– Vi har frågat oss hur många tekniker vi tror har arbetat i den här kollektiva ansträngningen. Och svaret vi kom fram till var minst tusen väldigt skickliga tekniker, säger Smith enligt nyhetsbyrån AFP under en utfrågning i amerikanska senatens underrättelseutskott och fortsätter:
– Vi har inte sett den här typen av finess kombinerat med den här omfattningen (tidigare).
Den omfattande attacken blev allmänt känd i december förra året, men kan ha inletts så tidigt som i oktober 2019, när hackarna tog sig in i Texasbaserade företaget Solarwinds, som förser bland annat amerikanska myndigheter och storföretag med olika it-lösningar för bland annat nätverk.
Stängde av larmet
Solarwinds meddelade i slutet av förra året att en främmande stat hade hittat en bakdörr till övervakningsverktyget Orion, där skadlig kod hade placerats. När sedan omkring 18 000 av Solarwinds kunder laddade ned en uppdatering, utsattes de för en risk att gärningspersonerna fick tillgång till deras nätverk.
– Det är lite som en inbrottstjuv som vill bryta sig in i en enskild lägenhet men lyckats att stänga av alarmsystemet för alla hem och byggnader i hela staden. Allas säkerhet riskeras, och det är vad vi brottas med här, sade Smith till senatorerna, enligt The Guardian.
Solarwinds nytillträdde vd Sudhakar Ramakrishna frågades också ut av utskottet. Enligt honom vet inte bolaget exakt hur hackarna bröt sig in.
– Vi har lyckats begränsa hypoteserna till omkring tre, som jag hoppas kommer att leda oss till en enda slutsats, säger han enligt CNN, och tillägger att man har tagit frågan på största allvar för att förhindra att något liknande inträffar igen.
Ryssland misstänks
Exakt vilka företag och myndigheter som har drabbats är inte känt, men det ska röra sig om minst hundra företag och nio myndigheter. USA:s handelsdepartement och finansdepartement har pekats ut som måltavlor, och hackarna kunde bland annat läsa källkod hos Microsoft.
– Vem vet omfattningen av vad som hände här? Just nu är den som låg bakom attacken den enda som känner till hela omfattningen, säger Smith.
Senatorn Marco Rubio konstaterade att Amazon inte skickade någon representant till utfrågningen för att prata om sin del i hackerskandalen, trots att bolaget bland annat förser underrättelseorganet CIA med molntjänster.
Ryssland har pekats ut som ansvarigt för Solarwindsattacken, något som landet nekat till. Smith uppger att betydande bevisning pekar mot Ryssland, och att bolaget inte har hittat något som pekar i någon annan riktning.