美國國安局(NSA)總部。圖片來源:https://commons.wikimedia.org/wiki/File:National_Security_Agency_headquarters,_Fort_Meade,_Maryland.jpg

SolarWinds供應鏈攻擊再度引發軟體後門洩露客戶資訊的疑慮。這也讓美國政府再度想起2015年Juniper軟體後門事件之後,國安局(National Security Agency,NSA)沒有因此盡到保護政府的職責。

SolarWinds攻擊事件導致美國商務部、財政部及國土安全部等一級單位,遭植入Sunburst等後門軟體,犯案者據信為俄羅斯駭客組織,可以此蒐集資訊或發動第二波攻擊。此事讓 Ron Wyden等2名參議員及8名眾議員再度關切起Juniper後門事件,並質疑NSA何以讓政府導入的軟體被植入後門事件再度發生

2015年Juniper被外部研究人員揭露,有不知名駭客修改了路由器作業系統ScreenOS,加入未授權程式碼。追查之下發現,這些程式碼實為一道後門,但用意在修改更早以前的後門密鑰。這更早的後門出在Juniper使用,由NSA開發的加密演算法Dual_EC_DRBG之中。Juniper於2015年宣布要調查這起攻擊事件,並在2016年移除由NSA開發的演算法。

然而事隔5年之後,Juniper仍然沒有公布調查結果。2019年美國國會就曾經追問過Juniper此事

而在SolarWinds事件後,美國參眾議員再度想起此事,而且追究新責任。本周對NSA的去函中,議員指出,美國人民有權知道,在Juniper駭入事件後,NSA何以沒有著手保護政府免於供應鏈攻擊的重大威脅。最近SolarWinds事件即為相同的供應鏈攻擊,導致多個政府部門因軟體更新被植入惡意程式遭駭。

議員提出許多疑問要求NSA回答。包括Juniper後門事件後,NSA有做什麼強化措施保護自己、國防部、美國政府不受供應鏈攻擊,又何以失敗導致SolarWinds事件?此外他們也追問NSA對Dual_EC_DRBG演算法的後門是否事先知情,而NSA在送交NIST認證的演算法加入後門,是否有獲得立法機關同意、外國情報監控法庭命令、經NSA局長批准、或徵詢過網路安全暨基礎架構安全局(CISA)、商務部、美國交易委員會(FTC)及通訊委員會(FCC),這件事是否應通知國會。最後,他們想知道,是不是NSA要求Juniper在自家產品的Dual_EC_DRBG演算法中加入後門,或是調整成不同於NIST公布的參數值。


熱門新聞

Advertisement