El código implantado utilizado para ejecutar el hack se inyectó directamente en el código fuente de SolarWinds Orion. Luego, la versión modificada y con errores del software se “compiló, firmó y entregó a través del sistema de administración de versiones de parches de software existente”,
según los informes . Esto ha llevado a los investigadores y observadores de EE. UU. A concluir que los perpetradores tenían acceso directo al código de SolarWinds porque tenían "un alto grado de familiaridad con el software". Si bien aún no se ha determinado la forma en que los atacantes obtuvieron acceso al código base de Orion, una posibilidad
que persiguen los investigadores es que los atacantes estuvieran trabajando con empleados de un contratista o subsidiaria de SolarWinds.
...
Aunque ahora se están investigando algunos contratistas y subsidiarias de SolarWinds, uno que aún no se ha investigado, pero debería serlo, es Samanage. Samanage, adquirida por SolarWinds en 2019, no solo obtuvo acceso automático a Orion justo cuando se insertó el código malicioso por primera vez, sino que tiene vínculos profundos con la inteligencia israelí y una red de firmas de capital de riesgo asociadas con numerosos escándalos de espionaje israelíes que se han dirigido Gobierno de los Estados Unidos.
...
Samanage ofrece lo que describe como "una solución de mesa de servicio de TI". Fue adquirido por SolarWinds para que los productos de Samanage pudieran agregarse a la cartera de gestión de operaciones de TI de SolarWinds. Aunque los informes de EE. UU. Y los comunicados de
prensa de SolarWinds afirman que Samanage tiene su sede en Cary, Carolina del Norte, lo que implica que es una empresa estadounidense, Samanage es en realidad
una empresa israelí . Fue
fundada en 2007 por Doron relleniton, quien anteriormente
trabajó durante varios años en MAMRAM , la
unidad informática central del ejército israelí .
...
Varios meses después de que se anunciara la adquisición, en noviembre de 2019, Samanage, rebautizado como SolarWinds Service Desk,
se incluyó como característica estándar del software SolarWinds Orion, mientras que la integración de Samanage y Orion había sido previamente opcional desde el anuncio de la adquisición en abril de ese año. Esto significa que la integración completa probablemente se hizo estándar en octubre o noviembre. Desde entonces, se ha informado que los autores del ataque reciente obtuvieron acceso a las redes de las agencias federales de EE. UU. Y las principales corporaciones aproximadamente al mismo tiempo. La integración automática de Samanage en Orion fue una modificación importante realizada en el software ahora comprometido durante ese período.