美国会议员质疑SolarWinds攻击是NSA让Juniper后门事件重演

SolarWinds供应链攻击再度引发软件后门泄露客户资讯的疑虑。这也让美国-再度想起2015年Juniper软件后门事件之后，国安局（National Security Agency，NSA）没有因此尽到保护-的职责。

SolarWinds攻击事件导致美国商务部、财政部及国土安全部等一级单位，遭植入Sunburst等后门软件，犯案者据信为俄罗斯骇客组织，可以此搜集资讯或发动第二波攻击。此事让 Ron Wyden等2名参议员及8名众议员再度关切起Juniper后门事件，并质疑NSA何以让-导入的软件被植入后门事件再度发生。

2015年Juniper被外部研究人员揭露，有不知名骇客修改了路由器操作系统ScreenOS，加入未授权程式码。追查之下发现，这些程式码实为一道后门，但用意在修改更早以前的后门密钥。这更早的后门出在Juniper使用，由NSA开发的加密算法Dual_EC_DRBG之中。Juniper于2015年宣布要调查这起攻击事件，并在2016年移除由NSA开发的算法。

然而事隔5年之后，Juniper仍然没有公布调查结果。2019年美国国会就曾经追问过Juniper此事。

而在SolarWinds事件后，美国参众议员再度想起此事，而且追究新责任。本周对NSA的去函中，议员指出，美国人民有权知道，在Juniper骇入事件后，NSA何以没有着手保护-免于供应链攻击的重大威胁。最近SolarWinds事件即为相同的供应链攻击，导致多个-部门因软件更新被植入恶意程式遭骇。

议员提出许多疑问要求NSA回答。包括Juniper后门事件后，NSA有做什么强化措施保护自己、国防部、美国-不受供应链攻击，又何以失败导致SolarWinds事件？此外他们也追问NSA对Dual_EC_DRBG算法的后门是否事先知情，而NSA在送交NIST认证的算法加入后门，是否有获得立法机关同意、外国情报监控法庭命令、经NSA局长批准、或征询过网络安全暨基础架构安全局（CISA）、商务部、美国交易委员会（FTC）及通讯委员会（FCC），这件事是否应通知国会。最后，他们想知道，是不是NSA要求Juniper在自家产品的Dual_EC_DRBG算法中加入后门，或是调整成不同于NIST公布的参数值。