Công ty Redmond, Washington là người dùng của Orion, phần mềm quản lý mạng được triển khai rộng rãi từ Công ty phát triển phần mềm SolarWinds, được sử dụng trong các cuộc tấn công vào các cơ quan quan trọng của Mỹ và những cơ quan khác.
Một số chuyên gia an ninh mạng cho biết, một số dịch vụ đám mây của Microsoft, trong đó có Azure có thể đã bị tin tặc xâm nhập và tấn công hệ thống của họ. Tin tặc cũng đã sử dụng các dịch vụ này trong khi tránh cơ sở hạ tầng của Microsoft.
Người phát ngôn của Microsoft cho biết: “Giống như các khách hàng khác của SolarWinds, chúng tôi đã tích cực tìm kiếm các chỉ số của tác nhân này và có thể xác nhận rằng chúng tôi đã phát hiện thấy các mã nhị phân Solar Winds độc hại trong môi trường của chúng tôi, hiện Microsoft đã cô lập và xóa bỏ mã độc này”.
Tuy nhiên, Bộ An ninh nội địa (DHS) không tin rằng Microsoft là nơi lây nhiễm mã độc mới. Cả Microsoft và DHS, trước đó đã cho biết rằng tin tặc đã sử dụng nhiều phương pháp xâm nhập khác nhau và họ đang tiếp tục điều tra. Ngoài ra, Cục điều tra liên bang Mỹ (FBI) và các cơ quan thực thi pháp luật khác đang chuẩn bị cho một cuộc họp bí mật với các thành viên của Quốc hội diễn ra vào ngày 18-12.
Bộ Năng lượng Mỹ cũng cho biết, họ có bằng chứng rằng tin tặc đã truy cập vào mạng của họ như một phần của chiến dịch tấn công. Tờ Politico trước đó đã đưa tin Cơ quan Quản lý An ninh Hạt nhân Quốc gia (NNSA), cơ quan quản lý kho vũ khí hạt nhân của Mỹ, cũng đã bị nhắm mục tiêu.
Người phát ngôn của Bộ Năng lượng Mỹ cho biết, phần mềm độc hại chỉ ảnh hưởng đến các mạng doanh nghiệp và không ảnh hưởng đến an ninh quốc gia của Mỹ, bao gồm cả NNSA.
DHS cho biết trong một thông báo hôm 17-12, các tin tặc đã sử dụng các kỹ thuật khác ngoài việc làm hư hỏng các bản cập nhật của phần mềm quản lý mạng của SolarWinds được hàng trăm nghìn công ty và các cơ quan chính phủ Mỹ sử dụng.
Tổ chức kiểm định hệ thống thông tin (CISA) kêu gọi các nhà điều tra không nên chủ quan và cho rằng tổ chức của họ an toàn nếu họ không sử dụng các phiên bản cập nhật gần đây của phần mềm SolarWinds, đồng thời chỉ ra rằng, tin tặc cũng không khai thác hết tất cả mạng mà chúng có quyền truy cập. CISA cho biết, họ đang tiếp tục phân tích các con đường khác nhau được những kẻ tấn công sử dụng. Cho đến nay, được biết các tin tặc đã theo dõi email và một số dữ liệu khác trong các cơ quan như Bộ Quốc phòng, các tiểu bang, kho bạc, An ninh nội địa và Bộ Thương mại Mỹ.
Theo SolarWinds, có tới 18.000 khách hàng của Orion đã tải xuống các bản cập nhật có chứa mã độc hại (backdoor). Kể từ khi chiến dịch bị phát hiện, các công ty phần mềm đã cắt đứt liên lạc với những hệ thống này. Tuy nhiên, những kẻ tấn công có thể đã cài đặt bổ sung các phương thức tấn công khác nhằm duy trì quyền truy cập. CISA cho biết, đây có thể là vụ tấn công lớn nhất trong một thập kỷ qua.
CISA và các công ty tư nhân bao gồm FireEye, công ty đầu tiên phát hiện và tiết lộ rằng đã bị tấn công, đã đưa ra một loạt manh mối để các tổ chức xem xét liệu họ có bị tấn công hay không.
Tuy nhiên, những kẻ tấn công đã xóa nhật ký và các dữ liệu mà chúng đã truy cập. Các chuyên gia bảo mật cho biết, chính điều này đã gây khó khăn cho các nhà điều tra tổng hợp dữ liệu. Trong phần lớn các cuộc tấn công vào các hệ thống mạng, những kẻ tấn công cũng có thể tạo dữ liệu giả, nhưng cho đến nay chúng mới chỉ quan tâm đến việc đánh cắp dữ liệu.