Het Amerikaanse ministerie van Justitie ontdekte de SolarWinds-aanval zes maanden voor de openbare bekendmaking, maar had geen idee van wat het precies had gevonden, zo stelt Wired op basis van anonieme bronnen. SolarWinds is het bedrijf achter de Orion-software, waarmee tienduizenden bedrijven hun it-omgevingen monitoren. Aanvallers wisten de officiële updates voor de software van een backdoor te voorzien waarmee de omgevingen van klanten konden worden gecompromitteerd.

De besmette updates werden uiteindelijk door 18.000 SolarWinds-klanten geïnstalleerd. Bij een select deel van deze klanten werden via de geïnstalleerde besmette updates verdere aanvallen uitgevoerd. SolarWinds had niet door dat de aanvallers sinds begin 2019 vergaande toegang hadden en werd eind 2020 door een externe partij ingelicht dat de ontwikkelomgeving was gecompromitteerd.

Het Amerikaanse ministerie van Justitie draaide een testversie van de Orion-software op een server en ontdekte eind mei 2020 verdacht verkeer. Vervolgens schakelde het ministerie securitybedrijf Mandiant in om te kijken of de server was gecompromitteerd. De onderzoekers dachten dat aanvallers de server mogelijk hadden gecompromitteerd via een kwetsbaarheid in de Orion-software. Daarop werd SolarWinds gevraagd met het onderzoek mee te helpen, maar het bedrijf vond geen kwetsbaarheid in de eigen code.

In juli 2020 stopte de communicatie tussen de onderzoekers en SolarWinds, ook al was de oorzaak van het verdachte verkeer niet achterhaald. Een aantal maanden later besloot het ministerie de Orion-software aan te schaffen. Een woordvoerder van het ministerie bevestigt tegenover Wired dat het incident en onderzoek hebben plaatsgevonden, maar wil geen informatie over de conclusie van het onderzoek geven. Begin januari 2021 meldde het ministerie dat het ook slachtoffer van de SolarWinds-aanval was geworden.