受SolarWinds被攻击事件影响，美国联邦法院秘密文件或将暴露

大数据文摘出品

来源：krebsonsecurity

编译：千雪

SolarWinds是一家生产网络安全管理软件的公司，主要用于企业和组织监控和管理其网络。

就是这么一家以安全为产品核心的公司，旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视，其中还包括美国联邦法院。

美国法院行政办公室（AO）周三公布的一份备忘录显示，SolarWinds被攻击事件可能危及了美国联邦法院系统存档的无数秘密法庭文件。

这起入侵事件最早可以追溯到2020年3月，SolarWinds公司向其Orion网络管理软件的1.8万名用户发布的一次更新。在这次更新中，恶意代码被秘密插入。

事件发生后，所有SolarWinds都开始担心自己哪些信息可能被盗，而美国联邦法院担心的则是其系统存档的无数秘密法庭文件。

美国联邦法院表示，在发现自己的系统在SolarWinds供应链攻击中遭到破坏后，将对接收和存储向联邦法院提交的敏感文件实施更严格的控制。

美国联邦法院在1月6日发表的一份声明中说：“美国司法部正与国土安全部合作，对司法机构案件管理/电子案件档案系统（CM/ECF）中存在的漏洞进行安全审计，这些漏洞极有可能危及存储在CM/ECF上高度敏感的非公开文件，特别是密封文件。”

声明中还说：“这些已经发现的漏洞，说明CM/ECF系统的机密性严重受损，目前尚在调查中。至于袭击的性质，正在对此事及其影响进行审查。”

美国法院行政办公室（AO）拒绝就他们披露违规行为的具体问题发表评论。但一位非常关注调查的消息人士告诉克雷伯森安全公司（KrebsOnSecurity），联邦法院文件系统受到了SolarWinds的“重创”，美国多个情报和执法机构都认为这些攻击“可能来自俄罗斯”。

该消息人士称，SolarWinds背后的入侵者在AO的网络中植入了第二阶段的“Teardrop”恶意软件，该恶意软件甚至超越了“Sunburst”恶意软件更新的范畴，该恶意软件将有机会被推送给所有使用受损Orion软件的1.8万名用户。这表明攻击者的目标是更深入地访问AO的网络和通信。

美国法院行政办公室（AO）的法庭文件系统支持一个名为PACER的公开搜索数据库，PACER中的绝大多数都文件不受限制，任何愿意付费的人都可以获取这些文件。

但专家们表示，AO系统中存储的许多其他文件都是被封存的，这些文件由法院或法律事务当事人决定暂时或无限期封存，其中可能含有高度敏感的信息，包括知识产权和商业机密，甚至包括秘密线人的身份。

加州大学伯克利分校计算机科学系讲师Nicholas Weaver说，法院文件系统不保存由于国家安全原因而被列为机密的文件。但他说，这个系统充满了敏感的密封文件，比如电子邮件记录传票，还有执法人员用来确定嫌疑人通过电话与谁联系、何时联系、持续多久的“陷阱和追踪”请求。

Weaver说：“对于了解大量正在进行的刑事调查的俄罗斯人来说，这将是一个宝库。如果联邦调查局起诉了某个人，但还没有逮捕他们，那一切都是保密的。很多封存的保密文件都是在这个过程的早期提交，通常都有封口令，阻止被传唤的一方披露请求。”

美国司法部称其也是SolarWinds入侵的受害者，随后根据美国法院行政办公室（AO）发出了确认通告。SolarWinds入侵者控制了司法部的Office 365系统，并访问了司法部约3%的账户所发送或接收的电子邮件（司法部有超过10万名员工）。

据报道，SolarWinds的黑客还破坏了财政部高级官员使用的电子邮件系统，并允许攻击者访问能源、商务和国土安全部内部的网络。

《纽约时报》周三报道称，调查人员正在调查另一家软件供应商JetBrains的漏洞是否促成了SolarWinds的攻击。该公司由三名俄罗斯工程师在捷克共和国创建，开发了一款名为TeamCity的工具，帮助开发人员测试和管理软件代码。TeamCity被30万家公司的开发者使用，包括SolarWinds和财富榜100强中的79家公司。

《纽约时报》称:“官方正在调查这家由三名俄罗斯工程师在捷克共和国成立、在俄罗斯设有研究实验室的公司是否被入侵，是否被黑客用作向无数科技公司的软件植入后门病毒的通道。安全专家警告说，这次持续数月的入侵可能是美国网络历史上最大的一次入侵。”

根据美国法院行政办公室（AO）的新程序，向联邦法院提交的高度敏感的法庭文件，可以通过纸质形式或安全的电子设备（比如U盘）提交，并存储在安全的独立计算机系统中。这些密封文件不会上传到CM/ECF。

美国法院行政办公室（AO）还表示：“这项新措施不会改变目前有关公开查阅法庭记录的政策，因为封存的档案是保密的，公众始终无法查阅。”

战略与国际研究中心(Center for Strategic and International Studies)高级副总裁James Lewis表示，现在判断这起网络攻击对法院系统的真正影响还为时过早，但法院系统显然是攻击目标，这是“一件非常重大的事情”。

他说：“我们不知道俄罗斯人到底拿走了什么，但事实上，他们能进入这个系统就意味着他们能接触到很多重要的东西，因为联邦案件往往涉及到相当引人关注的对象。”。

相关报道：

https://krebsonsecurity.com/2021/01/sealed-u-s-court-records-exposed-in-solarwinds-breach/