لكنهم كانوا في ذلك 24 ساعة فقط عندما وجدوا الممر الذي كانوا يبحثون عنه: ملف واحد بدا أنه مسؤول عن حركة المرور المارقة. يعتقد كارماكال أنه كان يوم 11 ديسمبر عندما عثروا عليه.
كان الملف عبارة عن مكتبة .dll أو مكتبة ارتباط ديناميكي — مكونات تعليمات برمجية مشتركة بواسطة برامج أخرى. كان ملف dll هذا كبيرًا ، ويحتوي على حوالي 46000 سطر من التعليمات البرمجية التي نفذت أكثر من 4000 إجراء مشروع ، و- كما وجدوا بعد تحليله لمدة ساعة- واحد غير شرعي.
كانت المهمة الرئيسية لملف dll. هو إخبار SolarWinds عن استخدام Orion للعميل. لكن المتسللين قاموا بتضمين رمز خبيث جعله ينقل المعلومات الاستخبارية حول شبكة الضحية إلى هُم خادم الأوامر بدلا من ذلك. أطلق Ballenthin على الرمز المارق “Sunburst” – مسرحية على SolarWinds. كانوا منتشين بشأن الاكتشاف. لكن عليهم الآن معرفة كيف تسلل المتسللون إلى Orion .dll.
كان هذا بعيدًا عن التافه. تم توقيع ملف Orion .dll بشهادة رقمية SolarWinds ، والتي كانت مفترض للتحقق من أن الملف هو رمز شركة شرعي. كان أحد الاحتمالات أن المهاجمين قد سرقوا الشهادة الرقمية ، وأنشأوا نسخة تالفة من ملف Orion ، ووقعوا الملف لجعله يبدو أصليًا ، ثم ثبَّتوا ملف dll. الفاسد على خادم Mandiant. أو ، بشكل أكثر إثارة للقلق ، ربما قاموا باختراق شبكة SolarWinds وقاموا بتغيير كود مصدر Orion .dll الشرعي قبل قامت SolarWinds بتجميعها – تحويل الكود إلى برنامج – ووقعتها. بدا السيناريو الثاني بعيد المنال لدرجة أن طاقم Mandiant لم يفكر فيه حقًا – حتى قام أحد المحققين بتنزيل تحديث برنامج Orion من موقع SolarWinds على الويب. كان الباب الخلفي فيه.
كان التضمين مذهلاً. كان لدى مجموعة برامج Orion حوالي 33000 عميل ، بدأ بعضهم في تلقي تحديث البرنامج المخترق في مارس. وهذا يعني أن بعض العملاء ربما تعرضوا للاختراق لمدة ثمانية أشهر بالفعل. كان فريق Mandiant يواجه مثالًا كتابيًا عن هجوم على سلسلة إمداد برمجيات – وهو التغيير الشنيع للبرامج الموثوقة في مصدرها. بضربة واحدة ، يمكن للمهاجمين إصابة آلاف ، وربما ملايين ، من الأجهزة.
في عام 2017 ، قام المتسللون بتخريب سلسلة توريد برمجيات وسلموا برامج ضارة إلى أكثر من مليوني مستخدم من خلال اختراق أداة تنظيف أمان الكمبيوتر CCleaner. في نفس العام ، وزعت روسيا الفيروس المتنقل NotPetya الخبيث في تحديث برنامج إلى المكافئ الأوكراني لـ TurboTax ، والذي انتشر بعد ذلك في جميع أنحاء العالم. بعد فترة وجيزة ، استخدم المتسللون الصينيون أيضًا تحديثًا للبرامج لإزاحة باب خلفي لآلاف عملاء Asus. حتى في هذه المرحلة المبكرة من التحقيق ، استطاع فريق Mandiant أن يخبرنا أنه لن ينافس أي من تلك الهجمات الأخرى حملة SolarWinds.
SolarWinds تنضم إلى Chase
كانت صباح السبت ، 12 ديسمبر ، عندما اتصل مانديا برئيس SolarWinds ومديرها التنفيذي على هاتفه الخلوي. كان كيفن طومسون ، المخضرم لمدة 14 عامًا في شركة تكساس ، يتنحى عن منصب الرئيس التنفيذي في نهاية الشهر. ما كان على وشك أن يسمعه من مانديا – أن أوريون مصاب – كان وسيلة من الجحيم لإنهاء فترة ولايته. قال مانديا: “سنعلن عن هذا في غضون 24 ساعة”. لقد وعد بمنح SolarWinds فرصة لنشر إعلان أولاً ، لكن الجدول الزمني لم يكن قابلاً للتفاوض. ما لم يذكره مانديا هو أنه كان نفسه تحت ضغط خارجي: تم إبلاغ مراسل بشأن الباب الخلفي واتصل بشركته لتأكيد ذلك. توقع مانديا أن تنتهي القصة مساء الأحد ، وأراد أن يستبقها.
بدأ طومسون في إجراء مكالمات ، وهي واحدة من أولى المكالمات لتيم براون ، رئيس هندسة الأمان في SolarWinds. أكد براون وموظفوه بسرعة وجود الباب الخلفي Sunburst في تحديثات برامج Orion واكتشفوا ، بقلق ، أنه تم تسليمه إلى ما يصل إلى 18000 عميل منذ ربيع عام 2020. (لم يقم كل مستخدم Orion بتنزيله.) قضى طومسون وآخرون معظم يوم السبت في جمع الفرق معًا للإشراف على التحديات الفنية والقانونية والدعاية التي واجهوها. كما اتصلوا بالمستشار القانوني الخارجي للشركة ، DLA Piper ، للإشراف على التحقيق في الخرق. كان رون بليسكو ، المحامي في بايبر والمدعي العام السابق ذو الخبرة في الطب الشرعي ، في فناء منزله الخلفي مع أصدقائه عندما تلقى المكالمة في حوالي الساعة العاشرة مساءً.