الحاجة إلى إجراء تحقيق في كيفية استجابة حكومة الولايات المتحدة للهجمات والفرص الضائعة لوقفها. .
وكتب في رسالة بالبريد الإلكتروني: “كانت حملة القرصنة الروسية SolarWinds ناجحة فقط بسبب سلسلة من الإخفاقات المتتالية من قبل حكومة الولايات المتحدة وشركائها في الصناعة”. لم أر أي دليل على أن السلطة التنفيذية قد حققت بدقة وعالجت هذه الإخفاقات. تحتاج الحكومة الفيدرالية بشكل عاجل إلى معرفة السبب وراء الخطأ الذي حدث حتى يتم في المستقبل اكتشاف الأبواب الخلفية في البرامج الأخرى التي تستخدمها الحكومة وتحييدها على الفور “.