Microsoft heeft december vorig jaar bedrijven en organisaties die slachtoffer waren van de SolarWinds-aanval gebeld, ook al is het een algemeen gegeven beveiligingsadvies dat partijen zoals Microsoft nooit bellen. Bij de aanval werden updates van softwarebedrijf SolarWinds voorzien van een backdoor waardoor de aanvallers aanvullende malware bij een selecte groep slachtoffers konden installeren.

In een serie blogpostings blikt Microsoft terug op de ontdekking van de aanval en wat het vervolgens deed om de aanval te verstoren. "Klanten moesten snel worden ingelicht zodat ze de omvang van de aanval binnen hun omgeving konden onderzoeken en begrijpen", zegt Cristin Goodwin van Microsoft. Nadat details van de aanval bekend waren was het mogelijk om getroffen klanten te identificeren en waarschuwen.

"De securitygemeenschap vertelt klanten dat ze nooit een telefoontje van verdedigers zullen ontvangen, en dat elk gesprek als verdacht moet worden beschouwd", merkt Goodwin op. Doordat de aanvallers toegang tot de omgevingen van de slachtoffers hadden was er volgens hem geen veilig alternatief voor een telefoongesprek.

"Het telefonisch doorgeven van het lastige nieuws over een geraffineerde inbraak was al moeilijk genoeg, maar in sommige gevallen moesten klanten creatieve manieren vinden om te bevestigen dat het inderdaad Microsoft aan de telefoon was." Goodwin merkt op dat klanten verbijsterd waren over de activiteiten van de aanvallers, die volgens Microsoft voor de Russische inlichtingendienst SVR werken.