SolarWinds供应链攻击再度引发软件后门泄露客户信息的疑虑。这也让美国政府再度想起2015年Juniper软件后门事件之后,国安局(National Security Agency,NSA)没有因此尽到保护政府的职责。
SolarWinds攻击事件导致美国商务部、财政部及国土安全部等一级单位,遭植入Sunburst等后门软件,犯案者据信为俄罗斯黑客组织,可以此搜集信息或发动第二波攻击。此事让Ron Wyden等2名参议员及8名众议员再度关切起Juniper后门事件,并质疑NSA何以让政府导入的软件被植入后门事件再度发生。
2015年Juniper被外部研究人员披露,有不知名黑客修改了路由器操作系统ScreenOS,加入未授权程序代码。追查之下发现,这些程序代码实为一道后门,但用意在修改更早以前的后门密钥。这更早的后门出在Juniper使用,由NSA开发的加密算法Dual_EC_DRBG之中。Juniper于2015年宣布要调查这起攻击事件,并在2016年移除由NSA开发的算法。
然而时隔5年之后,Juniper仍然没有公布调查结果。2019年美国国会就曾经追问过Juniper此事。
而在SolarWinds事件后,美国参众议员再度想起此事,而且追究新责任。本周对NSA的去函中,议员指出,美国人民有权知道,在Juniper黑入事件后,NSA何以没有着手保护政府免于供应链攻击的重大威胁。最近SolarWinds事件即为相同的供应链攻击,导致多个政府部门因软件更新被植入恶意程序遭黑。
议员提出许多疑问要求NSA回答。包括Juniper后门事件后,NSA有做什么强化措施保护自己、国防部、美国政府不受供应链攻击,又何以失败导致SolarWinds事件?此外他们也追问NSA对Dual_EC_DRBG算法的后门是否事先知情,而NSA在送交NIST认证的算法加入后门,是否有获得立法机关同意、外国情报监控法庭命令、经NSA局长批准、或征询过网络安全暨基础架构安全局(CISA)、商务部、美国交易委员会(FTC)及通信委员会(FCC),这件事是否应通知国会。最后,他们想知道,是不是NSA要求Juniper在自家产品的Dual_EC_DRBG算法中加入后门,或是调整成不同于NIST公布的参数值。