DOJ detectou violação da SolarWinds meses antes da divulgação pública

Em novembro de 2020, meses depois que o DOJ concluiu a mitigação de sua violação, a Mandiant descobriu que havia sido hackeada e rastreou sua violação até o software Orion em um de seus servidores no mês seguinte. Uma investigação do software revelou que ele continha um backdoor que os hackers haviam incorporado ao software Orion enquanto ele estava sendo compilado pela SolarWinds em fevereiro de 2020. O software contaminado foi distribuído para cerca de 18.000 clientes da SolarWinds, que o baixaram entre março e junho, bem na época em que o DOJ descobriu o tráfego anômalo saindo de seu servidor Orion. No entanto, os hackers escolheram apenas um pequeno subconjunto deles como alvo para sua operação de espionagem. Eles se aprofundaram nas agências federais infectadas e em cerca de 100 outras organizações, incluindo empresas de tecnologia, agências governamentais, empresas de defesa e think tanks.

A própria Mandiant foi infectada com o software Orion em 28 de julho de 2020, disse a empresa à WIRED, o que teria coincidido com o período em que a empresa estava ajudando o DOJ a investigar sua violação.

Quando perguntado por que, quando a empresa anunciou o hack da cadeia de suprimentos em dezembro, ela não divulgou publicamente que havia rastreado um incidente relacionado à campanha SolarWinds em uma rede governamental meses antes, um porta-voz observou apenas que “quando fomos público, havíamos identificado outros clientes comprometidos.”

O incidente ressalta a importância do compartilhamento de informações entre as agências e a indústria, algo que o governo Biden enfatizou. Embora o DOJ tenha notificado a CISA, um porta-voz da Agência de Segurança Nacional disse à WIRED que não soube da violação inicial do DOJ até janeiro de 2021, quando as informações foram compartilhadas em uma ligação entre funcionários de várias agências federais.

Nesse mesmo mês, o DOJ – cujos mais de 100.000 funcionários abrangem várias agências, incluindo o FBI, Drug Enforcement Agency e US Marshals Service – revelou publicamente que os hackers por trás da campanha SolarWinds possivelmente acessaram cerca de 3% de suas caixas de correio do Office 365. Existem relatos conflitantes sobre se esse ataque fez parte da campanha da SolarWinds ou se foi realizado pelos mesmos atores. Seis meses depois, o departamento expandiu o assunto e anunciou que os hackers conseguiram violar contas de e-mail de funcionários de 27 escritórios de procuradores dos EUA, incluindo os da Califórnia, Nova York e Washington, DC.

Em sua última declaração, o DOJ disse que, para “incentivar a transparência e fortalecer a resiliência nacional”, queria fornecer novos detalhes, incluindo que os hackers teriam tido acesso a contas comprometidas de 7 de maio a 27 de dezembro de 2020. E os dados comprometidos incluíam “todos os e-mails e anexos enviados, recebidos e armazenados encontrados nessas contas durante esse período”.

Os investigadores do incidente do DOJ não foram os únicos a se deparar com as primeiras evidências da violação. Na mesma época da investigação do departamento, a empresa de segurança Volexity, como a empresa relatou anteriormente, também estava investigando uma violação em um think tank dos EUA e a rastreou até o servidor Orion da organização. No final de setembro, a empresa de segurança Palo Alto Networks também descobriu atividade anômala em conexão com seu servidor Orion. A Volexity suspeitou que poderia haver um backdoor no servidor de seu cliente, mas encerrou a investigação sem encontrar um. A Palo Alto Networks entrou em contato com a SolarWinds, como o DOJ havia feito, mas também nesse caso, eles falharam em identificar o problema.

O senador Ron Wyden, um democrata do Oregon que tem criticado o fracasso do governo em prevenir e detectar a campanha em seus estágios iniciais, diz que a revelação ilustra a necessidade de uma investigação sobre como o governo dos EUA respondeu aos ataques e perdeu oportunidades de interrompê-la. .

“A campanha de hacking SolarWinds da Rússia só foi bem-sucedida devido a uma série de falhas em cascata do governo dos EUA e seus parceiros da indústria”, escreveu ele em um e-mail. “Não vi nenhuma evidência de que o poder executivo investigou e tratou exaustivamente dessas falhas. O governo federal precisa urgentemente descobrir o que deu errado para que, no futuro, backdoors em outros softwares usados ​​pelo governo sejam prontamente descobertos e neutralizados.”