A empresa diz que tem mais de 300.000 clientes, incluindo mais de 425 das empresas americanas da Fortune 500, todas as principais empresas de telecomunicações, consultoria e contabilidade, o Pentágono, o Departamento de Estado, a Agência de Segurança Nacional, o Departamento de Justiça e a Casa Branca. A empresa tem 33.000 clientes Orion.
Enquanto isso, o órgão federal de vigilância Cybersecurity and Infrastructure Security Agency (CISA) emitiu uma diretriz para os órgãos federais solicitando que desconectem ou desliguem imediatamente os produtos Orion, versões 2019.4 a 2020.2.1 HF1, de suas redes. As agências estão proibidas de voltar a participar de domínios corporativos até que a CISA oriente as entidades afetadas a reconstruir o sistema operacional Windows e reinstalar o pacote de software SolarWinds.
A CISA também ordenou o bloqueio de todo o tráfego de e para hosts, externos à empresa, onde qualquer versão do software SolarWinds Orion tenha sido instalada. Além disso, ordenou que todos os sistemas governamentais não militares que executam o software Orion parassem de executá-lo e desconectassem os computadores comprometidos do restante da rede até o meio-dia de segunda-feira. Isso foi feito antes que uma correção fosse emitida.
A FireEye e a Microsoft examinaram o cavalo de Troia e determinaram que, por volta de março deste ano, alguém conseguiu modificar o software SolarWinds Orion durante o processo de construção. A modificação incluía um sofisticado programa de Trojan, projetado para controlar remotamente qualquer computador que tivesse o SolarWinds Orion instalado.
Quando os clientes instalavam a última atualização do Orion, o Trojan também era instalado. Isso é chamado de “ataque à cadeia de suprimentos”, pois ocorreu por meio da cadeia de suprimentos confiável da SolarWinds.
De acordo com a análise, o cavalo de Troia aguardava de 12 a 14 dias e depois se comunicava com um servidor de comando e controle, onde podia instalar software adicional e executar outras tarefas, inclusive acessar um serviço do Active Directory ou monitorar o tráfego da rede.
