Операции по индивидуальному доступу

Подразделение Агентства национальной безопасности США

Ссылка на специализированные операции доступа в слайде XKeyscore

Управление по операциям с ограниченным доступом ( TAO ), ныне Управление компьютерных сетей , структурированное как S32 , ^[1] является подразделением по сбору разведывательной информации о кибервойне Агентства национальной безопасности (NSA). ^[2] Оно действует по крайней мере с 1998 года, возможно, с 1997 года, но не было названо и не было структурировано как TAO до «последних дней 2000 года», по словам генерала Майкла Хейдена . ^{[3] [4] [5]}

TAO выявляет, отслеживает, внедряется и собирает разведданные о компьютерных системах, используемых субъектами, находящимися за пределами США. ^{[6] [7] [8] [9]}

История

Сообщается, что TAO является «крупнейшим и, возможно, самым важным компонентом огромного Управления разведки сигналов АНБ (SID) ^[10] , состоящего из более чем 1000 военных и гражданских компьютерных хакеров, аналитиков разведки, специалистов по наведению, разработчиков компьютерного оборудования и программного обеспечения, а также инженеров-электриков. В настоящее время этот офис известен как Управление по эксплуатации компьютерных сетей (OCNO)». ^[4]

Сноуден утечка

В документе, опубликованном бывшим подрядчиком АНБ Эдвардом Сноуденом и описывающем работу подразделения, говорится, что у TAO есть программные шаблоны, позволяющие ему взламывать обычно используемое оборудование, включая «маршрутизаторы, коммутаторы и брандмауэры из нескольких линеек поставщиков продукции». ^[11] Инженеры TAO предпочитают подключаться к сетям, а не к изолированным компьютерам, поскольку в одной сети обычно находится много устройств. ^[11]

Организация

Штаб-квартира TAO называется Центром удаленных операций (ROC) и базируется в штаб-квартире АНБ в Форт-Миде, штат Мэриленд . TAO также расширилась до NSA Hawaii ( Wahiawa , Oahu), NSA Georgia ( Fort Eisenhower , Georgia), NSA Texas ( Joint Base San Antonio , Texas) и NSA Colorado ( Buckley Space Force Base , Denver). ^[4]

• S321 – Центр удаленных операций (ROC) В Центре удаленных операций 600 сотрудников собирают информацию со всего мира. ^{[12] [13]}
• S323 – Отделение технологий сетей передачи данных (DNT): разрабатывает автоматизированное шпионское ПО
  • S3231 – Отдел доступа (ACD)
  • S3232 – Подразделение технологий киберсетей (CNT)
  • С3233 –
  • S3234 – Отдел компьютерных технологий (CTD)
  • S3235 – Отдел сетевых технологий (NTD)
• Отделение телекоммуникационных сетевых технологий (TNT): улучшение методов взлома сетей и компьютеров ^[14]
• Филиал Технологий инфраструктуры миссии: управляет программным обеспечением, предоставленным выше ^[15]
• S328 – Отделение операций по технологиям доступа (ATO): По имеющимся данным, включает в себя персонал, командированный ЦРУ и ФБР , который выполняет то, что описывается как «операции вне сети», что означает, что они организуют для агентов ЦРУ тайную установку подслушивающих устройств на компьютерах и телекоммуникационных системах за рубежом, чтобы хакеры TAO могли удаленно получать к ним доступ из Форт-Мида. ^[4] Специально оборудованные подводные лодки, в настоящее время USS Jimmy Carter , ^[16] используются для прослушивания оптоволоконных кабелей по всему миру.
  • S3283 – Экспедиционные операции доступа (EAO)
  • S3285 – Отделение устойчивости

Виртуальные локации

Подробности ^[17] программы под названием QUANTUMSQUIRREL указывают на способность АНБ маскироваться под любой маршрутизируемый хост IPv4 или IPv6. ^[18] Это позволяет компьютеру АНБ генерировать ложные данные о географическом местоположении и персональные идентификационные данные при доступе в Интернет с использованием QUANTUMSQUIRREL. ^[19]

Лидерство

С 2013 по 2017 год ^[20] главой TAO был Роб Джойс , сотрудник с более чем 25-летним стажем, ранее работавший в Директорате по обеспечению безопасности информации (IAD) АНБ. В январе 2016 года Джойс редко появлялся на публике, когда выступал с докладом на конференции Enigma компании Usenix. ^[21]

Изображение QUANTUMSQUIRREL из презентации АНБ, объясняющей возможность подмены IP-хоста QUANTUMSQUIRREL

Каталог АНТ АНБ

Каталог ANT АНБ — это 50-страничный секретный документ, содержащий технологию, доступную Агентству национальной безопасности США (АНБ) Tailored Access Operations (TAO) Отделом передовых сетевых технологий (ANT) для помощи в кибернаблюдении. Большинство устройств описываются как уже работоспособные и доступные гражданам США и членам альянса Five Eyes . По словам Der Spiegel , который опубликовал каталог для общественности 30 декабря 2013 года, «список читается как почтовый каталог, из которого другие сотрудники АНБ могут заказывать технологии из отдела ANT для прослушивания данных своих целей». Документ был создан в 2008 году. ^[22] Исследователь по безопасности Якоб Аппельбаум выступил с речью на Chaos Communications Congress в Гамбурге , Германия , в которой он подробно описал методы, которые одновременно опубликованная статья Der Spiegel, соавтором которой он был, раскрыла из каталога. ^[22]

КВАНТОВЫЕ атаки

Изображение Lolcat из презентации АНБ, частично объясняющее название программы QUANTUM

Обзорный слайд АНБ QUANTUMTHEORY с различными кодовыми названиями для определенных типов атак и интеграции с другими системами АНБ

TAO разработали набор для атак, который они называют QUANTUM. Он полагается на скомпрометированный маршрутизатор , который дублирует интернет-трафик, обычно HTTP- запросы, так что они идут как к предполагаемой цели, так и на сайт АНБ (косвенно). Сайт АНБ запускает программное обеспечение FOXACID, которое отправляет обратно эксплойты, которые загружаются в фоновом режиме в целевой веб-браузер до того, как предполагаемый пункт назначения успеет ответить (неясно, способствует ли скомпрометированный маршрутизатор этой гонке на обратном пути). До разработки этой технологии программное обеспечение FOXACID делало атаки целевого фишинга, которые АНБ называло спамом. Если браузер уязвим, на целевом компьютере развертываются дополнительные постоянные «импланты» (руткиты и т. д.), например, OLYMPUSFIRE для Windows, который обеспечивает полный удаленный доступ к зараженной машине. ^[23] Этот тип атаки является частью семейства атак «человек посередине» , хотя более конкретно он называется атакой «человек посередине» . Его трудно осуществить, не контролируя часть магистрали Интернета . ^[24]

Существует множество служб, которые FOXACID может эксплуатировать таким образом. Названия некоторых модулей FOXACID приведены ниже: ^[25]

• Пользователь форума alibaba
• двойной щелчок идентификатор
• ракетная почта
• привет5
• Идентификатор Hotmail
• LinkedIn
• мэйлруид
• msnMail Токен64
• Tencent QQ
• Фейсбук
• Твиттер
• Яху
• Gmail
• Ютуб

Благодаря сотрудничеству с Британским правительственным управлением связи (GCHQ) ( MUSCULAR ) сервисы Google также могут быть атакованы, включая Gmail . ^[26]

Поиск машин, которые можно эксплуатировать и которые стоит атаковать, осуществляется с использованием аналитических баз данных, таких как XKeyscore . ^[27] Конкретным методом поиска уязвимых машин является перехват трафика Windows Error Reporting , который регистрируется в XKeyscore. ^[28]

Атаки QUANTUM, запущенные с сайтов АНБ, могут быть слишком медленными для некоторых комбинаций целей и служб, поскольку они по сути пытаются использовать состояние гонки , т. е. сервер АНБ пытается превзойти законный сервер своим ответом. ^[29] По состоянию на середину 2011 года АНБ разрабатывало прототип возможности под кодовым названием QFIRE, которая включала в себя встраивание своих серверов распределения эксплойтов в виртуальные машины (работающие на VMware ESX ), размещенные ближе к цели, в так называемой сети Special Collection Sites (SCS) по всему миру. Целью QFIRE было снизить задержку поддельного ответа, тем самым увеличивая вероятность успеха. ^{[30] [31] [32]}

COMMENDEER [ sic ] используется для захвата (т. е. компрометации) нецелевых компьютерных систем. Программное обеспечение используется как часть QUANTUMNATION, которая также включает сканер уязвимостей программного обеспечения VALIDATOR. Инструмент был впервые описан на Chaos Communication Congress 2014 года Джейкобом Аппельбаумом , который охарактеризовал его как тиранический. ^{[33] [34] [35]}

QUANTUMCOOKIE — более сложная форма атаки, которая может быть использована против пользователей Tor . ^[36]

Цели и сотрудничество

Предполагаемые, предполагаемые и подтвержденные цели подразделения Tailored Access Operations включают национальные и международные организации, такие как Китай , ^[4] Северо-Западный политехнический университет , ^[37] ОПЕК , ^[38] и Секретариат общественной безопасности Мексики . ^[28]

Группа также нацелилась на глобальные сети связи через SEA-ME-WE 4 — подводную волоконно-оптическую кабельную систему связи , которая обеспечивает связь между Сингапуром, Малайзией, Таиландом, Бангладеш, Индией, Шри-Ланкой, Пакистаном, Объединенными Арабскими Эмиратами, Саудовской Аравией, Суданом, Египтом, Италией, Тунисом, Алжиром и Францией. ^[34] Кроме того, Försvarets radioanstalt (FRA) в Швеции предоставляет доступ к волоконно-оптическим линиям связи для сотрудничества QUANTUM. ^{[39] [40]}

Технология QUANTUM INSERT от TAO была передана британским службам, в частности MyNOC GCHQ , который использовал ее для атак на Belgacom и провайдеров роуминга GPRS (GRX), таких как Comfone, Syniverse и Starhome. ^[28] Belgacom, предоставляющая услуги Европейской комиссии , Европейскому парламенту и Европейскому совету, обнаружила атаку. ^[41]

Совместно с ЦРУ и ФБР TAO используется для перехвата ноутбуков, купленных в Интернете, перенаправления их на секретные склады, где установлено шпионское ПО и оборудование, и отправки их клиентам. ^[42] TAO также нацелена на интернет-браузеры Tor и Firefox . ^[24]

Согласно статье 2013 года в Foreign Policy , TAO становится «все более успешной в своей миссии, отчасти благодаря высокому уровню сотрудничества, которое она тайно получает от «большой тройки» американских телекоммуникационных компаний ( AT&T , Verizon и Sprint ), большинства крупных американских интернет-провайдеров и многих ведущих производителей программного обеспечения для компьютерной безопасности и консалтинговых компаний». ^[43] В бюджетном документе TAO на 2012 год утверждается, что эти компании по распоряжению TAO «внедряют уязвимости в коммерческие системы шифрования, ИТ-системы, сети и конечные коммуникационные устройства, используемые целями». ^[43] Ряд американских компаний, включая Cisco и Dell , впоследствии сделали публичные заявления, отрицающие, что они встраивают такие бэкдоры в свои продукты. ^[44] Microsoft заранее предупреждает АНБ об уязвимостях, о которых она знает, до того, как исправления или информация об этих уязвимостях становятся доступными для общественности; это позволяет TAO выполнять так называемые атаки нулевого дня . ^[45] Представитель Microsoft, отказавшийся назвать свое имя в прессе, подтвердил, что это действительно так, но сказал, что Microsoft не может нести ответственность за то, как АНБ использует эту предварительную информацию. ^[46]

Смотрите также

• Постоянная угроза повышенной сложности
• Кибервойна в Соединенных Штатах
• Группа уравнений
• Волшебный Фонарь (программное обеспечение)
• МиниПанцер и МегаПанцер
• Подразделение НОАК 61398
• Stuxnet
• Сирийская Электронная Армия
• Блок 8200
• ГОРДОСТЬ ВОИНА

Ссылки

1. Накашима, Эллен (1 декабря 2017 г.). «Сотрудник АНБ, работавший над хакерскими инструментами дома, признал себя виновным в шпионаже». The Washington Post . Получено 4 декабря 2017 г.
2. Лолески, Стивен (18.10.2018). «От холода к кибервоинам: истоки и расширение операций АНБ по специальному доступу (TAO) до теневых брокеров». Разведка и национальная безопасность . 34 (1): 112–128. doi : 10.1080/02684527.2018.1532627. ISSN  0268-4527. S2CID  158068358.
3. Хейден, Майкл В. (23 февраля 2016 г.). Игра на грани: американская разведка в эпоху террора. Penguin Press. ISBN 978-1594206566. Получено 1 апреля 2021 г. .
4. Aid, Matthew M. (10 июня 2013 г.). «Внутри сверхсекретной китайской хакерской группы АНБ». Foreign Policy . Получено 11 июня 2013 г.
5. Патерсон, Андреа (30 августа 2013 г.). «У АНБ есть своя собственная команда элитных хакеров» . The Washington Post . Архивировано из оригинала 19 октября 2013 г. Получено 31 августа 2013 г.
6. Кингсбери, Алекс (19 июня 2009 г.). «Тайная история Агентства национальной безопасности». US News & World Report . Получено 22 мая 2013 г.
7. Кингсбери, Алекс; Малрин, Анна (18 ноября 2009 г.). «США наносят ответный удар в глобальной кибервойне». US News & World Report . Получено 22 мая 2013 г.
8. Райли, Майкл (23 мая 2013 г.). «Как правительство США взламывает мир». Bloomberg Businessweek . Архивировано из оригинала 25 мая 2013 г. Получено 23 мая 2013 г.
9. Aid, Matthew M. (8 июня 2010 г.). Тайный страж: нерассказанная история Агентства национальной безопасности. Bloomsbury USA. стр. 311. ISBN 978-1-60819-096-6. Получено 22 мая 2013 г.
10. "FOIA #70809 (выпущено 2014-09-19)" (PDF) .
11. Gellman, Barton; Nakashima, Ellen (30 августа 2013 г.). «В 2011 г. разведывательные агентства США провели 231 атакующую кибероперацию, свидетельствуют документы». The Washington Post . Получено 7 сентября 2013 г. Гораздо чаще имплант полностью кодируется в программном обеспечении группой АНБ под названием Tailored Access Operations (TAO). Как следует из названия, TAO создает инструменты для атак, которые индивидуально подбираются под их цели. Инженеры-программисты подразделения АНБ предпочитают подключаться к сетям, а не к отдельным компьютерам, поскольку в каждой сети обычно много устройств. Согласно одному документу, описывающему ее работу, Tailored Access Operations имеет шаблоны программного обеспечения для взлома распространенных марок и моделей «маршрутизаторов, коммутаторов и брандмауэров из разных линеек поставщиков продукции».
12. "Секретные хакеры АНБ из офиса TAO грабят Китай уже почти 15 лет". Computerworld. 2013-06-11. Архивировано из оригинала 2014-01-25 . Получено 2014-01-27 .
13. Роткопф, Дэвид. «Внутри сверхсекретной китайской хакерской группы АНБ». Foreign Policy . Получено 27.01.2014 .
14. "Hintergrund: Die Speerspitze des americanischen Hackings - News Ausland: Amerika" . Тагес-Анцайгер . tagesanzeiger.ch . Проверено 27 января 2014 г.
15. "Внутри сверхсекретной хакерской группы АНБ". Atlantic Council . 2013-06-11 . Получено 2023-07-27 .
16. noahmax (21.02.2005). "Джимми Картер: Супершпион?". Defense Tech. Архивировано из оригинала 20.02.2014 . Получено 27.01.2014 .
17. https://www.eff.org/files/2014/04/09/20140312-intercept-the_nsa_and_gchqs_quantumtheory_hacking_tactics.pdf (слайд 8)
18. Дилер, хакер. «Дилер, хакер, юрист, шпион: современные методы и правовые границы операций по борьбе с киберпреступностью». Европейский обзор организованной преступности .
19. "QUANTUMTHEORY Хакерская тактика АНБ и GCHQ". firstlook.org. 2014-07-16 . Получено 2014-07-16 .
20. Лэндлер, Марк (10 апреля 2018 г.). «Томас Боссерт, главный советник Трампа по внутренней безопасности, вынужден уйти». New York Times . Получено 9 марта 2022 г.
21. Томсон, Иэн (28 января 2016 г.). «Главный хакерский босс АНБ объясняет, как защитить вашу сеть от его атакующих отрядов». The Register.
22. Этот раздел скопирован из каталога ANT NSA ; см. там источники.
23. "Квантовая теория: Wie die АНБ Weltweit Rechner Hackt" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
24. Schneier, Bruce (2013-10-07). "Как АНБ атакует пользователей Tor/Firefox с помощью QUANTUM и FOXACID". Schneier.com . Получено 2014-01-18 .
25. Фотоштреке (30 декабря 2013 г.). «Документы АНБ: Итак, знание интернет-контента». Дер Шпигель . Проверено 18 января 2014 г.
26. "Документы АНБ: Итак, знание интернет-контента" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
27. Галлахер, Шон (1 августа 2013 г.). «Интернет-прослушивания АНБ могут находить системы для взлома, отслеживать VPN и документы Word» . Получено 8 августа 2013 г.
28. "Внутри TAO: Нацеливание на Мексику". Der Spiegel . 2013-12-29 . Получено 2014-01-18 .
29. Фотоштреке (30 декабря 2013 г.). «QFIRE — «Vorwärtsverteidigng» АНБ». Дер Шпигель . Проверено 18 января 2014 г.
30. "QFIRE - умереть "Vorwärtsverteidigng" АНБ" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
31. "QFIRE - умереть "Vorwärtsverteidigng" АНБ" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
32. "QFIRE - умереть "Vorwärtsverteidigng" АНБ" . Дер Шпигель . 30 декабря 2013 г. Проверено 18 января 2014 г.
33. ""Презентация Chaos Computer Club CCC" в 28:34". YouTube .
34. Thomson, Iain (2013-12-31). «Как АНБ взламывает ПК, телефоны, маршрутизаторы, жесткие диски „со скоростью света“: утечки каталога шпионских технологий». The Register . London . Получено 2014-08-15 .
35. Мик, Джейсон (2013-12-31). «Налоги и шпион: как АНБ может взломать любого американца, хранящего данные 15 лет». DailyTech . Архивировано из оригинала 2014-08-24 . Получено 2014-08-15 .
36. Уивер, Николас (28.03.2013). «Наше правительство превратило Интернет в оружие. Вот как они это сделали». Wired . Получено 18.01.2014 .
37. «Китай обвиняет США в повторных взломах Политехнического университета». Bloomberg . 5 сентября 2022 г. – через www.bloomberg.com.
38. Галлахер, Шон (12.11.2013). «Квантовая криптоактивность: как АНБ и GCHQ взломали ОПЕК и других». Ars Technica . Получено 18.01.2014 .
39. "Документы Швеции от Эдварда Сноудена - Uppdrag Granskning" . СВТ.се. ​Проверено 18 января 2014 г.
40. "То, что вы хотели знать" (PDF) . documentcloud.org . Получено 2015-10-03 .
41. "Сообщается, что британские шпионы подделывали LinkedIn и Slashdot, чтобы атаковать сетевых инженеров". Network World. 2013-11-11. Архивировано из оригинала 2014-01-15 . Получено 2014-01-18 .
42. "Внутри TAO: Теневая сеть АНБ". Der Spiegel . 2013-12-29 . Получено 2014-01-27 .
43. Aid, Matthew M. (2013-10-15). «Новые взломщики кодов АНБ». Foreign Policy . Получено 2023-07-27 .
44. Фарбер, Дэн (29.12.2013). «Сообщается, что АНБ установило шпионское ПО на электронном оборудовании | Безопасность и конфиденциальность». Новости CNET . Получено 18.01.2014 .
45. Шнайер, Брюс (2013-10-04). «Как АНБ думает о секретности и риске». The Atlantic . Получено 2014-01-18 .
46. Райли, Майкл (14.06.2013). «Агентства США заявили о намерении обмениваться данными с тысячами фирм». Bloomberg . Получено 18.01.2014 .

Внешние ссылки

• Внутри TAO: документы раскрывают главное хакерское подразделение АНБ
• «Хакерское подразделение» АНБ проникает в компьютеры по всему миру – отчет
• Операции по индивидуальному доступу АНБ
• АНБ смеется над ПК, предпочитая взламывать маршрутизаторы и коммутаторы
• АНБ разрабатывает радиоканал для проникновения в компьютеры
• Получение «недоступной» информации: интервью с Терезой Шеа из TAO