stringtranslate.com

Индивидуальные операции доступа

Ссылка на специализированные операции доступа на слайде XKeyscore .

Управление операций специализированного доступа ( TAO ), ныне Управление компьютерными сетями и структурированное как S32 , [1] представляет собой подразделение Агентства национальной безопасности (АНБ) по сбору разведывательной информации о кибервойне . [2] Она действовала по крайней мере с 1998 года, возможно, с 1997 года, но, по словам генерала Майкла Хейдена, не называлась и не была структурирована как ТАО до «последних дней 2000 года» . [3] [4] [5]

TAO выявляет, отслеживает, проникает и собирает информацию о компьютерных системах, используемых организациями, иностранными для Соединенных Штатов. [6] [7] [8] [9]

История

Сообщается, что ТАО является «крупнейшим и, возможно, самым важным компонентом огромного Управления радиоразведки АНБ (SID), [10] состоящего из более чем 1000 военных и гражданских компьютерных хакеров, аналитиков разведки, специалистов по нацеливанию, разработчиков компьютерного оборудования и программного обеспечения, а также инженеры-электрики. В настоящее время офис известен как Управление эксплуатации компьютерных сетей (OCNO). [4]

Утечка Сноудена

В документе, опубликованном бывшим сотрудником АНБ Эдвардом Сноуденом и описывающим работу подразделения, говорится, что у TAO есть шаблоны программного обеспечения, позволяющие ему взламывать широко используемое оборудование, включая «маршрутизаторы, коммутаторы и межсетевые экраны от нескольких линеек продуктов поставщиков». [11] Инженеры TAO предпочитают подключаться к сетям, а не к изолированным компьютерам, поскольку в одной сети обычно находится множество устройств. [11]

Организация

Штаб-квартира ТАО называется Центром удаленных операций (ROC) и расположена в штаб-квартире АНБ в Форт-Мид, штат Мэриленд . ТАО также расширилось до АНБ Гавайев ( Вахиава , Оаху), АНБ Джорджии ( Форт Эйзенхауэр , Джорджия), АНБ Техаса ( Объединенная база Сан-Антонио , Техас) и АНБ Колорадо ( База космических сил Бакли , Денвер). [4]

Виртуальные локации

Подробности [17] о программе под названием QUANTUMSQUIRREL указывают на способность АНБ маскироваться под любой маршрутизируемый хост IPv4 или IPv6. [18] Это позволяет компьютеру АНБ генерировать ложное географическое местоположение и личные идентификационные данные при доступе в Интернет с использованием QUANTUMSQUIRREL. [19]

Лидерство

С 2013 по 2017 год [20] главой TAO был Роб Джойс , сотрудник со стажем более 25 лет, ранее работавший в Управлении обеспечения безопасности информации (IAD) АНБ. В январе 2016 года Джойс редко появлялся на публике, выступая с презентацией на конференции Usenix's Enigma. [21]

«Действительно скрытая инфраструктура, будь то любой IP в мире».
Изображение QUANTUMSQUIRREL из презентации АНБ, объясняющее способность QUANTUMSQUIRREL подменять IP-адрес хоста

Каталог АНБ АНТ

Каталог АНБ АНБ представляет собой 50-страничную технологию перечня секретных документов, доступную Отделу передовых сетевых технологий (ANT ) Агентства национальной безопасности США (АНБ) для операций специализированного доступа (TAO) для помощи в кибернаблюдении. Большинство устройств описаны как уже работающие и доступны гражданам США и членам альянса Five Eyes . По данным журнала Der Spiegel , который опубликовал каталог 30 декабря 2013 года, «список выглядит как каталог для заказа по почте, из которого другие сотрудники АНБ могут заказывать у подразделения ANT технологии для прослушивания данных своих целей». Документ был создан в 2008 году. [22] Исследователь безопасности Якоб Аппельбаум выступил с речью на Конгрессе Chaos Communications в Гамбурге , Германия , в которой подробно описал методы, которые раскрыты из каталога в одновременно опубликованной статье Der Spiegel, соавтором которой он является. [22]

КВАНТОВЫЕ атаки

«Я нахожусь в вашем пространственно-временном континууме, нарушая всю вашу гравитацию, кванты и все такое».
Изображение Lolcat из презентации АНБ, частично объясняющее название программы QUANTUM.
Обзорный слайд АНБ «КВАНТУМТЕОРИЯ» с различными кодовыми названиями для конкретных типов атак и интеграции с другими системами АНБ.

TAO разработало пакет атак, который они называют QUANTUM. Он опирается на взломанный маршрутизатор , который дублирует интернет-трафик, обычно HTTP- запросы, так что они направляются как к намеченной цели, так и к сайту АНБ (косвенно). На сайте АНБ используется программное обеспечение FOXACID, которое отправляет обратно эксплойты, которые загружаются в фоновом режиме в целевой веб-браузер до того, как предполагаемый пункт назначения получит возможность ответить (неясно, способствует ли взломанный маршрутизатор этой гонке на обратном пути). До разработки этой технологии программное обеспечение FOXACID осуществляло целевые фишинговые атаки, которые АНБ называло спамом. Если браузер уязвим для эксплойтов, на целевой компьютер устанавливаются дополнительные постоянные «имплантаты» (руткиты и т. д.), например OLYMPUSFIRE для Windows, что обеспечивает полный удаленный доступ к зараженному компьютеру. [23] Этот тип атаки является частью семейства атак «человек посередине» , хотя более конкретно его называют атакой «человек на стороне» . Трудно добиться успеха, не контролируя часть магистрали Интернета . [24]

Существует множество сервисов, которые FOXACID может использовать таким образом. Названия некоторых модулей FOXACID приведены ниже: [25]

Благодаря сотрудничеству со штаб-квартирой правительственных коммуникаций Великобритании (GCHQ) ( MUSCULAR ) можно было атаковать и сервисы Google, включая Gmail . [26]

Поиск машин, которые можно использовать и которые стоит атаковать, осуществляется с помощью аналитических баз данных, таких как XKeyscore . [27] Конкретным методом обнаружения уязвимых машин является перехват трафика отчетов об ошибках Windows , который регистрируется в XKeyscore. [28]

Атаки QUANTUM, запускаемые с сайтов АНБ, могут быть слишком медленными для некоторых комбинаций целей и служб, поскольку они, по сути, пытаются использовать состояние гонки , то есть сервер АНБ пытается превзойти законный сервер своим ответом. [29] По состоянию на середину 2011 года АНБ создавало прототип возможности под кодовым названием QFIRE, которая включала встраивание серверов распространения эксплойтов в виртуальные машины (работающие на VMware ESX ), размещенные ближе к цели, в так называемых специальных сайтах сбора (Special Collection Sites). СКС) сеть по всему миру. Целью QFIRE было снизить задержку поддельного ответа, тем самым увеличив вероятность успеха. [30] [31] [32]

COMMENDEER [ sic ] используется для захвата (то есть компрометации) нецелевых компьютерных систем. Программное обеспечение используется в составе QUANTUMNATION, в состав которого также входит программный сканер уязвимостей VALIDATOR. Впервые инструмент был описан на Конгрессе Chaos Communication Congress 2014 года Джейкобом Аппельбаумом , который охарактеризовал его как тиранический. [33] [34] [35]

QUANTUMCOOKIE — более сложная форма атаки, которую можно использовать против пользователей Tor . [36]

Цели и сотрудничество

Подозреваемые, предполагаемые и подтвержденные цели подразделения Tailored Access Operations включают национальные и международные организации, такие как Китай , [4] Северо-Западный политехнический университет , [37] ОПЕК , [38] и Секретариат общественной безопасности Мексики . [28]

Группа также нацелилась на глобальные сети связи через SEA-ME-WE 4 — оптоволоконную подводную кабельную систему связи, которая обеспечивает телекоммуникации между Сингапуром, Малайзией, Таиландом, Бангладеш, Индией, Шри-Ланкой, Пакистаном, Объединенными Арабскими Эмиратами, Саудовской Аравией, Суданом. , Египет, Италия, Тунис, Алжир и Франция. [34] Кроме того, Försvarets radioanstalt (FRA) в Швеции предоставляет доступ к оптоволоконным каналам связи для сотрудничества QUANTUM. [39] [40]

Технология QUANTUM INSERT от TAO была передана британским службам, в частности MyNOC GCHQ , который использовал ее для нападения на Belgacom и провайдеров роуминговой связи GPRS (GRX), таких как Comfone, Syniverse и Starhome. [28] Компания Belgacom, предоставляющая услуги Европейской комиссии , Европейскому парламенту и Европейскому совету, обнаружила атаку. [41]

Совместно с ЦРУ и ФБР TAO используется для перехвата ноутбуков, купленных через Интернет, перенаправления их на секретные склады, где установлено шпионское ПО и оборудование, и отправки их клиентам. [42] TAO также атаковала интернет-браузеры Tor и Firefox . [24]

Согласно статье в журнале Foreign Policy , опубликованной в 2013 году , TAO «все более успешно справляется со своей миссией, отчасти благодаря сотрудничеству на высоком уровне, которое она тайно получает от «большой тройки» американских телекоммуникационных компаний ( AT&T , Verizon и Sprint ), большинства крупные американские интернет-провайдеры, а также многие ведущие производители программного обеспечения для компьютерной безопасности и консалтинговые компании». [43] В бюджетном документе TAO на 2012 год утверждается, что эти компании по указанию TAO «вставляют уязвимости в коммерческие системы шифрования, ИТ-системы, сети и конечные коммуникационные устройства, используемые целями». [43] Ряд американских компаний, в том числе Cisco и Dell , впоследствии выступили с публичными заявлениями, отрицая, что они вставляют такие лазейки в свои продукты. [44] Microsoft заранее предупреждает АНБ об известных ему уязвимостях до того, как исправления или информация об этих уязвимостях станут доступны общественности; это позволяет TAO выполнять так называемые атаки нулевого дня . [45] Представитель Microsoft, пожелавший остаться неизвестным в прессе, подтвердил, что это действительно так, но заявил, что Microsoft не может нести ответственность за то, как АНБ использует эту предварительную информацию. [46]

Смотрите также

Рекомендации

  1. Накашима, Эллен (1 декабря 2017 г.). «Сотрудник АНБ, работавший дома над хакерскими инструментами, признал себя виновным по обвинению в шпионаже». Вашингтон Пост . Проверено 4 декабря 2017 г.
  2. ^ Лолески, Стивен (18 октября 2018 г.). «От холода к кибервоинам: истоки и расширение операций АНБ по индивидуальному доступу (TAO) к теневым брокерам». Разведка и национальная безопасность . 34 (1): 112–128. дои : 10.1080/02684527.2018.1532627. ISSN  0268-4527. S2CID  158068358.
  3. Хайден, Майкл В. (23 февраля 2016 г.). Игра на грани: американская разведка в эпоху террора. Пингвин Пресс. ISBN 978-1594206566. Проверено 1 апреля 2021 г.
  4. ^ abcde Aid, Мэтью М. (10 июня 2013 г.). «Внутри сверхсекретной китайской хакерской группы АНБ». Внешняя политика . Проверено 11 июня 2013 г.
  5. Патерсон, Андреа (30 августа 2013 г.). «У АНБ есть своя команда элитных хакеров» . Вашингтон Пост . Архивировано из оригинала 19 октября 2013 года . Проверено 31 августа 2013 г.
  6. Кингсбери, Алекс (19 июня 2009 г.). «Тайная история Агентства национальной безопасности». Новости США и мировой отчет . Проверено 22 мая 2013 г.
  7. ^ Кингсбери, Алекс; Малрин, Анна (18 ноября 2009 г.). «США наносят ответный удар в глобальной кибервойне». Новости США и мировой отчет . Проверено 22 мая 2013 г.
  8. Райли, Майкл (23 мая 2013 г.). «Как правительство США взламывает мир». Блумберг Бизнесуик . Архивировано из оригинала 25 мая 2013 года . Проверено 23 мая 2013 г.
  9. ^ Помощь, Мэтью М. (8 июня 2010 г.). Тайный часовой: нерассказанная история Агентства национальной безопасности. Блумсбери США. п. 311. ИСБН 978-1-60819-096-6. Проверено 22 мая 2013 г.
  10. ^ «FOIA № 70809 (выпущено 19 сентября 2014 г.)» (PDF) .
  11. ^ аб Геллман, Бартон; Накашима, Эллен (30 августа 2013 г.). «Как показывают документы, в 2011 году шпионские агентства США провели 231 наступательную кибероперацию». Вашингтон Пост . Проверено 7 сентября 2013 г. Гораздо чаще имплант полностью закодирован в программном обеспечении группой АНБ под названием Tailored Access Operations (TAO). Как следует из названия, TAO создает инструменты для атак, специально адаптированные к их целям. Инженеры-программисты подразделения АНБ предпочитают подключаться к сетям, а не к отдельным компьютерам, поскольку в каждой сети обычно имеется множество устройств. У компании Tailored Access Operations есть шаблоны программного обеспечения, позволяющие анализировать распространенные марки и модели «маршрутизаторов, коммутаторов и межсетевых экранов различных линеек продуктов», согласно одному из документов, описывающих ее работу.
  12. ^ «Секретные хакеры АНБ из офиса ТАО атакуют Китай уже почти 15 лет» . Компьютерный мир. 11 июня 2013 г. Архивировано из оригинала 25 января 2014 г. Проверено 27 января 2014 г.
  13. ^ Роткопф, Дэвид. «Внутри сверхсекретной китайской хакерской группы АНБ». Внешняя политика . Проверено 27 января 2014 г.
  14. ^ "Hintergrund: Die Speerspitze des americanischen Hackings - News Ausland: Amerika" . Тагес-Анцайгер . tagesanzeiger.ch . Проверено 27 января 2014 г.
  15. ^ «Внутри сверхсекретной хакерской группы АНБ» . Атлантический совет . 11 июня 2013 г. Проверено 27 июля 2023 г.
  16. ^ Ноахмакс (21 февраля 2005 г.). «Джимми Картер: Супершпион?». Оборонная техника. Архивировано из оригинала 20 февраля 2014 г. Проверено 27 января 2014 г.
  17. ^ https://www.eff.org/files/2014/04/09/20140312-intercept-the_nsa_and_gchqs_quantumtheory_hacking_tactics.pdf (слайд 8)
  18. ^ Дилер, Хакер. «Дилер, хакер, юрист, шпион: современные методы и правовые границы операций по борьбе с киберпреступностью». Европейский обзор организованной преступности .
  19. ^ «Тактика взлома КВАНТОВОЙ ТЕОРИИ АНБ и GCHQ» . firstlook.org. 16 июля 2014 г. Проверено 16 июля 2014 г.
  20. Ландлер, Марк (10 апреля 2018 г.). «Томас Боссерт, главный советник Трампа по внутренней безопасности, вынужден уйти» . Газета "Нью-Йорк Таймс . Проверено 9 марта 2022 г.
  21. Томсон, Иэн (28 января 2016 г.). «Главный хакерский босс АНБ объясняет, как защитить вашу сеть от его атакующих групп». Регистр.
  22. ^ ab Этот раздел скопирован из каталога ANT АНБ ; посмотри там источники
  23. ^ "Квантовая теория: Wie die АНБ Weltweit Rechner Hackt" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
  24. ^ Аб Шнайер, Брюс (07 октября 2013 г.). «Как АНБ атакует пользователей Tor/Firefox с помощью QUANTUM и FOXACID». Шнайер.com . Проверено 18 января 2014 г.
  25. ^ Фотоштреке (30 декабря 2013 г.). «Документы АНБ: Итак, знание интернет-контента». Дер Шпигель . Проверено 18 января 2014 г.
  26. ^ "Документы АНБ: Итак, знание интернет-контента" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
  27. Галлахер, Шон (1 августа 2013 г.). «Интернет-перехваты АНБ позволяют находить системы для взлома, отслеживать VPN и документы Word» . Проверено 8 августа 2013 г.
  28. ^ abc «Внутри ТАО: Нацеленность на Мексику». Дер Шпигель . 29 декабря 2013 г. Проверено 18 января 2014 г.
  29. ^ Фотоштреке (30 декабря 2013 г.). «QFIRE — «Vorwärtsverteidigng» АНБ». Дер Шпигель . Проверено 18 января 2014 г.
  30. ^ "QFIRE - умереть "Vorwärtsverteidigng" АНБ" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
  31. ^ "QFIRE - умереть "Vorwärtsverteidigng" АНБ" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
  32. ^ "QFIRE - умереть "Vorwärtsverteidigng" АНБ" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
  33. ^ "" Презентация CCC компьютерного клуба Chaos" в 28:34" . YouTube .
  34. ^ Аб Томсон, Иэн (31 декабря 2013 г.). «Как АНБ взламывает компьютеры, телефоны, маршрутизаторы и жесткие диски «со скоростью света»: утечка каталога шпионских технологий». Регистр . Лондон . Проверено 15 августа 2014 г.
  35. ^ Мик, Джейсон (31 декабря 2013 г.). «Налоги и шпионаж: как АНБ может взломать любого американца, хранящего данные 15 лет». ДейлиТех . Архивировано из оригинала 24 августа 2014 г. Проверено 15 августа 2014 г.
  36. ^ Уивер, Николас (28 марта 2013 г.). «Наше правительство превратило Интернет в оружие. Вот как они это сделали». Проводной . Проверено 18 января 2014 г.
  37. ^ «Китай обвиняет США в неоднократных взломах Политехнического университета» . Блумберг . 5 сентября 2022 г. – через www.bloomberg.com.
  38. ^ Галлахер, Шон (12 ноября 2013 г.). «Квант мошенничества: как АНБ и GCHQ взломали ОПЕК и других». Арс Техника . Проверено 18 января 2014 г.
  39. ^ "Документы Швеции от Эдварда Сноудена - Uppdrag Granskning" . СВТ.се. ​Проверено 18 января 2014 г.
  40. ^ «Что вы хотели знать» (PDF) . documentcloud.org . Проверено 03 октября 2015 г.
  41. ^ «Сообщается, что британские шпионы подделали LinkedIn и Slashdot, чтобы нацелиться на сетевых инженеров» . Сетевой мир. 11 ноября 2013 г. Архивировано из оригинала 15 января 2014 г. Проверено 18 января 2014 г.
  42. ^ «Внутри ТАО: Теневая сеть АНБ» . Дер Шпигель . 29 декабря 2013 г. Проверено 27 января 2014 г.
  43. ^ ab Aid, Мэтью М. (15 октября 2013 г.). «Новые взломщики кодов АНБ». Внешняя политика . Проверено 27 июля 2023 г.
  44. ^ Фарбер, Дэн (29 декабря 2013 г.). «Сообщается, что АНБ установило шпионское ПО на электронное оборудование | Безопасность и конфиденциальность» . Новости CNET . Проверено 18 января 2014 г.
  45. ^ Шнайер, Брюс (4 октября 2013 г.). «Как АНБ думает о секретности и рисках». Атлантический океан . Проверено 18 января 2014 г.
  46. ^ Райли, Майкл (14 июня 2013 г.). «Агентства США заявили об обмене данными с тысячами фирм». Блумберг . Проверено 18 января 2014 г.

Внешние ссылки