Inside
TAO: Documents Reveal Top NSA Hacking Unit
By SPIEGEL Staff
December 29, 2013 –
09:18 AM
Bài được đưa lên
Internet ngày: 29/12/2013
Part
3: The NSA's Shadow Network
Lời
người dịch: Cùng như Phần 2, phần này tiếp tục đưa
ra bức tranh về qui trình, mục tiêu và các công cụ tấn
công của các nhân viên của TAO đối với thế giới. Có
nhiều chi tiết rất hữu dụng và có ích cho từ các nhà
hoạch định chính sách cho tới người sử dụng đầu
cuối các thiết bị tính toán để tránh những rủi ro về
an toàn an ninh thông tin khi sử dụng.
Xem các Phần [01], [02], [03]. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Tải
về bản dịch sang tiếng Việt tài liệu: “Catalog gián
điệp của NSA” tại địa chỉ:
http://ubuntuone.com/3OWV4m8FRNnDDx5G1UpOAO
Phương pháp chèn và
các phương án của QUANTUM được liên kết chặt chẽ với
một mạng bí mật được NSA vận hành cùng với Internet,
với hạ tầng được giấu giếm tốt của riêng nó, bao
gồm các bộ định tuyến router và các máy chủ “giấu
giếm”. Dường như NSA cũng kết hợp các bộ định
tuyến router và các máy chủ từ các mạng không phải của
NSA vào mạng giấu giếm của nó bằng việc gây lây nhiễm
cho các mạng đó bằng “các cài cắm” mà sau đó cho
phép các tin tặc của chính phủ kiểm soát các máy tính
ở xa. (Hãy nháy vào đây để đọc bài
báo có liên quan về “các cài cắm” của NSA).
Theo cách này, cơ quan
dịch vụ tình báo tìm cách nhận diện và lần vết các
cái đích của mình dựa vào các dấu vết số của chúng.
Các mã nhận diện đó có thể bao gồm các địa chỉ thư
điện tử nhất định hoặc các cookies của các website
được thiết lập trong máy tính của một người sử
dụng. Tất nhiên, một cookie không tự động nhận diện
được một con người, nhưng nó có thể nếu nó bao gồm
thông tin bổ sung như một địa chỉ thư điện tử. Trong
trường hợp đó, một cookie sẽ trở thành thứ gì đó
giống tương đương một dấu vết web.
Đuổi bắt giữa
các máy chủ
Một khi các đội của
TAO đã thu thập được đủ dữ liệu về các thói quen
của các đích ngắm của chúng, thì họ có thể chuyển
sang chế độ tấn công, việc lập trình cho các hệ thống
QUANTUM thực hiện công việc này theo một cách thức đa
phần được tự động. Nếu một gói dữ liệu đặc
trưng cho thư điện tử hoặc cookie của một cái đích đi
qua một sợi cáp hoặc bộ định tuyến router bị NSA giám
sát, thì hệ thống đó sẽ báo động. Nó xác định
website nào người bị ngắm đích đang cố gắng truy cập
và sau đó kích hoạt một trong các máy chủ giấu giếm
của có quan dịch vụ tình báo, được biết với tên mã
là FOXACID.
Máy chủ này của NSA
ép người sử dụng đó kết nối tới các hệ thống
giấu giếm của NSA thay vì các site người sử dụng có ý
định. Trong trường hợp của các kỹ sư Belgacom, thay vì
đi tới trang của LinkedIn mà họ thực sự từng cố gắng
viếng thăm, thì họ cũng đã được hướng tới các máy
chủ FOXACID nằm trong các mạng của NSA. Người sử dụng
không dò tìm được ra, trang bị điều khiển đã truyền
phần mềm độc hại được tùy biến trước rồi để
khớp với các lỗ hổng an ninh trong máy tính của người
bị ngắm đích.
Kỹ thuật này theo
nghĩa đen có thể là một cuộc đuổi bắt giữa các máy
chủ, một điều mà được mô tả trong tiếng lóng trong
nội bộ của cơ quan tình báo này với mệnh đề như là:
“Chờ cho con mồi khởi tạo kết nối mới”, “Đánh!”
và “Hy vọng đánh được câu trả lời từ máy chủ tới
máy trạm”. Giống như bất kỳ cuộc thi nào, có những
lúc các công cụ giám sát mạng bí mật “quá chậm không
thể thắng được cuộc đua”. Thường đủ, dù, chúng
là có hiệu quả. Các cài cắm với QUANTUMINSERT, đặc
biệt khi được sử dụng kếp hợp với LinkedIn, bây giờ
có tỷ lệ thành công hơn 50%, theo một tài liệu nội bộ.
Nghe lén các cáp
dưới biển
Cùng lúc, không có
cách gì đúng để nói rằng NSA có những hiểu biết thấu
đáo của nó được thiết lập một cách đặc biệt
trong việc chọn các cá nhân. Thậm chí mối quan tâm lớn
hơn là toàn bộ các mạng và các nhà cung cấp mạng, như
các cáp quang mà định hướng một lượng lớn giao thông
Internet toàn cầu cùng với các đáy biển trên thế giới.
Một tài liệu được
gắn nhãn “tuyệt mật” và “không dành cho những người
nước ngoài” mô tả sự truy cập của NSA trong việc
gián điệp hệ thống cáp “SEA-ME-WE-4”. Đống cáp dưới
biển khổng lồ này kết nối châu Âu với Bắc Phi và
các nước vùng Vịnh và sau đó tiếp tục qua Pakistan và
Ấn Độ, tất cả đường tới Malaysia và Thái Lan. Hệ
thống cáp đó xuất phát ở miền nam nước Pháp, gần
Marseille. Trong số các công ty sở hữu nó có France
Telecom, bây giờ được biết tới như là Orange và vẫn
một phần do nhà nước quản lý, và Telecom Italia Sparkle.
Tài liệu tuyên bố
hãnh diện rằng, hôm 13/02/2013, TAO “đã thu thập thành
công thông tin quản lý mạng đối với các Hệ thống Cáp
Biển của SEA-Me-We (SMW-4). “Với sự giúp đỡ của một
“chiến dịch cải trang website”, cơ quan đó đã có khả
năng “giành được sự truy cập tới website quản lý của
nhóm đó và đã thu thập được thông tin mạng Laver2 mà
chỉ ra bản đồ mạch cho các phần mạng đáng kể”.
Dường như các tin
tặc của chính phủ đã thành công ở đây một lần nữa
bằng việc sử dụng phương pháp QUANTUMINSERT.
Tài liệu nói rằng
đội của TAO đã đột nhập một website nội bộ của
nhóm vận hành và đã sao chép các tài liệu được lưu
trữ ở đó liên quan tới hạ tầng kỹ thuật. Nhưng điều
đó cũng chỉ là bước đầu. “Nhiều hoạt động hơn
sẽ được lên kế hoạch trong tương lai để thu thập
nhiều thông tin hơn về điều này và các hệ thống cáp
khác”, nó tiếp tục.
Nhưng nhiều tuyên bố
nội bộ các cuộc tấn công thành công như cuộc tấn
công đó chống lại các nhà vận hành cáp dưới đáy
biển không phải là các yếu tố nhất thiết để làm
cho TAO đứng ra trong NSA. Ngược lại đối với hầu hết
các hoạt động của NSA, các mạo hiểm của TAO thường
đòi hỏi sự truy cập vật lý tới các mục tiêu của
chúng. Sau tất cả, bạn có thể có được sự truy cập
trực tiếp tới một trạm truyền của mạng di động
trước khi bạn có thể bắt đầu nghe lén được thông
tin số nó cung cấp.
Gián điệp theo lối
truyền thống
Để
tiến hành các dạng hoạt động đó, NSA làm việc cùng
với các cơ quan tình báo khác như CIA và FBI, đổi lại
họ duy trì người cung cấp thông tin theo địa điểm,
những người sẵn sàng giúp với các nhiệm vụ nhạy
cảm. Điều này cho phép TAO tấn công thậm chí các mạng
được cách li không có kết nối tới Internet. Nếu cần,
FBI thậm chí có thể làm một chiếc phản lực tự có
của nó sẵn sàng chở các thợ ống nước công nghệ cao
tới đích của họ. Điều này đưa họ tới đích của
họ đúng lúc và có thể giúp họ biến mất một lần
nữa không dò tìm ra sau chỉ nửa giờ làm việc.
Việc
đáp ứng cho một yêu cầu từ SPIEGEL, các quan chức NSA
đã đưa ra một tuyên bố nói rằng, “TAO là một tài
sản quốc gia độc nhất mà ở tiền tiêu của việc xúc
tác cho NSA bảo vệ dân tộc và các đồng minh của nó”.
Tuyên bố đó đã bổ sung thêm rằng “công việc của
TAO được tập trung vào khai thác mạng máy tính trong sự
hỗ trợ của bộ sự tập tình báo nước ngoài”. Các
quan chức nói họ có thể không thảo luận những lý do
đặc biệt về nhiệm vụ của TAO.
Đôi khi dường như
là các vụ gián điệp hiện đại nhất thế giới chỉ
dựa vào các phương pháp do thám thông thường như các
bậc tiền bối.
Ví
dụ, khi họ can thiệp vào việc xuất xưởng phân phối.
Nếu một người bị ngắm đích, thì cơ quan hoặc công
ty đặt hàng một máy tính mới hoặc các linh phụ kiện
có liên quan, ví dụ thế, TAO có thể chuyển hướng việc
xuất xưởng phân phối đó tới các hội thảo kỹ thuật
bí mật của riêng nó. NSA gọi phương pháp này là sự
chặn đường. Ở cái gọi là “các trạm tải”, các
đặc vụ cẩn thận mở gói đó để tải các phần mềm
độc hại vào đồ điện tử, hoặc thậm chí cài đặt
các thành phần phần cứng mà có thể cung cấp truy cập
cửa hậu cho các cơ quan tình báo. Tất cả các bước
tiếp sau có thể sau đó được tiến hành thuận tiện từ
một máy tính ở xa.
Những phá hoại nhỏ
trong kinh doanh các gói hàng xuất xưởng nằm trong “các
hoạt động có năng suất nhất” được các tin tặc NSA
tiến hành, một tài liệu tuyệt mật có liên quan tới
các khái niệm này. Phương pháp này, trình diễn tiếp
tục, cho phép TAO giành được sự truy cập tới các mạng
“khắp thế giới”.
Thậm chí trong Kỷ
nguyên Internet, một số phương pháp gián điệp truyền
thống tiếp tục diễn ra.
BÁO CÁO CỦA JACOB
APPELBAUM, LAURA POITRAS, MARCEL ROSENBACH, CHRISTIAN STÖCKER,
JÖRG SCHINDLER VÀ HOLGER STARK.
The
insert method and other variants of QUANTUM are closely linked to a
shadow network operated by the NSA alongside the Internet, with its
own, well-hidden infrastructure comprised of "covert"
routers and servers. It appears the NSA also incorporates routers and
servers from non-NSA networks into its covert network by infecting
these networks with "implants" that then allow the
government hackers to control the computers remotely. (Click here to
read a related
article on the NSA's "implants".)
In
this way, the intelligence service seeks to identify and track its
targets based on their digital footprints. These identifiers could
include certain email addresses or website cookies set on a person's
computer. Of course, a cookie doesn't automatically identify a
person, but it can if it includes additional information like an
email address. In that case, a cookie becomes something like the web
equivalent of a fingerprint.
A
Race Between Servers
Once
TAO teams have gathered sufficient data on their targets' habits,
they can shift into attack mode, programming the QUANTUM systems to
perform this work in a largely automated way. If a data packet
featuring the email address or cookie of a target passes through a
cable or router monitored by the NSA, the system sounds the alarm. It
determines what website the target person is trying to access and
then activates one of the intelligence service's covert servers,
known by the codename FOXACID.
Tapping
Undersea Cables
At
the same time, it is in no way true to say that the NSA has its
sights set exclusively on select individuals. Of even greater
interest are entire networks and network providers, such as the fiber
optic cables that direct a large share of global Internet traffic
along the world's ocean floors.
One
document labeled "top secret" and "not for foreigners"
describes the NSA's success in spying on the "SEA-ME-WE-4"
cable system. This massive underwater cable bundle connects Europe
with North Africa and the Gulf states and then continues on through
Pakistan and India, all the way to Malaysia and Thailand. The cable
system originates in southern France, near Marseille. Among the
companies that hold ownership stakes in it are France Telecom, now
known as Orange and still partly government-owned, and Telecom Italia
Sparkle.
The
document proudly announces that, on Feb. 13, 2013, TAO "successfully
collected network management information for the SEA-Me-We Undersea
Cable Systems (SMW-4)." With the help of a "website
masquerade operation," the agency was able to "gain access
to the consortium's management website and collected Layer 2 network
information that shows the circuit mapping for significant portions
of the network."
It
appears the government hackers succeeded here once again using the
QUANTUMINSERT method.
The
document states that the TAO team hacked an internal website of the
operator consortium and copied documents stored there pertaining to
technical infrastructure. But that was only the first step. "More
operations are planned in the future to collect more information
about this and other cable systems," it continues.
But
numerous internal announcements of successful attacks like the one
against the undersea cable operator aren't the exclusive factors that
make TAO stand out at the NSA. In contrast to most NSA operations,
TAO's ventures often require physical access to their targets. After
all, you might have to directly access a mobile network transmission
station before you can begin tapping the digital information it
provides.
Spying
Traditions Live On
To
conduct those types of operations, the NSA works together with other
intelligence agencies such as the CIA and FBI, which in turn maintain
informants on location who are available to help with sensitive
missions. This enables TAO to attack even isolated networks that
aren't connected to the Internet. If necessary, the FBI can even make
an agency-owned jet available to ferry the high-tech plumbers to
their target. This gets them to their destination at the right time
and can help them to disappear again undetected after as little as a
half hour's work.
Responding
to a query from SPIEGEL, NSA officials issued a statement saying,
"Tailored Access Operations is a unique national asset that is
on the front lines of enabling NSA to defend the nation and its
allies." The statement added that TAO's "work is centered
on computer network exploitation in support of foreign intelligence
collection." The officials said they would not discuss specific
allegations regarding TAO's mission.
Sometimes
it appears that the world's most modern spies are just as reliant on
conventional methods of reconnaissance as their predecessors.
Take,
for example, when they intercept shipping deliveries. If a target
person, agency or company orders a new computer or related
accessories, for example, TAO can divert the shipping delivery to its
own secret workshops. The NSA calls this method interdiction. At
these so-called "load stations," agents carefully open the
package in order to load malware onto the electronics, or even
install hardware components that can provide backdoor access for the
intelligence agencies. All subsequent steps can then be conducted
from the comfort of a remote computer.
These
minor disruptions in the parcel shipping business rank among the
"most productive operations" conducted by the NSA hackers,
one top secret document relates in enthusiastic terms. This method,
the presentation continues, allows TAO to obtain access to networks
"around the world."
Even
in the Internet Age, some traditional spying methods continue to live
on.
REPORTED
BY JACOB APPELBAUM, LAURA POITRAS, MARCEL ROSENBACH, CHRISTIAN
STÖCKER, JÖRG SCHINDLER AND HOLGER STARK
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.