W listopadzie 2020 r., kilka miesięcy po tym, jak Departament Sprawiedliwości zakończył łagodzenie skutków naruszenia, Mandiant odkrył, że został zhakowany, i prześledził jego naruszenie w oprogramowaniu Orion na jednym ze swoich serwerów w następnym miesiącu. Dochodzenie w sprawie oprogramowania ujawniło, że zawierało ono backdoora, który hakerzy osadzili w oprogramowaniu Orion podczas jego kompilacji przez SolarWinds w lutym 2020 r. Skażone oprogramowanie trafiło do około 18 000 klientów SolarWinds, którzy pobrali je między marcem a czerwcem 2020 r. mniej więcej w czasie, gdy Departament Sprawiedliwości wykrył anomalny ruch wychodzący z serwera Orion. Hakerzy wybrali jednak tylko niewielką część z nich jako cel swojej operacji szpiegowskiej. Zagłębili się głębiej w zainfekowane agencje federalne i około 100 innych organizacji, w tym firmy technologiczne, agencje rządowe, wykonawców obronnych i think tanki.
Sam Mandiant został zainfekowany oprogramowaniem Orion 28 lipca 2020 r., jak poinformowała firma WIRED, co zbiegło się z okresem, w którym firma pomagała Departamentowi Sprawiedliwości w zbadaniu naruszenia.
Zapytany, dlaczego kiedy firma ogłosiła włamanie do łańcucha dostaw w grudniu, nie ujawniła publicznie, że kilka miesięcy wcześniej śledziła incydent związany z kampanią SolarWinds w sieci rządowej, rzecznik zauważył tylko, że „kiedy publicznej, zidentyfikowaliśmy innych zagrożonych klientów”.
Incydent podkreśla znaczenie wymiany informacji między agencjami i przemysłem, co podkreśliła administracja Bidena. Chociaż Departament Sprawiedliwości powiadomił CISA, rzecznik NSA powiedział WIRED, że o wczesnym naruszeniu Departamentu Sprawiedliwości dowiedział się dopiero w styczniu 2021 r., kiedy informacje zostały udostępnione podczas rozmowy telefonicznej między pracownikami kilku agencji federalnych.
W tym samym miesiącu Departament Sprawiedliwości, którego ponad 100 000 pracowników obejmuje wiele agencji, w tym FBI, Drug Enforcement Agency i US Marshals Service, publicznie ujawnił, że hakerzy stojący za kampanią SolarWinds prawdopodobnie uzyskali dostęp do około 3 procent skrzynek pocztowych Office 365. Sześć miesięcy później departament rozwinął tę kwestię i ogłosił, że hakerom udało się włamać na konta e-mail pracowników w 27 biurach prokuratorów amerykańskich, w tym w Kalifornii, Nowym Jorku i Waszyngtonie.
W swoim ostatnim oświadczeniu Departament Sprawiedliwości powiedział, że aby „zachęcać do przejrzystości i wzmacniać odporność ojczyzny”, chciał podać nowe szczegóły, w tym informację, że hakerzy mieli dostęp do przejętych kont od około 7 maja do 27 grudnia 2020 r. I zagrożone dane obejmowały „wszystkie wysłane, odebrane i przechowywane wiadomości e-mail i załączniki znalezione na tych kontach w tym czasie”.
Badacze incydentu DOJ nie byli jedynymi, którzy natknęli się na wczesne dowody naruszenia. Mniej więcej w tym samym czasie, w którym departament prowadził dochodzenie, firma ochroniarska Volexity, jak wcześniej informowała firma, również badała naruszenie w amerykańskim think tanku i śledziła je na serwerze organizacji Orion. Później we wrześniu firma ochroniarska Palo Alto Networks również wykryła anomalną aktywność w połączeniu z jej serwerem Orion. Firma Volexity podejrzewała, że na serwerze klienta może znajdować się backdoor, ale zakończyła dochodzenie, nie znajdując go. Palo Alto Networks skontaktowało się z SolarWinds, podobnie jak Departament Sprawiedliwości, ale również w tym przypadku nie udało im się zlokalizować problemu.
Senator Ron Wyden, demokrata z Oregonu, który krytycznie odnosił się do niepowodzeń rządu w zapobieganiu i wykrywaniu kampanii na jej wczesnych etapach, mówi, że ujawnienie ilustruje potrzebę zbadania, w jaki sposób rząd USA zareagował na ataki i stracił okazje do ich powstrzymania .
„Rosyjska kampania hakerska SolarWinds zakończyła się sukcesem tylko dzięki serii kaskadowych niepowodzeń rządu USA i jego partnerów branżowych” – napisał w e-mailu. „Nie widziałem żadnych dowodów na to, że władza wykonawcza dokładnie zbadała i rozwiązała te niepowodzenia. Rząd federalny musi pilnie dotrzeć do sedna tego, co poszło nie tak, aby w przyszłości backdoory w innym oprogramowaniu używanym przez rząd były szybko wykrywane i neutralizowane”.
