美国联邦司法机构的电子案件备案系统遭到严重入侵,可能已泄露包括线人身份在内的机密法庭记录。此次事件的核心问题在于,黑客利用了一个早在2020年就被发现、但一直未被修复的系统漏洞。尽管有报道指向俄罗斯,但攻击的全貌和具体影响仍不明确,凸显了在多次被警告后,联邦系统在基础安全防护和事后响应上的严重不足。
一场悬而未决的入侵
美国联邦司法机构的“案件管理/电子案件档案”(CM/ECF)系统在7月初被发现遭到入侵。这次攻击的后果非常严重,直接导致:
- 一些法院被迫退回使用纸质文件备案的传统方式。
- 机密的法庭记录可能已经泄露。
- 线人和合作证人的身份面临暴露风险。
尽管事件已过去一个多月,但官方对具体情况的说明仍然模糊不清。安全专家对此表示担忧。
我们发现这次入侵已经一个多月了,但仍然没有一份关于受影响范围的完整说明。如果连追踪攻击活动的日志记录都不充分,那将是极其令人失望的,因为这个系统多年来一直是攻击目标。
核心症结:被忽视的旧漏洞
这次网络攻击并非意外,而是一次可预见的失败。黑客利用的软件漏洞,实际上是在2020年该系统遭受另一次攻击后就被发现了。然而,这个已知的安全隐患在过去几年里一直没有得到解决。
这意味着,当前的混乱局面源于对过去教训的漠视。
专家的批评:错失的补救良机
安全研究人员指出,在2021年的那次入侵事件后,本应采取一系列措施来加固系统,但这些建议显然未被采纳。
- 隔离处理敏感文件: 曾有建议要求,密封或高度敏感的文件应通过“物理隔离”(air-gapped)的系统或安全的独立网络处理,而不是通过可联网的CM/ECF系统。
- 建立集中日志系统: 如果在所有分散的CM/ECF实例中建立统一、集中的日志记录,本可以在数据被大规模窃取之前,更早地发现攻击并迅速采取缓解措施。
“强制执行政策,要求通过物理隔离系统处理高度敏感文件……本可以极大地限制风险敞口。这实际上是2021年后提出的建议。”
简而言之,像法院系统这样的高价值目标总会面临攻击。但降低攻击成功率和严重性的最好方法,是在缺陷第一次被利用后就彻底修复它。
复杂的归因与政治环境
虽然有报道将矛头指向俄罗斯,但情况可能更为复杂。有迹象表明,可能有多个国家的间谍机构,甚至有组织的犯罪集团,都参与或利用了这次入侵。
- 谷歌的威胁情报分析师指出,多个攻击者同时探测一个敏感且可能脆弱的系统,这种情况并不少见。
- 同时,特朗普政府持续削减联邦工作人员,包括情报和网络安全机构的官员,这可能影响了事件的调查和披露。一位前国安局黑客推测,“考虑到当下的政治气候,我怀疑没人愿意肯定地指出谁是幕后黑手。”