Para obterem sucesso neste ataque sem precedentes, os hackers terão aproveitado uma vulnerabilidade num produto desenvolvido pela empresa de software SolarWinds para inserirem o seu código num dos seus produtos de monitorização de redes, o Orion. Assim, quando 18 mil clientes descarregaram a atualização do Orion desde o início do ano, ficaram com as suas redes expostas à curiosidade deste grupo, que os especialistas dizem estar ligado à agência de espionagem russa SVR. Entre esses clientes contam-se o Pentágono, os Departamentos de Segurança Interna e do Tesouro, os serviços postais e o Instituto Nacional de Saúde norte-americano, entre muitas outras empresas, entre as quais a Microsoft e a AT&T, mas também empresas na Europa, Ásia e Médio Oriente.
“É como se acordasse uma manhã e descobrisse de repente que um ladrão tem entrado e saído de sua casa nos últimos seis meses”, resumiu à NPR Glenn Gerstell, conselheiro da NSA entre 2015 e 2020, acrescentando que será difícil descobrir ao certo a que ficheiros terão tido acesso os hackers, o que também dificulta a resposta.
“Não se trata aqui de alguém que manipula o software para abrir barragens ou desligar redes elétricas”, prosseguiu Gerstell. “Nem sequer é evidente se isto foi um ataque para roubar propriedade intelectual à semelhança do que fez por exemplo a China, ao roubar desde patentes para painéis solares aos protótipos de aviões de combate”, acrescentou, pondo a hipótese de se tratar de um simples caso de espionagem para conhecer os planos do país adversário, ao intercetar as mensagens trocadas pelos principais órgãos do governo norte-americano.
Apesar das suspeitas apontarem o dedo de Moscovo, com fontes do Washington Post a acusarem o grupo conhecido por APT29 ou CozyBear, ligado à agência de espionagem SVR, a embaixada da Rússia na capital dos EUA diz que essas acusações não têm fundamento e que “a Rússia não conduz operações ofensivas” e que os “ataques no espaço da informação contradiz” a sua política externa e interesse nacional.
Ainda está por esclarecer a origem da vulnerabilidade no software da Solar Winds. Mas um especialista de segurança ouvido pela agência Reuters diz ter avisado a empresa no ano passado que o servidor de atualizações de software dos seus produtos podia ser acedido por qualquer hacker principiante, dada a fraqueza da password existente: solarwinds123.