Индивидуальные операции доступа - Tailored Access Operations

Ссылка на специализированные операции доступа на слайде XKeyscore
Индивидуальные операции доступа
Сокращенное название Tail Acc Ops, TAO
Формирование c. 1997-2001 гг.
Тип Постоянная угроза повышенной сложности
Цель Кибершпионаж , кибервойна
Штаб-квартира Форт Мид
Область
Соединенные Штаты
Методы Нулевые дни , шпионское ПО
Официальный язык
английский
Лидер Роб Джойс
Головная организация
S3 Сбор данных
Ранее назывался
Группа уравнений

Управление заказуНаш операций доступа ( ТАО ), в настоящее время компьютерной сеть операции , структурированы как S32 является кибер-война сбора разведданных подразделения Агентства национальной безопасности (АНБ). По словам генерала Майкла Хайдена, он был активен по крайней мере с 1998 года, возможно, с 1997 года, но не имел названия и структуры как TAO до «последних дней 2000 года» .

TAO выявляет, отслеживает, проникает и собирает информацию о компьютерных системах, используемых иностранными для США организациями.

История

Сообщается, что TAO является «крупнейшим и, возможно, самым важным компонентом огромного Управления разведки сигналов ( SIGINT ) АНБ , состоящего из более чем 1000 военных и гражданских компьютерных хакеров, аналитиков разведки, специалистов по целеуказанию, разработчиков компьютерного оборудования и программного обеспечения, а также инженеры-электрики ».

Утечка Сноудена

В документе, опубликованном бывшим подрядчиком АНБ Эдвардом Сноуденом, описывающем работу подразделения, говорится, что у TAO есть программные шаблоны, позволяющие проникать в обычно используемое оборудование, включая «маршрутизаторы, коммутаторы и межсетевые экраны от различных производителей продуктов». Инженеры TAO предпочитают подключаться к сетям, а не к изолированным компьютерам, потому что обычно в одной сети находится много устройств.

Организация

Штаб-квартира TAO называется Центром удаленных операций (ROC) и находится в штаб-квартире АНБ в Форт-Мид, штат Мэриленд . TAO также расширилась до NSA Hawaii ( Wahiawa , Oahu), NSA Georgia ( Форт Гордон , Джорджия), NSA Texas ( Объединенная база Сан-Антонио , Техас) и NSA Colorado ( База Космических сил Бакли , Денвер).

  • S321 - Центр удаленных операций (ROC) В центре удаленных операций 600 сотрудников собирают информацию со всего мира.
  • S323 - Data Network Technologies Branch (DNT): разрабатывает автоматизированное шпионское ПО
    • S3231 - Отдел доступа (ACD)
    • S3232 - Подразделение Cyber ​​Networks Technology Division (CNT)
    • S3233 -
    • S3234 - Отдел компьютерных технологий (CTD)
    • S3235 - Подразделение сетевых технологий (NTD)
  • Отделение телекоммуникационных сетевых технологий (TNT): совершенствование методов взлома сетей и компьютеров
  • Отделение инфраструктурных технологий миссии: управляет указанным выше программным обеспечением
  • S328 - Операционный отдел технологий доступа (ATO): как сообщается, включает персонал, прикомандированный ЦРУ и ФБР, который выполняет то, что описывается как «операции вне сети», что означает, что они организуют для агентов ЦРУ тайную установку устройств подслушивания на компьютерах и телекоммуникациях. систем за рубежом, чтобы хакеры TAO могли получить к ним удаленный доступ из Форт-Мид. Специально оборудованные подводные лодки, в настоящее время USS Jimmy Carter , используются для прослушивания оптоволоконных кабелей по всему миру.
    • S3283 - Экспедиционный доступ (EAO)
    • S3285 - Подразделение настойчивости

Виртуальные локации

Подробная информация о программе под названием QUANTUMSQUIRREL указывает на способность NSA маскироваться под любой маршрутизируемый хост IPv4 или IPv6. Это позволяет компьютеру АНБ генерировать ложное географическое местоположение и личные идентификационные данные при доступе к Интернету с использованием QUANTUMSQUIRREL.

«Поистине скрытая инфраструктура, будь то любой IP-адрес в мире».
Изображение QUANTUMSQUIRREL из презентации NSA, объясняющее возможность подмены IP-хоста QUANTUMSQUIRREL

Каталог АНБ АНТ

Каталог АНБ ANT является 50-страничный секретная документ , содержащий перечень технологий , доступных в США Агентство национальной безопасности (NSA) заказуНаша операций доступа (ТАО) Отделом по помощи в кибер - наблюдения Advanced Network Technology (ANT). Большинство устройств описываются как уже работающие и доступные гражданам США и членам альянса Five Eyes . Согласно изданию Der Spiegel , опубликовавшему каталог 30 декабря 2013 года, «список читается как каталог, отправляемый по почте, из которого другие сотрудники АНБ могут заказывать технологии у подразделения ANT для прослушивания данных своих целей». Документ был создан в 2008 году. Исследователь в области безопасности Якоб Аппельбаум выступил с речью на Chaos Communications Congress в Гамбурге , Германия , в которой он подробно рассказал о методах, которые одновременно опубликованная статья Der Spiegel, соавтором которой он является, раскрыла из каталога.

КВАНТОВЫЕ атаки

«Я нахожусь в твоем пространственно-временном континууме, нарушая всю твою гравитацию, кванты и прочее».
Изображение Lolcat из презентации АНБ, частично объясняющее название программы QUANTUM
Обзорный слайд КВАНТОВОЙ ТЕОРИИ АНБ с различными кодовыми именами для конкретных типов атак и интеграции с другими системами АНБ

TAO разработало набор атак, который они называют QUANTUM. Он полагается на скомпрометированный маршрутизатор, который дублирует интернет-трафик, обычно HTTP- запросы, так что они идут как к намеченной цели, так и к сайту NSA (косвенно). На сайте АНБ запущено программное обеспечение FOXACID, которое отправляет обратно эксплойты, которые загружаются в фоновом режиме в целевом веб-браузере, прежде чем предполагаемый пункт назначения получит возможность ответить (неясно, способствует ли скомпрометированный маршрутизатор этой гонке на обратном пути). До разработки этой технологии программное обеспечение FOXACID проводило целевые фишинговые атаки, которые АНБ именовало спамом. Если браузер является уязвимым, на целевом компьютере устанавливаются дополнительные постоянные «имплантаты» (руткиты и т. Д.), Например OLYMPUSFIRE для Windows, которые предоставляют полный удаленный доступ к зараженной машине. Этот тип атаки является частью семейства атак « человек посередине» , хотя, в частности, он называется атакой «человек на стороне» . Трудно обойтись без контроля некоторых магистралей Интернета .

Таким образом, FOXACID может использовать множество сервисов. Названия некоторых модулей FOXACID приведены ниже:

Благодаря сотрудничеству со штаб-квартирой правительства Великобритании (GCHQ) ( MUSCULAR ), сервисы Google также могут быть атакованы, в том числе Gmail .

Поиск компьютеров, которые можно использовать и которые стоит атаковать, осуществляется с помощью аналитических баз данных, таких как XKeyscore . Конкретный метод поиска уязвимых машин - это перехват трафика отчетов об ошибках Windows , который регистрируется в XKeyscore.

Атаки QUANTUM, запущенные с сайтов NSA, могут быть слишком медленными для некоторых комбинаций целей и служб, поскольку они, по сути, пытаются использовать состояние гонки , то есть сервер NSA пытается обыграть легитимный сервер своим ответом. По состоянию на середину 2011 года АНБ создавало прототип возможности под кодовым названием QFIRE, который включал в себя встраивание их серверов распространения эксплойтов в виртуальные машины (работающие на VMware ESX ), размещенные ближе к цели, в так называемой сети Special Collection Sites (SCS). по всему миру. Целью QFIRE было снизить задержку ложного ответа, тем самым увеличивая вероятность успеха.

COMMENDEER [ sic ] используется для захвата (т. Е. Компрометации) нецелевых компьютерных систем. Программное обеспечение используется как часть QUANTUMNATION, которая также включает сканер уязвимостей программного обеспечения VALIDATOR. Инструмент был впервые описан в 2014 году Chaos Communication Congress от Jacob Аппельбаум , который охарактеризовал его как тиранический.

QUANTUMCOOKIE - это более сложная форма атаки, которая может быть использована против пользователей Tor .

Известные цели и сотрудничество

Подозреваемые и подтвержденные цели подразделения Tailored Access Operations включают национальные и международные организации, такие как Китай , ОПЕК и Секретариат общественной безопасности Мексики .

Группа также нацелена на глобальные сети связи через SEA-ME-WE 4 - подводную волоконно-оптическую кабельную систему связи, которая обеспечивает связь между Сингапуром, Малайзией, Таиландом, Бангладеш, Индией, Шри-Ланкой, Пакистаном, Объединенными Арабскими Эмиратами, Саудовской Аравией, Суданом. , Египет, Италия, Тунис, Алжир и Франция. Кроме того, Försvarets radioanstalt (FRA) в Швеции предоставляет доступ к волоконно-оптическим линиям связи для сотрудничества с QUANTUM.

Технология Tao в Квант ВСТАВИТЬ была передана услуг Великобритании, в частности , к ЦПС «s MyNOC , который использовал его для целевой BELGACOM и GPRS роуминг обмена (GRX) поставщиков , как в Comfone , Syniverse и Starhome. Атака обнаружена компанией Belgacom, которая предоставляет услуги Европейской комиссии , Европейскому парламенту и Европейскому совету .

Совместно с ЦРУ и ФБР TAO используется для перехвата ноутбуков, приобретенных в Интернете, перенаправления их на секретные склады, где установлено шпионское ПО и оборудование, и отправки их клиентам. TAO также нацелился на интернет-браузеры Tor и Firefox.

Согласно статье в журнале Foreign Policy за 2013 год , TAO «все больше выполняет свою миссию, отчасти благодаря высокому уровню сотрудничества, которое она тайно получает от« большой тройки »американских телекоммуникационных компаний ( AT&T , Verizon и Sprint ), большей части крупные американские провайдеры интернет-услуг, а также многие ведущие производители программного обеспечения для компьютерной безопасности и консалтинговые компании ». В бюджетном документе TAO на 2012 год утверждается, что эти компании по указанию TAO «вставляют уязвимости в коммерческие системы шифрования, ИТ-системы, сети и устройства связи конечных точек, используемые целями». Ряд американских компаний, включая Cisco и Dell , впоследствии сделали публичные заявления, отрицающие, что они вставляют такие лазейки в свои продукты. Microsoft заранее предупреждает АНБ об уязвимостях, о которых ему известно, до того, как исправления или информация об этих уязвимостях станет общедоступной; это позволяет TAO проводить так называемые атаки нулевого дня . Представитель Microsoft, отказавшийся называть его имя в прессе, подтвердил, что это действительно так, но сказал, что Microsoft не может нести ответственность за то, как АНБ использует эту предварительную информацию.

Лидерство

С 2013 года главой TAO является Роб Джойс , сотрудник с более чем 25-летним стажем, ранее работавший в Управлении обеспечения безопасности информации (IAD) АНБ . В январе 2016 года Джойс редко появлялся на публике, когда выступал на конференции Usenix's Enigma.

Смотрите также

использованная литература

внешние ссылки