Mniej więcej w tym samym czasie, gdy Prezydencka Komisja ds. Ochrony Infrastruktury Krytycznej opracowywała swój raport w 1997 r., Departament Obrony Stanów Zjednoczonych (DoD) przeprowadził ściśle tajne ćwiczenie bez powiadomienia. Celem ćwiczenia było naśladowanie zagranicznego cyberataku na Departament Obrony i przetestowanie jego zdolności planowania i działań kryzysowych, o kryptonimie Kwalifikowalny odbiornik 97. W ciągu kilku tygodni czerwca tego roku zespół rządowych hakerów przedstawiający wrogie państwo z powodzeniem zaatakował wiele wojskowych komputerów i sieci. Łatwość, z jaką uzyskali dostęp, zaszokowała urzędników i ujawniła poważne luki w systemach informatycznych DoD. Ćwiczenie było realne – doszło do rzeczywistego ataku na kluczowe systemy informacyjne DoD, wykorzystującego znane luki w zabezpieczeniach i skutkującego prawdziwymi zakłóceniami zauważonymi przez niektórych administratorów systemu Ataki przeprowadzono z komercyjnych kont internetowych oraz wykorzystano narzędzia i techniki zaczerpnięte z badania open source. Podczas ćwiczenia członkowie zespołu atakującego uzyskali uprawnienia roota lub administratora do kilkudziesięciu systemów komputerowych; potrafili czytać i modyfikować e-maile, pliki i hasła; a nawet byli w stanie zakłócać niektóre usługi telefoniczne. Na zakończenie ćwiczenia poczyniono kilka kluczowych obserwacji:
* Informacyjne i operacyjne praktyki bezpieczeństwa były słabe i znacząco przyczyniły się do ogólnych luk w zabezpieczeniach DoD.
* Uzyskanie atrybutu ataków jest prawie niemożliwe i zazwyczaj jest niedokładne.
* Departament Obrony nie miał prawie żadnych środków, aby wykryć lub ocenić wpływ cyberataków.
* Nieliczne istniejące metody wykrywania, zgłaszania i reagowania były zbyt wolne w porównaniu z szybkością cyberataków.
* Żadne specjalne narzędzia ani techniki nie były potrzebne poza tymi dostępnymi za pośrednictwem kanałów open source, aby poważnie obniżyć lub zakłócić działanie komputerów i sieci DoD.
UWAGA: W czasie ćwiczenia istniała ogólna wiedza na temat narastających luk w zabezpieczeniach i wynikających z nich zagrożeń dla bezpieczeństwa sieci DoD, ale niewiele zrobiono, aby zmienić sposób prowadzenia działalności. Wielu starszych przywódców uważało, że odkrycia pochodzą z symulacji, więc nie odzwierciedlają prawdziwej natury zagrożenia. Konsensus był taki, że „prawdziwy” dostęp do systemów DoD był możliwy tylko poprzez specjalnie spreparowane ataki. Ten pogląd zmieni się około pół roku później.
Na początku lutego 1998 r. Stany Zjednoczone przygotowywały się do potencjalnej akcji wojskowej przeciwko Irakowi w odpowiedzi na spory ONZ dotyczące inspekcji uzbrojenia. W trakcie przygotowań rozpoczął się subtelny atak na sieci komputerowe DoD. Schemat ataku wyglądał jak przygotowania do większego ataku na wszystkie systemy informacyjne i komunikacyjne wydziału. Wygląda na to, że ataki pochodzą ze stron w Izraelu, Francji, Niemczech, Tajwanie i Zjednoczonych Emiratach Arabskich, a ataki wymierzone były w systemy komputerowe Sił Powietrznych, Marynarki Wojennej i Korpusu Piechoty Morskiej na całym świecie. ten sam profil ataku na każdy cel:
Skanowanie i badanie sieci w celu znalezienia wrażliwych systemów
* Wykorzystanie luki
* Ładowanie programu do wąchania w celu zebrania nazw użytkowników, haseł i innych danych
* Wracając później, aby zebrać wyszukane dane
Departament Obrony i inne agencje rządowe przeszły w 24-godzinny tryb reagowania kryzysowego, zainstalowały systemy wykrywania włamań w kluczowych sieciach i rozpoczęły intensywne prace śledcze w celu ustalenia źródła ataków. Śledczy zaczęli nazywać sprawę nowym kryptonimem – Solar Sunrise. Poszukiwano kilku śladów, ale nie było jasne, czy ataki pochodziły z Iraku, grupy terrorystycznej, zagranicznej agencji wywiadowczej, czy może niektórych hakerów zatrudnionych w celu uzyskania dostępu do systemów DoD. Dla Departamentu Obrony podobieństwa między atakiem z lutego 1998 r. A ćwiczeniami z czerwca 1997 r. Były niepokojące. W obu przypadkach departament nie dysponował skutecznymi wskazówkami ani systemem ostrzegania, co oznacza, że nie był w stanie zobaczyć żadnego z nadchodzących ataków. Systemy wykrywania włamań były dostępne, ale nie były szeroko stosowane i niezbyt dobrze poznane. Nie było planu ani organizacji obejmującej cały dział ani organizacji obrony przed atakami z sieci komputerowej. Identyfikacja grup, profili i motywacji cyberzagrożeń prawie nie istniała. Po tygodniach śledztwa napastnikami okazała się para nastolatków z Kalifornii, a ich przewodnikiem był nastolatek z Izraela. Znany jako The Analyzer, przez kilka tygodni unikał schwytania, a nawet udzielał wywiadów reporterom podczas ucieczki. w Iraku. Ataki nie spowodowały żadnych poważnych szkód w systemach DoD, ale ze względu na współzależność cywilnych i wojskowych baz danych logistycznych oraz sieci z niesklasyfikowanymi sieciami komputerowymi departamentu, potencjalne oddziaływanie podczas wzmożonych napięć z Irakiem było bardzo duże.