في تشرين الثاني (نوفمبر) 2020 ، بعد أشهر من انتهاء وزارة العدل من التخفيف من اختراقها ، اكتشفت Mandiant أنه قد تم اختراقها ، وتتبعت خرقها إلى برنامج Orion على أحد خوادمها في الشهر التالي. كشف تحقيق في البرنامج أنه يحتوي على باب خلفي قام المتسللون بتضمينه في برنامج Orion بينما كان يتم تجميعه بواسطة SolarWinds في فبراير 2020. تم إطلاق البرنامج الملوث إلى حوالي 18000 من عملاء SolarWinds ، الذين قاموا بتنزيله بين مارس ويونيو ، في الوقت الذي اكتشفت فيه وزارة العدل حركة المرور الشاذة التي تخرج من خادم Orion الخاص بها. ومع ذلك ، اختار المتسللون مجموعة فرعية صغيرة فقط من هؤلاء لاستهداف عملياتهم التجسسية. لقد توغلوا أكثر في الوكالات الفيدرالية المصابة وحوالي 100 منظمة أخرى ، بما في ذلك شركات التكنولوجيا والوكالات الحكومية ومقاولي الدفاع ومراكز الفكر.
أصيبت Mandiant نفسها ببرنامج Orion في 28 يوليو 2020 ، وفقًا لما أخبرت به الشركة WIRED ، والتي كانت ستتزامن مع الفترة التي كانت الشركة تساعد فيها وزارة العدل في التحقيق في انتهاكها.
عندما سُئلت عن السبب ، عندما أعلنت الشركة عن اختراق سلسلة التوريد في كانون الأول (ديسمبر) ، لم تفصح علنًا عن أنها كانت تتعقب حادثًا متعلقًا بحملة SolarWinds في شبكة حكومية قبل أشهر ، أشار المتحدث باسمها فقط إلى أنه “عندما ذهبنا علنًا ، فقد حددنا عملاء آخرين مخترقين “.
يؤكد الحادث على أهمية تبادل المعلومات بين الوكالات والصناعة ، وهو أمر أكدت عليه إدارة بايدن. على الرغم من أن وزارة العدل أخطرت CISA ، إلا أن متحدثًا باسم وكالة الأمن القومي أخبر WIRED أنها لم تعلم بخرق وزارة العدل المبكر حتى يناير 2021 ، عندما تمت مشاركة المعلومات في مكالمة بين موظفي العديد من الوكالات الفيدرالية.
كان ذلك هو نفس الشهر الذي كشفت فيه وزارة العدل – التي يزيد عدد موظفيها عن 100000 موظف في وكالات متعددة بما في ذلك مكتب التحقيقات الفيدرالي ووكالة مكافحة المخدرات وخدمة مارشال الولايات المتحدة – أن المتسللين وراء حملة SolarWinds ربما تمكنوا من الوصول إلى حوالي 3 في المائة من علب بريد Office 365 الخاصة بها. هناك تقارير متضاربة حول ما إذا كان هذا الهجوم جزءًا من حملة SolarWinds أو تم تنفيذه بواسطة نفس الجهات الفاعلة. بعد ستة أشهر ، توسعت الإدارة في هذا الأمر وأعلنت أن المتسللين تمكنوا من اختراق حسابات البريد الإلكتروني للموظفين في 27 مكتبًا لمحامي الولايات المتحدة ، بما في ذلك مكاتب في كاليفورنيا ونيويورك وواشنطن العاصمة.
في بيانها الأخير ، قالت وزارة العدل إنه من أجل “تشجيع الشفافية وتعزيز مرونة الوطن” ، أرادت تقديم تفاصيل جديدة ، بما في ذلك أنه يُعتقد أن المتسللين كان لديهم إمكانية الوصول إلى الحسابات المخترقة في الفترة من 7 مايو إلى 27 ديسمبر 2020. و تضمنت البيانات المخترقة “جميع رسائل البريد الإلكتروني والمرفقات المرسلة والمستلمة والمخزنة التي تم العثور عليها داخل تلك الحسابات خلال ذلك الوقت”.
لم يكن المحققون في حادثة وزارة العدل هم الوحيدون الذين عثروا على أدلة مبكرة على الخرق. في نفس الوقت تقريبًا من تحقيق القسم ، كانت شركة الأمن Volexity ، كما ذكرت الشركة سابقًا ، تحقق أيضًا في اختراق في مركز أبحاث أمريكي وتتبعته إلى خادم Orion الخاص بالمنظمة. في وقت لاحق من شهر سبتمبر ، اكتشفت شركة الأمن Palo Alto Networks أيضًا نشاطًا غير عادي فيما يتعلق بخادم Orion الخاص بها. اشتبهت شركة Volexity في أنه قد يكون هناك باب خلفي على خادم عميلها ولكنها أنهت التحقيق دون العثور على واحد. اتصلت Palo Alto Networks بـ SolarWinds ، كما فعلت وزارة العدل ، ولكن في هذه الحالة أيضًا ، فشلوا في تحديد المشكلة.
يقول السناتور رون وايدن ، وهو ديمقراطي من ولاية أوريغون ، والذي انتقد فشل الحكومة في منع الحملة واكتشافها في مراحلها الأولى ، إن الكشف يوضح الحاجة إلى إجراء تحقيق في كيفية استجابة حكومة الولايات المتحدة للهجمات والفرص الضائعة لوقفها. .
وكتب في رسالة بالبريد الإلكتروني: “كانت حملة القرصنة الروسية SolarWinds ناجحة فقط بسبب سلسلة من الإخفاقات المتتالية من قبل حكومة الولايات المتحدة وشركائها في الصناعة”. لم أر أي دليل على أن السلطة التنفيذية قد حققت بدقة وعالجت هذه الإخفاقات. تحتاج الحكومة الفيدرالية بشكل عاجل إلى الوصول إلى حقيقة الخطأ الذي حدث حتى يتم في المستقبل اكتشاف الأبواب الخلفية في البرامج الأخرى التي تستخدمها الحكومة وتحييدها على الفور “.