專門提供即時威脅情報的Recorded Future上周指出,負責測試與認證美國投票系統的美國選舉協助委員會(U.S. Election Assistance Commission(EAC)已遭俄國駭客滲透,化名為Rasputin的俄國駭客正在黑市中銷售未修補的EAC安全漏洞。
EAC是美國在2002年通過的《美國投票協助法案》(Help America Vote Act,HAVA)所設立的委員會,負責測試及認證投票設備,維持美國選民登記(National Voter Registration)的形式,也負責管理全美的選舉紀錄。另也負責委任測試實驗室及投票系統,以及稽核HAVA專案的財務狀況。
Rasputin宣稱他是利用一個未修補的資料隱碼(SQL injection)漏洞存取EAC系統,將外洩逾100個EAC系統的存取憑證,其中不乏擁有最高管理員權限的登入憑證,可用來存取機密資訊,甚至能於EAC系統上植入惡意程式,利用政府資源展開水坑(watering hole)攻擊。
Recorded Future猜測,Rasputin曾與代表某一中東政府的買家進行協商,並已把所獲得的有關資訊全都提交給美國聯邦執法機構,惟目前尚不確定EAC受到危害的規模。
此外,根據Rasputin在駭客論壇過往的行為,Recorded Future認為他並非受雇於政府組織,只不過也不確定EAC漏洞始於何時,有可能也已被其他人開採。