بر اساس گزارشی جدید از بلومبرگ، اسناد داخلی وزارت خزانه‌داری ایالات متحده ابعاد تازه‌ای از حمله سایبری گسترده‌ای که به روسیه نسبت داده می‌شود در ماجرای نفوذ به SolarWinds را روشن کرده‌اند. این حمله که در اواخر سال ۲۰۲۰ علنی شد، به عنوان یکی از پیچیده‌ترین و گسترده‌ترین رخدادهای امنیتی اخیر شناخته می‌شود؛ زیرا نه تنها وزارت خزانه‌داری بلکه چندین سازمان دولتی و شرکت خصوصی آمریکایی دیگر نیز هدف این نفوذ قرار گرفتند. گروه هکری مرتبط با روسیه توانست با تزریق کدهای مخرب در به‌روزرسانی‌های نرم‌افزار Orion متعلق به شرکت SolarWinds، به شبکه‌های حساس دولتی دست یابد و اطلاعات محرمانه را به سرقت ببرد.

اسناد داخلی وزارت خزانه‌داری نشان می‌دهند که نفوذگران با دقت فراوان به بررسی ساختار شبکه، حساب‌های کاربری و حتی نحوه تبادل اطلاعات درون‌سازمانی پرداخته‌اند. علاوه بر این، استفاده از تکنیک‌های پیشرفته برای حفظ دسترسی در سیستم‌ها باعث شد که شناسایی فعالیت‌های آن‌ها به مدت طولانی به تأخیر بیافتد. این اسناد همچنین بیان می‌کنند که هکرها نه تنها از بدافزارهای سفارشی‌شده بهره برده‌اند، بلکه از روش‌های معروف به «living off the land» استفاده کرده‌اند؛ روشی که در آن از ابزارهای موجود در سیستم برای انجام فعالیت‌های مخرب بهره گرفته می‌شود.

علاوه بر این، گزارش حاکی از آن است که حساسیت اطلاعاتی موجود در وزارت خزانه‌داری، موجب شده تا هکرها توجه ویژه‌ای به این نهاد داشته باشند. بررسی‌ها نشان می‌دهد که راهکارهای امنیتی معمول در برابر این نوع حمله چندلایه ناکافی بوده و نیازمند بازنگری در ساختار کلی دفاع سایبری در سطوح دولتی است. در پی آشکار شدن وسعت نفوذ، دولت ایالات متحده تدابیر جدیدی برای حفاظت از داده‌های طبقه‌بندی‌شده و زیرساخت‌های حساس اتخاذ کرده و بر اهمیت افزایش همکاری بین بخش‌های دولتی و خصوصی تأکید نموده است.

اهمیت این حمله در این نکته نهفته است که هکرها با بهره‌گیری از فرآیند به‌روزرسانی نرم‌افزار رسمی و مورد اعتماد، نه تنها یک سازمان بلکه زنجیره تأمین نرم‌افزار را هدف قرار دادند. تجربه SolarWinds نشان داده که حتی سازمان‌هایی که رویه‌های امنیتی قوی دارند، ممکن است به دلیل ضعف در زنجیره تأمین آسیب‌پذیر باشند. این حادثه بار دیگر ضرورت نظارت مستمر، حسابرسی‌های امنیتی پیوسته و اشتراک‌گذاری اطلاعات در سطح بین‌سازمانی را به شدت نمایان ساخت.