Управление операций специализированного доступа ( TAO ), ныне Управление компьютерными сетями и структурированное как S32 , [1] представляет собой подразделение Агентства национальной безопасности (АНБ) по сбору разведывательной информации о кибервойне . [2] Она действовала по крайней мере с 1998 года, возможно, с 1997 года, но, по словам генерала Майкла Хейдена, не называлась и не была структурирована как ТАО до «последних дней 2000 года» . [3] [4] [5]
TAO выявляет, отслеживает, проникает и собирает информацию о компьютерных системах, используемых организациями, иностранными для Соединенных Штатов. [6] [7] [8] [9]
Сообщается, что ТАО является «крупнейшим и, возможно, самым важным компонентом огромного Управления радиоразведки АНБ (SID), [10] состоящего из более чем 1000 военных и гражданских компьютерных хакеров, аналитиков разведки, специалистов по нацеливанию, разработчиков компьютерного оборудования и программного обеспечения, а также инженеры-электрики. В настоящее время офис известен как Управление эксплуатации компьютерных сетей (OCNO). [4]
В документе, опубликованном бывшим сотрудником АНБ Эдвардом Сноуденом и описывающим работу подразделения, говорится, что у TAO есть шаблоны программного обеспечения, позволяющие ему взламывать широко используемое оборудование, включая «маршрутизаторы, коммутаторы и межсетевые экраны от нескольких линеек продуктов поставщиков». [11] Инженеры TAO предпочитают подключаться к сетям, а не к изолированным компьютерам, поскольку в одной сети обычно находится множество устройств. [11]
Штаб-квартира ТАО называется Центром удаленных операций (ROC) и расположена в штаб-квартире АНБ в Форт-Мид, штат Мэриленд . ТАО также расширилось до АНБ Гавайев ( Вахиава , Оаху), АНБ Джорджии ( Форт Эйзенхауэр , Джорджия), АНБ Техаса ( Объединенная база Сан-Антонио , Техас) и АНБ Колорадо ( База космических сил Бакли , Денвер). [4]
Подробности [17] о программе под названием QUANTUMSQUIRREL указывают на способность АНБ маскироваться под любой маршрутизируемый хост IPv4 или IPv6. [18] Это позволяет компьютеру АНБ генерировать ложное географическое местоположение и личные идентификационные данные при доступе в Интернет с использованием QUANTUMSQUIRREL. [19]
С 2013 по 2017 год [20] главой TAO был Роб Джойс , сотрудник со стажем более 25 лет, ранее работавший в Управлении обеспечения безопасности информации (IAD) АНБ. В январе 2016 года Джойс редко появлялся на публике, выступая с презентацией на конференции Usenix's Enigma. [21]
Каталог АНБ АНБ представляет собой 50-страничную технологию перечня секретных документов, доступную Отделу передовых сетевых технологий (ANT ) Агентства национальной безопасности США (АНБ) для операций специализированного доступа (TAO) для помощи в кибернаблюдении. Большинство устройств описаны как уже работающие и доступны гражданам США и членам альянса Five Eyes . По данным журнала Der Spiegel , который опубликовал каталог 30 декабря 2013 года, «список выглядит как каталог для заказа по почте, из которого другие сотрудники АНБ могут заказывать у подразделения ANT технологии для прослушивания данных своих целей». Документ был создан в 2008 году. [22] Исследователь безопасности Якоб Аппельбаум выступил с речью на Конгрессе Chaos Communications в Гамбурге , Германия , в которой подробно описал методы, которые раскрыты из каталога в одновременно опубликованной статье Der Spiegel, соавтором которой он является. [22]
TAO разработало пакет атак, который они называют QUANTUM. Он опирается на взломанный маршрутизатор , который дублирует интернет-трафик, обычно HTTP- запросы, так что они направляются как к намеченной цели, так и к сайту АНБ (косвенно). На сайте АНБ используется программное обеспечение FOXACID, которое отправляет обратно эксплойты, которые загружаются в фоновом режиме в целевой веб-браузер до того, как предполагаемый пункт назначения получит возможность ответить (неясно, способствует ли взломанный маршрутизатор этой гонке на обратном пути). До разработки этой технологии программное обеспечение FOXACID осуществляло целевые фишинговые атаки, которые АНБ называло спамом. Если браузер уязвим для эксплойтов, на целевой компьютер устанавливаются дополнительные постоянные «имплантаты» (руткиты и т. д.), например OLYMPUSFIRE для Windows, что обеспечивает полный удаленный доступ к зараженному компьютеру. [23] Этот тип атаки является частью семейства атак «человек посередине» , хотя более конкретно его называют атакой «человек на стороне» . Трудно добиться успеха, не контролируя часть магистрали Интернета . [24]
Существует множество сервисов, которые FOXACID может использовать таким образом. Названия некоторых модулей FOXACID приведены ниже: [25]
Благодаря сотрудничеству со штаб-квартирой правительственных коммуникаций Великобритании (GCHQ) ( MUSCULAR ) можно было атаковать и сервисы Google, включая Gmail . [26]
Поиск машин, которые можно использовать и которые стоит атаковать, осуществляется с помощью аналитических баз данных, таких как XKeyscore . [27] Конкретным методом обнаружения уязвимых машин является перехват трафика отчетов об ошибках Windows , который регистрируется в XKeyscore. [28]
Атаки QUANTUM, запускаемые с сайтов АНБ, могут быть слишком медленными для некоторых комбинаций целей и служб, поскольку они, по сути, пытаются использовать состояние гонки , то есть сервер АНБ пытается превзойти законный сервер своим ответом. [29] По состоянию на середину 2011 года АНБ создавало прототип возможности под кодовым названием QFIRE, которая включала встраивание серверов распространения эксплойтов в виртуальные машины (работающие на VMware ESX ), размещенные ближе к цели, в так называемых специальных сайтах сбора (Special Collection Sites). СКС) сеть по всему миру. Целью QFIRE было снизить задержку поддельного ответа, тем самым увеличив вероятность успеха. [30] [31] [32]
COMMENDEER [ sic ] используется для захвата (то есть компрометации) нецелевых компьютерных систем. Программное обеспечение используется в составе QUANTUMNATION, в состав которого также входит программный сканер уязвимостей VALIDATOR. Впервые инструмент был описан на Конгрессе Chaos Communication Congress 2014 года Джейкобом Аппельбаумом , который охарактеризовал его как тиранический. [33] [34] [35]
QUANTUMCOOKIE — более сложная форма атаки, которую можно использовать против пользователей Tor . [36]
Подозреваемые, предполагаемые и подтвержденные цели подразделения Tailored Access Operations включают национальные и международные организации, такие как Китай , [4] Северо-Западный политехнический университет , [37] ОПЕК , [38] и Секретариат общественной безопасности Мексики . [28]
Группа также нацелилась на глобальные сети связи через SEA-ME-WE 4 — оптоволоконную подводную кабельную систему связи, которая обеспечивает телекоммуникации между Сингапуром, Малайзией, Таиландом, Бангладеш, Индией, Шри-Ланкой, Пакистаном, Объединенными Арабскими Эмиратами, Саудовской Аравией, Суданом. , Египет, Италия, Тунис, Алжир и Франция. [34] Кроме того, Försvarets radioanstalt (FRA) в Швеции предоставляет доступ к оптоволоконным каналам связи для сотрудничества QUANTUM. [39] [40]
Технология QUANTUM INSERT от TAO была передана британским службам, в частности MyNOC GCHQ , который использовал ее для нападения на Belgacom и провайдеров роуминговой связи GPRS (GRX), таких как Comfone, Syniverse и Starhome. [28] Компания Belgacom, предоставляющая услуги Европейской комиссии , Европейскому парламенту и Европейскому совету, обнаружила атаку. [41]
Совместно с ЦРУ и ФБР TAO используется для перехвата ноутбуков, купленных через Интернет, перенаправления их на секретные склады, где установлено шпионское ПО и оборудование, и отправки их клиентам. [42] TAO также атаковала интернет-браузеры Tor и Firefox . [24]
Согласно статье в журнале Foreign Policy , опубликованной в 2013 году , TAO «все более успешно справляется со своей миссией, отчасти благодаря сотрудничеству на высоком уровне, которое она тайно получает от «большой тройки» американских телекоммуникационных компаний ( AT&T , Verizon и Sprint ), большинства крупные американские интернет-провайдеры, а также многие ведущие производители программного обеспечения для компьютерной безопасности и консалтинговые компании». [43] В бюджетном документе TAO на 2012 год утверждается, что эти компании по указанию TAO «вставляют уязвимости в коммерческие системы шифрования, ИТ-системы, сети и конечные коммуникационные устройства, используемые целями». [43] Ряд американских компаний, в том числе Cisco и Dell , впоследствии выступили с публичными заявлениями, отрицая, что они вставляют такие лазейки в свои продукты. [44] Microsoft заранее предупреждает АНБ об известных ему уязвимостях до того, как исправления или информация об этих уязвимостях станут доступны общественности; это позволяет TAO выполнять так называемые атаки нулевого дня . [45] Представитель Microsoft, пожелавший остаться неизвестным в прессе, подтвердил, что это действительно так, но заявил, что Microsoft не может нести ответственность за то, как АНБ использует эту предварительную информацию. [46]
Гораздо чаще имплант полностью закодирован в программном обеспечении группой АНБ под названием Tailored Access Operations (TAO). Как следует из названия, TAO создает инструменты для атак, специально адаптированные к их целям. Инженеры-программисты подразделения АНБ предпочитают подключаться к сетям, а не к отдельным компьютерам, поскольку в каждой сети обычно имеется множество устройств. У компании Tailored Access Operations есть шаблоны программного обеспечения, позволяющие анализировать распространенные марки и модели «маршрутизаторов, коммутаторов и межсетевых экранов различных линеек продуктов», согласно одному из документов, описывающих ее работу.