En noviembre de 2020, meses después de que el DOJ completara la mitigación de su incumplimiento, Mandiant descubrió que había sido pirateado y rastreó su incumplimiento hasta el software Orion en uno de sus servidores al mes siguiente. Una investigación del software reveló que contenía una puerta trasera que los piratas informáticos habían incrustado en el software Orion mientras SolarWinds lo compilaba en febrero de 2020. El software contaminado se envió a unos 18,000 clientes de SolarWinds, que lo descargaron entre marzo y junio. justo cuando el Departamento de Justicia descubrió el tráfico anómalo que salía de su servidor Orion. Sin embargo, los piratas eligieron solo un pequeño subconjunto de estos como objetivo para su operación de espionaje. Se adentraron aún más en las agencias federales infectadas y alrededor de otras 100 organizaciones, incluidas empresas de tecnología, agencias gubernamentales, contratistas de defensa y grupos de expertos.
Mandiant se infectó con el software Orion el 28 de julio de 2020, dijo la compañía a WIRED, lo que habría coincidido con el período en que la compañía estaba ayudando al Departamento de Justicia a investigar su incumplimiento.
Cuando se le preguntó por qué, cuando la empresa anunció el ataque a la cadena de suministro en diciembre, no reveló públicamente que había estado rastreando un incidente relacionado con la campaña de SolarWinds en una red del gobierno meses antes, un vocero solo señaló que «cuando fuimos público, habíamos identificado a otros clientes comprometidos”.
El incidente subraya la importancia de compartir información entre las agencias y la industria, algo que la administración de Biden ha enfatizado. Aunque el DOJ había notificado a CISA, un portavoz de la Agencia de Seguridad Nacional le dijo a WIRED que no se enteró de la violación temprana del DOJ hasta enero de 2021, cuando la información se compartió en una llamada entre empleados de varias agencias federales.
Ese fue el mismo mes en que el Departamento de Justicia, cuyos más de 100 000 empleados abarcan varias agencias, incluido el FBI, la Agencia de Control de Drogas y el Servicio de Alguaciles de los EE. Seis meses después, el departamento amplió esto y anunció que los piratas informáticos habían logrado violar las cuentas de correo electrónico de los empleados en 27 oficinas de los fiscales estadounidenses, incluidas las de California, Nueva York y Washington, DC.
En su última declaración, el Departamento de Justicia dijo que para «fomentar la transparencia y fortalecer la resiliencia nacional», quería proporcionar nuevos detalles, incluido que se creía que los piratas informáticos habían tenido acceso a cuentas comprometidas desde aproximadamente el 7 de mayo hasta el 27 de diciembre de 2020. Y los datos comprometidos incluían «todos los correos electrónicos y archivos adjuntos enviados, recibidos y almacenados que se encontraron dentro de esas cuentas durante ese tiempo».
Los investigadores del incidente del Departamento de Justicia no fueron los únicos en tropezar con las primeras pruebas de la violación. Casi al mismo tiempo que la investigación del departamento, la firma de seguridad Volexity, como informó anteriormente la compañía, también estaba investigando una brecha en un grupo de expertos de EE. UU. y la rastreó hasta el servidor Orion de la organización. Posteriormente, en septiembre, la empresa de seguridad Palo Alto Networks también descubrió actividad anómala en relación con su servidor Orion. Volexity sospechó que podría haber una puerta trasera en el servidor de su cliente, pero finalizó la investigación sin encontrar ninguna. Palo Alto Networks se puso en contacto con SolarWinds, como lo había hecho el Departamento de Justicia, pero tampoco en ese caso pudieron identificar el problema.
El senador Ron Wyden, un demócrata de Oregón que ha criticado el fracaso del gobierno para prevenir y detectar la campaña en sus primeras etapas, dice que la revelación ilustra la necesidad de una investigación sobre cómo respondió el gobierno de EE. UU. a los ataques y cómo perdió oportunidades para detenerlos. .
“La campaña de piratería de SolarWinds de Rusia solo tuvo éxito debido a una serie de fallas en cascada por parte del gobierno de EE. UU. y sus socios de la industria”, escribió en un correo electrónico. “No he visto ninguna evidencia de que el poder ejecutivo haya investigado y abordado a fondo estas fallas. El gobierno federal necesita con urgencia llegar al fondo de lo que salió mal para que, en el futuro, las puertas traseras en otro software utilizado por el gobierno se descubran y neutralicen rápidamente”.