La brecha en curso que afecta a miles de organizaciones que confiaron en productos de puerta trasera por parte de la empresa de software de red. Vientos solares pudo haber puesto en peligro la privacidad de innumerables documentos judiciales sellados archivados en el sistema judicial federal de EE. UU., según un memorando publicado el miércoles por el Oficina Administrativa (AO) de los Tribunales de EE. UU..
La agencia del poder judicial dijo que implementará controles más estrictos para recibir y almacenar documentos confidenciales presentados ante los tribunales federales, luego de descubrir que sus propios sistemas se vieron comprometidos como parte del ataque a la cadena de suministro de SolarWinds. Esa intrusión involucró la inserción subrepticia de código malicioso en las actualizaciones enviadas por SolarWinds para unos 18,000 usuarios de su Orión software de gestión de red desde marzo de 2020.
“La AO está trabajando con el Departamento de Seguridad Nacional en una auditoría de seguridad relacionada con las vulnerabilidades en el Poder Judicial. Gestión de Casos/Expedientes Electrónicos de Casos (CM/ECF) que corren un gran riesgo de comprometer documentos no públicos altamente confidenciales almacenados en CM/ECF, particularmente archivos sellados”, dijo la agencia en una declaración publicado el 6 de enero.
“Actualmente se está investigando un aparente compromiso de la confidencialidad del sistema CM/ECF debido a estas vulnerabilidades descubiertas”, continúa el comunicado. “Debido a la naturaleza de los ataques, la revisión de este asunto y su impacto está en curso”.
El AO se negó a comentar sobre preguntas específicas sobre su divulgación de incumplimiento. Pero una fuente cercana a la investigación le dijo a KrebsOnSecurity que el sistema de documentos de la corte federal fue «golpeado duramente» por los atacantes de SolarWinds, que múltiples agencias de inteligencia y fuerzas del orden de EE. UU. han atribuido como «probablemente de origen ruso».
La fuente dijo que los intrusos detrás del compromiso de SolarWinds sembraron la red de AO con un malware «Teardrop» de segunda etapa eso fue más allá de la actualización del software malicioso «Sunburst» que se envió de manera oportunista a los 18,000 clientes que usaban el software Orion comprometido. Esto sugiere que los atacantes estaban apuntando a la agencia para obtener un acceso más profundo a sus redes y comunicaciones.
El sistema de documentos judiciales de la AO alimenta una base de datos de búsqueda pública llamada EL QUE MARCA EL PASOy la gran mayoría de los archivos en PACER no están restringidos y están disponibles para cualquiera que esté dispuesto a pagar por los registros.
Pero los expertos dicen que muchos otros documentos almacenados en el sistema de AO están sellados, ya sea de forma temporal o indefinida por los tribunales o las partes de un asunto legal, y pueden contener información muy confidencial, incluida la propiedad intelectual y los secretos comerciales, o incluso las identidades de informantes confidenciales.
Nicolás Tejedor, profesor del departamento de informática de la Universidad de California, Berkeley, dijo que el sistema de documentos judiciales no contiene documentos clasificados por razones de seguridad nacional. Pero dijo que el sistema está lleno de archivos confidenciales sellados, como citaciones para registros de correo electrónico y las llamadas solicitudes de «atrapar y rastrear» que los funcionarios encargados de hacer cumplir la ley usan para determinar con quién se comunica un sospechoso por teléfono, cuándo y por cuánto tiempo.
“Esto sería un tesoro para los rusos al conocer muchas investigaciones criminales en curso”, dijo Weaver. “Si el FBI ha acusado a alguien pero aún no lo ha arrestado, todo está sellado. Muchas de las herramientas de investigación que se protegen bajo sello se archivan muy temprano en el proceso, a menudo con órdenes de mordaza que impiden [the subpoenaed party] de revelar la solicitud.”
El reconocimiento del AO llega horas después de la Departamento de Justicia de EE. UU. dijo que también fue víctima de los intrusos de SolarWindsquien tomó el control del departamento Oficina 365 y accedió al correo electrónico enviado o recibido de aproximadamente el tres por ciento de las cuentas del Departamento de Justicia (el departamento tiene más de 100,000 empleados).
Según los informes, el ataque a SolarWinds también puso en peligro los sistemas de correo electrónico utilizados por altos funcionarios del Departamento del Tesoro y otorgó a los atacantes acceso a redes dentro de los departamentos de Energía, Comercio y Seguridad Nacional.
Los New York Times el miércoles reportado que los investigadores están examinando si una brecha en otro proveedor de software, JetBrains, pudo haber precipitado el ataque a SolarWinds. La empresa, que fue fundada por tres ingenieros rusos en la República Checa, fabrica una herramienta llamada TeamCity que ayuda a los desarrolladores a probar y administrar el código de software. TeamCity es utilizado por desarrolladores en 300 000 organizaciones, incluidas SolarWinds y 79 de las empresas Fortune 100.
“Los funcionarios están investigando si la empresa, fundada por tres ingenieros rusos en la República Checa con laboratorios de investigación en Rusia, fue violada y utilizada como vía para que los piratas informáticos insertaran puertas traseras en el software de un número incalculable de empresas tecnológicas”, The Times dijo. “Los expertos en seguridad advierten que la intrusión de meses podría ser la mayor violación de las redes de los Estados Unidos en la historia”.
Según los nuevos procedimientos de la AO, los documentos judiciales altamente confidenciales presentados ante los tribunales federales se aceptarán para su presentación en papel o a través de un dispositivo electrónico seguro, como una memoria USB, y se almacenarán en un sistema informático independiente seguro. Estos documentos sellados no se cargarán en CM/ECF.
“Esta nueva práctica no cambiará las políticas actuales con respecto al acceso público a los registros judiciales, ya que los registros sellados son confidenciales y actualmente no están disponibles para el público”, dijo la AO.
james lewisvicepresidente sénior de la Cingresar a Estudios Estratégicos e Internacionalesdijo que es demasiado pronto para decir el verdadero impacto de la violación en el sistema judicial, pero el hecho de que aparentemente fueron atacados es «un gran problema».
“No sabemos qué se llevaron los rusos, pero el hecho de que tuvieran acceso a este sistema significa que tenían acceso a muchas cosas excelentes, porque los casos federales tienden a involucrar objetivos de perfil bastante alto”, dijo.
Relacionado:
Breach Blind Spot pone a los minoristas a la defensiva – Krebs on Security
Venta forzosa de tarjetas robadas en Target Breach – Krebs on Security
Premera Blue Cross Breach expone registros médicos y financieros – Krebs on Security
Trump despide al jefe de seguridad Christopher Krebs – Krebs on Security
