Inside
TAO: Documents Reveal Top NSA Hacking Unit
By SPIEGEL Staff
December 29, 2013 –
09:18 AM
Bài được đưa lên
Internet ngày: 29/12/2013
Lời
người dịch: Phần này đưa ra bức tranh về qui trình,
mục tiêu và các công cụ tấn công của các nhân viên
của TAO đối với thế giới. Có
nhiều chi tiết rất hữu dụng và có ích cho từ các nhà
hoạch định chính sách cho tới người sử dụng đầu
cuối các thiết bị tính toán để tránh những rủi ro về
an toàn an ninh thông tin khi sử dụng.
Xem các Phần [01], [02], [03]. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Tải
về bản dịch sang tiếng Việt tài liệu: “Catalog gián
điệp của NSA” tại địa chỉ:
http://ubuntuone.com/3OWV4m8FRNnDDx5G1UpOAO
Ban Thư ký bộ Công an Mexico, đơn vị mới
được đưa vào Ủy ban An ninh Quốc gia vào đầu năm
2013, từng chịu trách nhiệm khi đó tại nước này về
cảnh sát, chống khủng bố, hệ thống nhà tù và cảnh
sát biên giới. Hầu hết 20.000 nhân viên của Ban này đã
làm việc ở tổng hành dinh ở Avenida Constituyentes, một
huyết mạch giao thông quan trọng ở thành phố Mexico. Phần
lớn các nhà chức trách an ninh Mexico dưới các cái ô của
Ban này đã giám sát từ các văn phòng ở đó, làm cho
Avenida Constituyentes trở thành một cửa duy nhất cho bất
kỳ việc tìm kiếm nào để biết được nhiều hơn về
bộ máy an ninh của nước này.
Chiến dịch WHITETAMALE
Điều đó được cân nhắc, chỉ định cho
đơn vị TAO trách nhiệm về các hoạt động tùy biến để
nhằm vào Ban trở nên có nhiều ý nghĩa. Sau tất cả, một
tài liệu nói, Bộ An ninh Nội địa Mỹ và các cơ quan
tình báo Mỹ có một nhu cầu biết mọi điều về buôn
bán ma túy, buôn người và an ninh dọc biên giới Mỹ -
Mexico. Ban đó là một “mỏ vàng” tiềm năng cho gián
điệp của NSA, một tài liệu nói. Các nhân viên của TAO
đã chọn các hệ thống mà các quản trị viên và các kỹ
sư viễn thông ở cơ quan đó của Mexico như là các mục
tiêu của họ, vì thế làm cho sự bắt đầu của những
gì đơn vị đó gọi là chiến dịch WHITETAMALE.
Các nhân viên ở văn
phòng lựa chọn đích của NSA cũng đã nhằm vào bà
Angela Merkel vào năm 2002 trước khi bà trở thành thủ
tướng Đức, đã gửi cho TAO một danh sách các quan chức
trong Ban đó của Mexico mà họ nghĩ có thể làm thành các
mục tiêu thú vị. Như là bước đầu tiên, TAO đã thâm
nhập các tài khoản thư điện tử các quan chức của mục
tiêu, một công việc khá dễ dàng. Sau đó, họ đã thâm
nhập vào toàn bộ mạng và đã bắt đầu lấy dữ liệu.
Các gián điệp của NSA
đã sớm có được hiểu biết về các máy chủ của cơ
quan đó, bao gồm cả các địa chỉ IP, các máy tính được
sử dụng cho giao thông thư điện tử và các địa chỉ
cá nhân của các nhân viên khác nhau. Họ cũng đã có được
các sơ đồ các cấu trúc của các cơ quan an ninh, bao gồm
cả sự giám sát bằng video. Dường như hoạt động đã
tiếp tục nhiều năm cho tới khi SPIEGEL lần đầu
tiên nêu về nó vào tháng 10.
Khái niệm kỹ thuật cho
dạng hoạt động này là “Khai thác Mạng Máy tính” -
CNE (Computer Network Exploitation). Mục tiêu ở đây là để
“phá các thiết bị đầu cuối”, theo một trình bày
nội bộ trong NSA mà SPIEGEL đã thấy. Bài trình diễn đi
tiếp liệt kê gần như tất cả các dạng thiết bị mà
chạy trong cuộc sống số của chúng ta - “các máy chủ,
các máy trạm, tường lửa, định tuyến router, máy cầm
tay, chuyển mạch điện thoại, các hệ thốn SCADA, ...”.
Các hệ thống SCADA là
các hệ thống kiểm soát công nghiệp được sử dụng
trong các nhà máy, cũng như trong các nhà máy điện. Bất
kỳ ai mà có thể đưa các hệ thống đó dưới sự kiểm
soát của họ đều có khả năng tiềm tàng đánh gục các
phần của hậ tầng sống còn của một quốc gia.
Sử dụng dạng tấn công
khét tiếng và nổi tiếng này từng là sự phát triển
của Stuxnet, sâu máy tính mà sự tồn tại của nó từng
được phát hiện vào tháng 06/2010. Con virus đó từng được
các cơ quan tình báo Mỹ và Israel cùng phát triển để
phá hoại chương trình hạt nhân của Iran, và thành công.
Chương trình hạt nhân của nước này từng bị đẩy lùi
vài năm sau khi Stuxnet đã điều khiển công nghệ kiểm
soát SCADA được sử dụng trong các cơ sở làm giàu
uranium của Iran ở Natanz, biến khoảng 1.000 máy li tâm
thành không sử dụng được.
Đơn vị đặc biệt của NSA có phòng phát
triển riêng của mình, trong đó các công nghệ mới được
phát triển và kiểm thử. Đơn vị này là nơi mà những
người thích tinh chỉnh thực sự có thể được tìm
thấy, và khả năng sáng tạo của họ khi nói về việc
tìm ra các cách thức để thâm nhập vào các mạng, máy
tính và điện thoại thông minh khác gợi lên một sự
hiện đại trên Q, nhà sáng tạo gadget huyền thoại trong
các bộ phim về James Bond.
Vui đùa trong thiệt hại của Microsoft
Một ví dụ về sự sáng tạo lớn với nó
các gián điệp của TAO tiếp cận công việc của họ có
thể được thấy trong một phương pháp đột nhập mà họ
sử dụng để khai thác hệ điều hành Microsoft Windows
thiên về có lỗi. Mỗi người sử dụng hệ điều hành
đó quen với cửa sổ quấy rầy ngẫu nhiên nhảy ra trên
màn hình khi một vấn đề nội bộ được tìm thấy, một
thông điệp tự động nhắc người sử dụng báo cáo lỗi
cho nhà sản xuất và khởi động lại chương trình đó.
Các báo cáo hỏng đó đưa ra cho các chuyên gia của TAO
một cơ hội được chào đón để gián điệp các máy
tính.
SPIEGEL ONLINE
Thông điệp lỗi gốc ban đầu của
Microsoft được NSA khai thác
Khi TAO chọn một máy tính
ở đâu đó trên thế giới như là một mục tiêu và đưa
mã nhận diện duy nhất (một địa chỉ IP, ví dụ thế)
vào cơ sở dữ liệu tương ứng, các đặc tình sau đó
tự động được thông báo về bất kỳ thời gian nào hệ
điều hành của máy tính đó hỏng và người sử dụng
nó sẽ nhận được một nhắc nhở báo cáo vấn đề đó
cho Microsoft. Một trình chiếu nội bộ gợi ý chính công
cụ gián điệp XKeyscore mạnh của NSA được sử dụng để
đánh bắt các bảo cáo hỏng ngoài biển các giao thông
Internet khổng lồ.
Các báo cáo hỏng được
tự động hóa là một “cách thức gọn gàng” để
giành được “sự truy cập thụ động” tới một máy
tính, trình chiếu tiếp tục. Sự truy cập thụ động có
nghĩa là, ngay từ đầu, chỉ các dữ liệu mà máy tính
đó gửi đi ra Internet được bắt lấy và được lưu
lại, nhưng bản thân máy tính đó còn chưa bị điều
khiển. Hơn nữa, thậm chí sự truy cập thụ động này
tới các thông điệp lỗi đưa ra sự hiểu thấu đáo có
giá trị trong các vấn đề với máy tính của một người
bị ngắm đích và, vì thế, thông tin về các lỗ hổng
an ninh có thể là khai thác được cho việc cài cắm phần
mềm độc hại hoặc phần mềm gián điệp vào máy tính
mà nạn nhân không hay biết gì.
Dù phương pháp đó dường như có ít tầm
quan trọng trong các khái niệm thực tiễn, thì các đặc
vụ NSA dường như vẫn vui thú với nó vì nó cho phép họ
có một chút trò cười trên sự phí tổn của người
khổng lồ phần mềm có trụ sở ở Seattle. Trong một
hình nội bộ, họ đã thay thế văn bản thông điệp lỗi
gốc ban đầu của Microsoft bằng một thông điệp đọc
cho riêng họ, “Thông tin này có thể bị một hệ thống
tình báo dấu hiệu (SIGINT) can thiệp để thu thập thông
tin chi tiết và khai thác tốt hơn máy tính của bạn”.
SPIEGEL ONLINE
Một slide nội bộ:
“Thông tin này có thể bị một hệ thống tình báo dấu
hiệu - SIGINT can thiệp để thu thập thông tin chi tiết và
khai thác tốt hơn máy tính của bạn”.
Một trong những nhiệm vụ chính của các
tin tặc là tấn công thâm nhập các máy tính đích với
cái gọi là cài cắm hoặc với số lượng lớn các
Trojan. Họ đã sở hữu các công cụ gián điệp tốt nhất
với các biệt danh có tính minh họa như "ANGRY
NEIGHBOR," "HOWLERMONKEY" hoặc "WATERWITCH".
Các tên đó có thể nghe gắt, nhưng các công cụ mà họ
mô tả thì vừa hung hăng, vừa hiệu quả.
Theo các chi tiết trong kế hoạch ngân sách
hiện hành của Washington cho các dịch vụ tình báo Mỹ,
khoảng 85.000 máy tính khắp thế giới được cho là sẽ
bị các chuyên gia của NSA thâm
nhập cho tới cuối năm nay. Tới nay đa số các “cài
cắm” đó được các đội TAO tiến hành thông qua
Internet.
Sự tinh vi đang gia tăng
Cho tới chỉ ít năm
trước, các đặc vụ của NSA còn dựa vào các phương
pháp y hệt được các tội phạm không gian mạng sử dụng
để tiến hành các cài cắm đó vào các máy tính. Họ đã
gửi các thư tấn cồn có chủ đích được ngụy trang
như các liên kết có chứa spam nhằm những người sử
dụng tới các website bị lây nhiễm virus. Với tri thức
đủ về các lỗ hổng an ninh của một trình duyệt
Internet - tất cả điều cần làm để cài cắm phần mềm
độc hại của NSA vào máy tính của một người là đối
với cá nhân người đó sẽ mở một website mà từng được
bị can thiệp đặc biệt để làm tổn thương máy tính
của người sử dụng đó. Việc đánh spam có một nhược
điểm chính: nó rất thường không làm việc.
Dù vậy, TAO đã cải thiện đột ngột các
công cụ đó khi xử lý. Nó duy trì một hộp công cụ
tinh vi phức tạp được biết trong nội bộ với cái tên
là “QUANTUMTHEORY”. “Các nhiệm vụ chắc chắn của
QUANTUM có tỷ lệ thành công cao mức 80%, trong khi spam ít
hơn 1%”, một trình chiếu nội bộ của NSA nêu.
Một trình chiếu nội bộ tổng thể với
tiêu đề “CÁC KHẢ NĂNG CỦA QUANTUM” mà SPIEGEL đã
thấy được, liệt kê hầu như mọi nhà cung cấp dịch
vụ Internet nổi tiếng như là một mục tiêu, bao gồm cả
Facebook, Yahoo, Twitter và YouTube. “QUANTUM của NSA có thành
công lớn nhất chống lại Yahoo, Facebook và các địa chỉ
IP tĩnh”, nó nói. Trình chiếu đó cũng lưu ý rằng NSA
từng không có khả năng sử dụng phương pháp này để
nhằm vào những người sử dụng các dịch vụ của
Google. Hình như, điều đó chỉ có thể được cơ quan
dịch vụ tình báo GCHQ của Anh thực hiện, nó đã có
được các công cụ QUANTUM từ NSA.
Một công cụ ưa thích
của các tin tặc của cơ quan dịch vụ tình báo này là
“QUANTUMINSERT”. Các nhân viên của GCHQ đã sử dụng
phương pháp này để tấn
công các máy tính của các nhân viên
ở công ty viễn thông Bỉ do nhà nước quản lý Belgacom,
để sử dụng các máy tính của họ thâm nhập thậm chí
xa hơn vào các mạng của công ty. Trong khi đó NSA đã sử
dụng công nghệ y hệt để nhằm
vào các thành viên cao cấp của Tổ chức các nước xuất
khẩu dầu lửa - OPEC ở tổng hành
dinh của họ ở Vienna. Trong cả 2 trường hợp, nhóm gián
điệp xuyên Đại tây dương đó đã giành được sự
truy cập không giấu giếm tới các dữ liệu kinh tế có
giá trị bằng việc sử dụng các công cụ đó.
Mexico's Secretariat of Public
Security, which was folded into the new National Security Commission
at the beginning of 2013, was responsible at the time for the
country's police, counterterrorism, prison system and border police.
Most of the agency's nearly 20,000 employees worked at its
headquarters on Avenida Constituyentes, an important traffic artery
in Mexico City. A large share of the Mexican security authorities
under the auspices of the Secretariat are supervised from the offices
there, making Avenida Constituyentes a one-stop shop for anyone
seeking to learn more about the country's security apparatus.
Operation WHITETAMALE
That considered, assigning the TAO unit responsible for tailored operations to target the Secretariat makes a lot of sense. After all, one document states, the US Department of Homeland Security and the United States' intelligence agencies have a need to know everything about the drug trade, human trafficking and security along the US-Mexico border. The Secretariat presents a potential "goldmine" for the NSA's spies, a document states. The TAO workers selected systems administrators and telecommunications engineers at the Mexican agency as their targets, thus marking the start of what the unit dubbed Operation WHITETAMALE.
Workers at NSA's
target selection office, which also had Angela Merkel in its sights
in 2002 before she became chancellor, sent TAO a list of officials
within the Mexican Secretariat they thought might make interesting
targets. As a first step, TAO penetrated the target officials' email
accounts, a relatively simple job. Next, they infiltrated the entire
network and began capturing data.
Soon the NSA spies
had knowledge of the agency's servers, including IP addresses,
computers used for email traffic and individual addresses of diverse
employees. They also obtained diagrams of the security agencies'
structures, including video surveillance. It appears the operation
continued for years until SPIEGEL first
reported on it in October.
The technical term
for this type of activity is "Computer Network Exploitation"
(CNE). The goal here is to "subvert endpoint devices,"
according to an internal NSA presentation that SPIEGEL has viewed.
The presentation goes on to list nearly all the types of devices that
run our digital lives -- "servers, workstations, firewalls,
routers, handsets, phone switches, SCADA systems, etc." SCADAs
are industrial control systems used in factories, as well as in power
plants. Anyone who can bring these systems under their control has
the potential to knock out parts of a country's critical
infrastructure.
The most
well-known and notorious use of this type of attack was the
development of Stuxnet, the computer worm whose existence was
discovered in June 2010. The virus was developed jointly by American
and Israeli intelligence agencies to sabotage Iran's nuclear program,
and successfully so. The country's nuclear program was set back by
years after Stuxnet manipulated the SCADA control technology used at
Iran's uranium enrichment facilities in Natanz, rendering up to 1,000
centrifuges unusable.
The special NSA
unit has its own development department in which new technologies are
developed and tested. This division is where the real tinkerers can
be found, and their inventiveness when it comes to finding ways to
infiltrate other networks, computers and smartphones evokes a modern
take on Q, the legendary gadget inventor in James Bond movies.
Having Fun at
Microsoft's Expense
One example of the
sheer creativity with which the TAO spies approach their work can be
seen in a hacking method they use that exploits the error-proneness
of Microsoft's Windows. Every user of the operating system is
familiar with the annoying window that occasionally pops up on screen
when an internal problem is detected, an automatic message that
prompts the user to report the bug to the manufacturer and to restart
the program. These crash reports offer TAO specialists a welcome
opportunity to spy on computers.
SPIEGEL
ONLINE
The original
Microsoft error message exploited by the NSA
When TAO selects a
computer somewhere in the world as a target and enters its unique
identifiers (an IP address, for example) into the corresponding
database, intelligence agents are then automatically notified any
time the operating system of that computer crashes and its user
receives the prompt to report the problem to Microsoft. An internal
presentation suggests it is NSA's powerful XKeyscore
spying tool that is used to fish these crash reports out of the
massive sea of Internet traffic.
The automated
crash reports are a "neat way" to gain "passive
access" to a machine, the presentation continues. Passive access
means that, initially, only data the computer sends out into the
Internet is captured and saved, but the computer itself is not yet
manipulated. Still, even this passive access to error messages
provides valuable insights into problems with a targeted person's
computer and, thus, information on security holes that might be
exploitable for planting malware or spyware on the unwitting victim's
computer.
Although the
method appears to have little importance in practical terms, the
NSA's agents still seem to enjoy it because it allows them to have a
bit of a laugh at the expense of the Seattle-based software giant. In
one internal graphic, they replaced the text of Microsoft's original
error message with one of their own reading, "This information
may be intercepted by a foreign sigint system to gather detailed
information and better exploit your machine." ("Sigint"
stands for "signals intelligence.")
SPIEGEL
ONLINE
An NSA internal
slide: "This information may be intercepted by a foreign SIGINT
system to gather detailed information and better exploit your
machine."
One of the
hackers' key tasks is the offensive infiltration of target computers
with so-called implants or with large numbers of Trojans. They've
bestowed their spying tools with illustrious monikers like "ANGRY
NEIGHBOR," "HOWLERMONKEY" or "WATERWITCH."
These names may sound cute, but the tools they describe are both
aggressive and effective.
According to
details in Washington's current budget plan for the US intelligence
services, around 85,000 computers worldwide are projected to be
infiltrated
by the NSA specialists by the end of this year. By far the majority
of these "implants" are conducted by TAO teams via the
Internet.
Increasing
Sophistication
Until just a few
years ago, NSA agents relied on the same methods employed by cyber
criminals to conduct these implants on computers. They sent targeted
attack emails disguised as spam containing links directing users to
virus-infected websites. With sufficient knowledge of an Internet
browser's security holes -- Microsoft's Internet Explorer, for
example, is especially popular with the NSA hackers -- all that is
needed to plant NSA malware on a person's computer is for that
individual to open a website that has been specially crafted to
compromise the user's computer. Spamming has one key drawback though:
It doesn't work very often.
Nevertheless, TAO
has dramatically improved the tools at its disposal. It maintains a
sophisticated toolbox known internally by the name "QUANTUMTHEORY."
"Certain QUANTUM missions have a success rate of as high as 80%,
where spam is less than 1%," one internal NSA presentation
states.
A comprehensive
internal presentation titled "QUANTUM CAPABILITIES," which
SPIEGEL has viewed, lists virtually every popular Internet service
provider as a target, including Facebook, Yahoo, Twitter and YouTube.
"NSA QUANTUM has the greatest success against Yahoo, Facebook
and static IP addresses," it states. The presentation also notes
that the NSA has been unable to employ this method to target users of
Google services. Apparently, that can only be done by Britain's GCHQ
intelligence service, which has acquired QUANTUM tools from the NSA.
A favored tool of
intelligence service hackers is "QUANTUMINSERT." GCHQ
workers used this method to attack
the computers of employees at partly government-held Belgian
telecommunications company Belgacom, in order to use their computers
to penetrate even further into the company's networks. The NSA,
meanwhile, used the same technology to target
high-ranking members of the Organization of the Petroleum Exporting
Countries (OPEC) at the organization's Vienna headquarters. In
both cases, the trans-Atlantic spying consortium gained unhindered
access to valuable economic data using these tools.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.