Theo Cơ quan An ninh cơ sở hạ tầng và an ninh mạng (CISA), chiến dịch tấn công tinh vi này bắt đầu ít nhất từ tháng 3 và chỉ được công khai từ ngày 8/12 khi công ty bảo mật FireEye lên tiếng thừa nhận bị tin tặc thâm nhập.
Ngay sau đó, một số cơ quan chính phủ Mỹ cũng thông báo bị tấn công qua hình thức tin tặc cài cắm mã độc vào bản cập nhật phần mềm SolarWinds Orion. SolarWinds là công ty chuyên cung cấp phần mềm quản trị mạng cho nhiều cơ quan chính phủ và doanh nghiệp lớn của Mỹ.
Đầu tuần này, SolarWinds thông báo có khoảng 18.000 khách hàng đã tải về bản cập nhật chứa mã độc nói trên và cho rằng đây là chiến dịch của một "quốc gia bên ngoài".
Theo Reuters, tính đến 18/12, ít nhất 6 cơ quan chính phủ Mỹ là Bộ Quốc phòng, Bộ An ninh nội địa, Bộ Ngoại giao, Bộ Tài chính, Bộ Năng lượng và Bộ Thương mại đã trở thành nạn nhân của cuộc tấn công mạng.
Bên cạnh đó, tin tặc cũng cũng nhắm vào tổ chức nhỏ hơn như một số tổ chức không thuộc vu vực công ở Anh. Hãng bảo mật Kaspersky cũng xác định hệ thống của công ty Internet Cox Communications và chính quyền hạt Pima, Arizona (Mỹ) bị chiếm quyền điều khiển thông qua phần mềm quản lý mạng phổ biến do SolarWinds phát triển.
Microsoft cũng thừa nhận đã tìm thấy ứng dụng SolarWinds Orion độc hại trong mạng lưới của công ty. Hãng đã nhanh chóng cô lập, loại bỏ và gửi thông báo tới 40 khách hàng liên quan, trong đó có 30 khách hàng ở Mỹ, còn lại ở Canada, Bỉ, Mexico, Tây Ban Nha, Anh, Israel và Ả Rập. Hầu hết những khách hàng này có đối tác là công ty công nghệ thông tin, nhóm nghiên cứu và tổ chức chính phủ. Microsoft cũng khẳng định chưa phát hiện dấu hiệu cho thấy dữ liệu khách hàng bị đánh cắp hay hệ thống của họ bị lợi dụng để tiến hành các cuộc tấn công mới.
Kevin Mandia, CEO của FireEye, mô tả nhóm tấn công là "một tổ chức với kỹ thuật tấn công rất tinh vi, cẩn thận xóa lịch sử truy cập và những dấu vết có thể cho thấy chúng đã trích xuất thông tin gì. Chúng tôi tin đây là một cuộc tấn công mạng do một nhà nước bảo trợ".
Tổng thống Mỹ Donald Trump vẫn chưa lên tiếng về chiến dịch. Người phát ngôn Nhà Trắng Brian Morgenstern cho biết ông Trump vẫn được cập nhật tình hình khi cần thiết, trong khi Cố vấn an ninh quốc gia Robert O’Brien đang chủ trì các cuộc họp liên ngành hàng ngày.
"Họ đang nỗ lực trong việc giảm thiểu thiệt hại và đảm bảo đất nước an toàn. Chúng tôi không đi vào sâu vào chi tiết vì không muốn nói cho đối thủ về những gì chúng tôi đang làm để chống lại điều này", Morgenstern nói.
Cổ phiếu của các công ty an ninh mạng như FireEye, Palo Alto Networks và Crowdstrike Holdings cũng tăng mạnh trong ngày 18/12 sau khi các nhà đầu tư đặt cược rằng loạt tiết lộ từ Microsoft và các công ty khác sẽ thúc đẩy nhu cầu về công nghệ bảo mật. Hàng nghìn công ty tư nhân toàn cầu, trong đó có nhiều lĩnh vực nhạy cảm, được nhận định cũng có thể đã trở thành nạn nhân sau khi tải bản cập nhật chứa mã độc của SolarWinds.
Theo AP, giới bảo mật đánh giá đây là cuộc tấn công lớn nhất nhắm vào Mỹ trong một thập kỷ qua và tin tặc có thể đã đánh cắp nhiều bí mật quan trọng của chính phủ. Thượng nghị sĩ Mitt Romney cho biết chiến dịch đã bộc lộ những lỗ hổng đáng báo động của hệ thống mạng Mỹ.
Ngày 17/12, Tổng thống đắc cử Joe Biden tuyên bố sẽ khiến những kẻ đứng sau phải trả giá đắt ngay sau khi nhậm chức.
Một quan chức cấp cao của Mỹ cho biết chưa có quyết định nào được đưa ra về cách phản ứng hoặc ai chịu trách nhiệm về vụ tấn công này. Trong khi đó, các chuyên gia an ninh mạng cho rằng nó có thể xuất phát từ Nga. Người phát ngôn Điện Kremlin Dmitry Peskov đã bác bỏ mọi cáo buộc.