受SolarWinds被攻击事件影响,美国联邦法院秘密文件或将暴露
大数据文摘出品
来源:krebsonsecurity
编译:千雪
SolarWinds是一家生产网络安全管理软件的公司,主要用于企业和组织监控和管理其网络。
就是这么一家以安全为产品核心的公司,旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码,导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视,其中还包括美国联邦法院。
美国法院行政办公室(AO)周三公布的一份备忘录显示,SolarWinds被攻击事件可能危及了美国联邦法院系统存档的无数秘密法庭文件。
这起入侵事件最早可以追溯到2020年3月,SolarWinds公司向其Orion网络管理软件的1.8万名用户发布的一次更新。在这次更新中,恶意代码被秘密插入。
事件发生后,所有SolarWinds都开始担心自己哪些信息可能被盗,而美国联邦法院担心的则是其系统存档的无数秘密法庭文件。
美国联邦法院表示,在发现自己的系统在SolarWinds供应链攻击中遭到破坏后,将对接收和存储向联邦法院提交的敏感文件实施更严格的控制。
美国联邦法院在1月6日发表的一份声明中说:“美国司法部正与国土安全部合作,对司法机构案件管理/电子案件档案系统(CM/ECF)中存在的漏洞进行安全审计,这些漏洞极有可能危及存储在CM/ECF上高度敏感的非公开文件,特别是密封文件。”
声明中还说:“这些已经发现的漏洞,说明CM/ECF系统的机密性严重受损,目前尚在调查中。至于袭击的性质,正在对此事及其影响进行审查。”
美国猜测,攻击可能来自俄罗斯
美国法院行政办公室(AO)拒绝就他们披露违规行为的具体问题发表评论。但一位非常关注调查的消息人士告诉克雷伯森安全公司(KrebsOnSecurity),联邦法院文件系统受到了SolarWinds的“重创”,美国多个情报和执法机构都认为这些攻击“可能来自俄罗斯”。
该消息人士称,SolarWinds背后的入侵者在AO的网络中植入了第二阶段的“Teardrop”恶意软件,该恶意软件甚至超越了“Sunburst”恶意软件更新的范畴,该恶意软件将有机会被推送给所有使用受损Orion软件的1.8万名用户。这表明攻击者的目标是更深入地访问AO的网络和通信。
美国法院行政办公室(AO)的法庭文件系统支持一个名为PACER的公开搜索数据库,PACER中的绝大多数都文件不受限制,任何愿意付费的人都可以获取这些文件。
但专家们表示,AO系统中存储的许多其他文件都是被封存的,这些文件由法院或法律事务当事人决定暂时或无限期封存,其中可能含有高度敏感的信息,包括知识产权和商业机密,甚至包括秘密线人的身份。
加州大学伯克利分校计算机科学系讲师Nicholas Weaver说,法院文件系统不保存由于国家安全原因而被列为机密的文件。但他说,这个系统充满了敏感的密封文件,比如电子邮件记录传票,还有执法人员用来确定嫌疑人通过电话与谁联系、何时联系、持续多久的“陷阱和追踪”请求。
Weaver说:“对于了解大量正在进行的刑事调查的俄罗斯人来说,这将是一个宝库。如果联邦调查局起诉了某个人,但还没有逮捕他们,那一切都是保密的。很多封存的保密文件都是在这个过程的早期提交,通常都有封口令,阻止被传唤的一方披露请求。”
美国司法部称其也是SolarWinds入侵的受害者,随后根据美国法院行政办公室(AO)发出了确认通告。SolarWinds入侵者控制了司法部的Office 365系统,并访问了司法部约3%的账户所发送或接收的电子邮件(司法部有超过10万名员工)。
据报道,SolarWinds的黑客还破坏了财政部高级官员使用的电子邮件系统,并允许攻击者访问能源、商务和国土安全部内部的网络。
《纽约时报》周三报道称,调查人员正在调查另一家软件供应商JetBrains的漏洞是否促成了SolarWinds的攻击。该公司由三名俄罗斯工程师在捷克共和国创建,开发了一款名为TeamCity的工具,帮助开发人员测试和管理软件代码。TeamCity被30万家公司的开发者使用,包括SolarWinds和财富榜100强中的79家公司。
《纽约时报》称:“官方正在调查这家由三名俄罗斯工程师在捷克共和国成立、在俄罗斯设有研究实验室的公司是否被入侵,是否被黑客用作向无数科技公司的软件植入后门病毒的通道。安全专家警告说,这次持续数月的入侵可能是美国网络历史上最大的一次入侵。”
根据美国法院行政办公室(AO)的新程序,向联邦法院提交的高度敏感的法庭文件,可以通过纸质形式或安全的电子设备(比如U盘)提交,并存储在安全的独立计算机系统中。这些密封文件不会上传到CM/ECF。
美国法院行政办公室(AO)还表示:“这项新措施不会改变目前有关公开查阅法庭记录的政策,因为封存的档案是保密的,公众始终无法查阅。”
战略与国际研究中心(Center for Strategic and International Studies)高级副总裁James Lewis表示,现在判断这起网络攻击对法院系统的真正影响还为时过早,但法院系统显然是攻击目标,这是“一件非常重大的事情”。
他说:“我们不知道俄罗斯人到底拿走了什么,但事实上,他们能进入这个系统就意味着他们能接触到很多重要的东西,因为联邦案件往往涉及到相当引人关注的对象。”。
相关报道:
https://krebsonsecurity.com/2021/01/sealed-u-s-court-records-exposed-in-solarwinds-breach/