En novembre 2020, des mois après que le DOJ a terminé l’atténuation de sa violation, Mandiant a découvert qu’il avait été piraté et a retracé sa violation au logiciel Orion sur l’un de ses serveurs le mois suivant. Une enquête sur le logiciel a révélé qu’il contenait une porte dérobée que les pirates avaient intégrée dans le logiciel Orion lors de sa compilation par SolarWinds en février 2020. Le logiciel contaminé a été distribué à environ 18 000 clients de SolarWinds, qui l’ont téléchargé entre mars et juin, juste au moment où le DOJ a découvert le trafic anormal sortant de son serveur Orion. Cependant, les pirates n’ont choisi qu’un petit sous-ensemble d’entre eux pour cibler leur opération d’espionnage. Ils se sont enfouis davantage dans les agences fédérales infectées et dans une centaine d’autres organisations, y compris des entreprises technologiques, des agences gouvernementales, des sous-traitants de la défense et des groupes de réflexion.
Mandiant lui-même a été infecté par le logiciel Orion le 28 juillet 2020, a déclaré la société à WIRED, ce qui aurait coïncidé avec la période pendant laquelle la société aidait le DOJ à enquêter sur sa violation.
Lorsqu’on lui a demandé pourquoi, lorsque l’entreprise a annoncé le piratage de la chaîne d’approvisionnement en décembre, elle n’a pas révélé publiquement qu’elle avait suivi un incident lié à la campagne SolarWinds dans un réseau gouvernemental des mois plus tôt, un porte-parole a seulement noté que “lorsque nous sommes allés public, nous avions identifié d’autres clients compromis.
L’incident souligne l’importance du partage d’informations entre les agences et l’industrie, ce que l’administration Biden a souligné. Bien que le DOJ ait informé la CISA, un porte-parole de l’Agence de sécurité nationale a déclaré à WIRED qu’il n’avait appris la première violation du DOJ qu’en janvier 2021, lorsque les informations ont été partagées lors d’un appel entre les employés de plusieurs agences fédérales.
C’était le même mois, le DOJ, dont plus de 100 000 employés couvrent plusieurs agences, dont le FBI, la Drug Enforcement Agency et le US Marshals Service, a révélé publiquement que les pirates à l’origine de la campagne SolarWinds avaient peut-être accédé à environ 3 % de ses boîtes aux lettres Office 365. Il existe des rapports contradictoires quant à savoir si cette attaque faisait partie de la campagne SolarWinds ou menée par les mêmes acteurs. Six mois plus tard, le département a développé cela et a annoncé que les pirates avaient réussi à violer les comptes de messagerie des employés de 27 bureaux d’avocats américains, dont ceux de Californie, de New York et de Washington, DC.
Dans sa dernière déclaration, le DOJ a déclaré que pour “encourager la transparence et renforcer la résilience de la patrie”, il souhaitait fournir de nouveaux détails, notamment que les pirates auraient eu accès à des comptes compromis du 7 mai au 27 décembre 2020 environ. Et les données compromises comprenaient “tous les e-mails et pièces jointes envoyés, reçus et stockés trouvés dans ces comptes pendant cette période”.
Les enquêteurs de l’incident du DOJ n’étaient pas les seuls à tomber sur les premières preuves de l’infraction. À peu près au même moment de l’enquête du département, la société de sécurité Volexity, comme l’entreprise l’avait précédemment signalé, enquêtait également sur une brèche dans un groupe de réflexion américain et l’a retracée jusqu’au serveur Orion de l’organisation. Plus tard en septembre, la société de sécurité Palo Alto Networks a également découvert une activité anormale en lien avec son serveur Orion. Volexity soupçonnait qu’il pourrait y avoir une porte dérobée sur le serveur de son client mais a mis fin à l’enquête sans en trouver une. Palo Alto Networks a contacté SolarWinds, comme l’avait fait le DOJ, mais dans ce cas également, ils n’ont pas réussi à identifier le problème.
Le sénateur Ron Wyden, un démocrate de l’Oregon qui a critiqué l’incapacité du gouvernement à prévenir et à détecter la campagne à ses débuts, a déclaré que la révélation illustre la nécessité d’une enquête sur la façon dont le gouvernement américain a répondu aux attaques et manqué des occasions de l’arrêter. .
“La campagne de piratage de SolarWinds en Russie n’a réussi que grâce à une série d’échecs en cascade du gouvernement américain et de ses partenaires industriels”, a-t-il écrit dans un e-mail. « Je n’ai vu aucune preuve que l’exécutif ait enquêté de manière approfondie et traité ces échecs. Le gouvernement fédéral doit de toute urgence faire la lumière sur ce qui n’a pas fonctionné afin qu’à l’avenir, les portes dérobées d’autres logiciels utilisés par le gouvernement soient rapidement découvertes et neutralisées.“
