Yhdysvalloissa paljastui massiivinen hakkerointikampanja. Hyökkääjät olivat päässeet käsiksi SolarWinds-yhtiön järjestelmiin ja saastuttaneet tämän kehittämän Orion-verkonhallintasovelluksen haittaohjelmalla.

SolarWindsin jakaessa Orionia asiakkailleen se levitti tietämättään siinä samalla Sunburst-troijalaista, joka tarjosi hakkereille takaoven jopa 18 000 järjestelmään, mukaan lukien puolustusministeriöön ja NSA:han.

Tietoturvayhtiö FireEye epäilee, että hakkerit ovat Venäjän hallituksen piikkiin toimiva, erittäin pahamaineinen Cozy Bear -ryhmä, jonka uskotaan yleisesti olevan muun muassa Yhdysvaltain presidentinvaalien peukaloinnin takana vuonna 2016.

Valtiolliseen toimijaan viittaisi muun muassa se, että hakkereita kiinnosti iskeä vain kouralliseen korkean profiilin kohteita, kuten valtiollisiin organisaatiohin. Niissä ei yleensä tyypillisiä hakkereita kiinnostava raha pyöri, joten hakkereiden motivaatio on todennäköisesti ollut vakoilu.

Zdnet kertoo, että Yhdysvallat ei tyytynyt vain korjaamaan hakkereiden tekemiä vaurioita, vaan kävi vastaiskuun.

Microsoft kumppaneineen kaappasi haltuunsa hyökkääjien käyttämän avsvmcloud-domainin, joka oli toiminut hakkereiden hallintakeskuksena.

Ottamalla hyökkääjien käyttämän domainin haltuunsa Microsoft kumppaneineen saavuttaa kaksi tärkeää tavoitetta.

Koska Sunburst-haitake tiedustelee avsvcloudista lisäohjeita, ottamalla domainin pois laudalta jää haittaohjelma tyhjän päälle eikä tee pahojaan. Näin hakkerit eivät voi toteuttaa uusia iskuja haavoittuvaisiin järjestelmiin.

Samalla Microsoft saa tietää mistä kaikkialta Sunburst soittaa, jolloin Microsoft kumppaneineen toivoo voivansa tunnistaa kaikki hyökkäyksen uhrit. FBI:tä ja CISA:a kiinnostaa etenkin löytää muita valtiollisia organisaatioita, joissa Sunburst lymyää.

USA käsittelee tapahtumaa kansallisena turvallisuushätätilana.