美國聯邦法院核心案件管理系統再爆重大網路安全危機。多名消息人士指出,駭客利用自2020年已知卻未修補的漏洞,入侵並竊取至少12個地方法院密封案件資料,涉及證人名單、搜查令及進行中的刑事調查。調查人員懷疑俄駭客涉案,部分資料恐落入拉丁美洲毒梟手中,迫使多家法院緊急改用紙筆處理機密文件。一名知情人士形容,這次入侵就像「從嬰兒手裡搶糖果一樣容易」。
政治新聞媒體Politico報導,這起大規模入侵利用五年前就被發現、卻遲遲未解決的安全漏洞,讓駭客團體在持續進行的攻擊中竊取大量敏感法院資料。
官員憂慮自7月以來,至少有12個地方法院的密封案件資料遭多個國家級與犯罪駭客團體外洩。這次攻擊與2020年川普(Donald Trump)第一任期時發生的重大法院系統入侵如出一轍,但直到現在才清楚駭客如何滲入系統,以及兩起事件是否有關。
知情人士與一名美國高階執法官員表示,儘管外洩的是高度敏感的法院資料,這次駭客入侵並不複雜,而是利用早已在法院系統內部發現的舊問題。該系統名為「案件管理系統/電子案件檔案系統」(Case Management/Electronic Case Files system,CM/ECF),供法律專業人士上傳與管理法院文件。
這名執法官員指出,最新入侵是自2020年以來「同一批基礎性安全問題的延續」。由於事件敏感且仍在調查中。
知情人士說,調查人員懷疑俄羅斯駭客在2020年與目前的入侵中都扮演了角色,且竊取資料的膽量愈來愈大,包括從至少三個聯邦地方法院竊走該系統的原始程式碼,並成批吸走密封案件資料;這與2020年事件中較具針對性的竊取方式不同。
近期與2020年的滲透細節先前從未披露,顯示外國駭客竊取聯邦司法機關所持有的高度敏感資料之容易,資料可能包括密封的逮捕與搜查令,以及涉案證人與進行中的刑事調查資訊。
知情人士如此形容:「對這些人來說,就像從嬰兒手裡搶糖果一樣容易。」
負責管理CM/ECF的美國法院行政辦公室拒絕置評;司法部與聯邦調查局也未回應置評請求。《紐約時報》12日率先報導,2020年的駭侵與目前的入侵都至少部分由俄羅斯駭客執行。
司法官員對近期駭侵特別憂慮,因為有跡象顯示,拉丁美洲毒梟可能已取得部分資料,恐讓他們得以識別在聯邦法院出庭作證的證人。全美各地聯邦法院已緊急將最敏感業務改用紙筆處理,國會委員會也在7月底聽取簡報後,要求下月再舉行一次閉門簡報。
CM/ECF於1990年代中期開始部署,並有對外的「公共存取法院電子紀錄」(Public Access to Court Electronic Records,PACER)系統,供公眾有限查閱未密封資訊。知情人士說,2020年與近期的駭客入侵都利用該系統在用戶登入驗證與查詢敏感資料方式上的簡單漏洞。
法院行政辦公室直到今年5月才宣布,將要求CM/ECF用戶啟用雙重驗證登入,這只是最基本的網路安全措施。實際上,聯邦法院早在此次駭客入侵曝光前就屢次被警告系統漏洞。
2022年,眾議員納德勒(Jerry Nadler)曾透露,2020年有三個不同的國家級駭客團體同時入侵該系統,形容事件「範圍與規模驚人」。今年6月,聯邦法院國家政策制定機構資訊科技委員會主席史卡德(Michael Scudder)在國會作證時指出,CM/ECF與PACER因網路安全風險「已不可持續」,聯邦司法機關計劃全面重建系統,並以試點計劃逐步推行。
聯邦司法機關上周表示,將因應近期網攻加強系統防護,並稱過去數年已「新增重大資安防護措施」。但一大障礙是聯邦司法機關高度分散,雖然CM/ECF由法院行政辦公室統籌,但各地聯邦法院自行在本地伺服器上運行,並擁有高度自主權。
一位曾協助處理2020年駭侵的前聯邦法官說:「不存在一個統一的CM/ECF,全美有超過200個版本,因為各地法院會自行修改。」
一名曾參與2020年駭侵應對的美國前高階網安官員說,當時司法部必須逐一聯繫部分地方法院,向其簡報並說服他們修改各自系統,「不像微軟那樣能一次推出大規模修補」。
知情人士補充,有些地方法院至今未安裝強化的安全監測工具,難以及時發現駭客;許多法院也遲遲未安裝必要的安全修補程式。雙重驗證實施不力只是小部分問題。
因此,各地法院紛紛改用紙筆記錄最敏感的資料。近三周來,至少有華盛頓東區、維吉尼亞東區與紐約東區等三個地方法院,發布命令禁止將密封文件上傳至PACER。其他法院也正跟進。
雖然CM/ECF不會存放政府起訴的最高機密國安案件,司法部也會將高風險證人資料存放於自身系統,但白宮前網路安全主管紐伯格(Anne Neuberger)警告,俄羅斯等外國對手仍可透過司法系統獲取有價值的資訊,例如美方對俄羅斯網路罪犯的起訴情況,「這應該促使聯邦法官立即加強法院系統的網路安全」。
雖然近期駭侵多採用基礎手法,但部分團體可能也使用了更隱蔽的技術。知情人士指出,俄羅斯駭客竊取原始程式碼後,很可能對如何竊取密封案件資料有深入了解,「他們可能比法院行政辦公室更懂CM/ECF」。
