Microsoft изучала атаки на SolarWinds, после того, как еще в декабре обнаружила необычную активность в своих системах. Технический гигант завершил расследование и установил, что хакеры не получили в руки данные клиентов. Он также сообщил, что не обнаружил никаких признаков того, что хакеры использовали его системы для атак на других жертв - а их было много, в том числе девять федеральных агентств и около 100 компаний в частном секторе. Фактически, власти считают, что было затронуто 18 000 объектов, поскольку именно столько клиентов SolarWinds загрузили вредоносное обновление.

Microsoft ранее признавала, что злоумышленники заполучили ее исходный код. Согласно последнему отчету, злоумышленники получили доступ и загрузили исходный код для трех продуктов, в частности: службы облачных вычислений Azure, облачного решения для управления Intune и почтового и календарного сервера Exchange. Microsoft заявила, что во всех трех случаях злоумышленникам удалось получить доступ только к небольшому количеству файлов, хотя они использовали поисковые запросы, указывающие на то, что они были сосредоточены на поиске секретов компании.

Массовая хакерская кампания началась где-то в октябре 2019 года, ставя под угрозу сеть, которая использует инструменты управления сетью Orion от SolarWinds. Анализ Microsoft показал, что злоумышленники впервые просмотрели ее файлы в конце ноября 2020 года. Хотя они были отключены от систем компании после того, как Microsoft узнала об этом, хакеры продолжали попытки восстановить доступ до января 2021 года.

Помимо Microsoft, злоумышленники также взломали системы NVIDIA, Intel, Cisco и Belkin, а также государственные учреждения, такие как Министерство юстиции США и Управление ядерной безопасности США. Более того, те же злоумышленники попытались взломать другие фирмы, в том числе Malwarebytes, которые не используют программное обеспечение SolarWinds. Спецслужбы США считают, что за атаками стоит Россия, и результаты расследования Касперского частично подтверждают это. Фирма по кибербезопасности недавно сообщила, что злоумышленники использовали вредоносное ПО, напоминающее инструменты, связанные с хакерской группой, которая действует от имени Федеральной службы безопасности.