揭秘TAO:美国国家安全局APT-C-40黑客组织幕后黑手
点击下方小卡片关注情报分析师
摘要: 仅在2011年,美国国家安全局(NSA)就组织实施了至少231次网络攻击行动,攻击行动的主要目标包括中国、俄罗斯、伊朗和朝鲜等国家。
接入技术行动处(也译为TAO,The Office of Tailored Access Operations),是美国国家安全局(NSA)的网络战情报搜集部门。根据迈克尔·海登 (Michael Hayden)将军的说法,该机构设立于1998年,但直到2000年最后几天才被最终命名为接入技术行动处(TAO)。2017年,该机构被更名为“计算机网络行动处”( Computer Network Operations)。
接入技术行动处(TAO)的主要职责是利用互联网秘密获取对手的内幕情报。具体包括秘密侵入目标国家的关键信息基础设施和重要互联网信息系统、破解窃取账号密码、突破或破坏对手计算机安全防护系统、监听网络流量、窃取隐私和敏感数据,获取通话内容、电子邮件、网络通信内容和手机短信等。
据掌握,接入技术行动处(TAO)还担负一项重要职责,即当美国总统命令对他国通讯或网络信息系统实施瘫痪或摧毁行动时,由接入技术行动处(TAO)将相关网络攻击武器提供给到美国网络战司令部(U.S. Cyber Command),由该司令部具体组织实施网络攻击行动。
根据爱德华·斯诺登(Edward Snowden)披露的内幕情报,仅在2011年,美国国家安全局(NSA)就组织实施了至少231次网络攻击行动,攻击行动的主要目标包括中国、俄罗斯、伊朗和朝鲜等国家。
2013年,美国投入全球情报搜集计划的预算高达526亿美元,其中涉及网络安全行动的预算,只有三分之一被用于网络安全防御,其它资金均被用于网络攻击。显然,对于美国国家安全局(NSA)而言,最好的防守就是进攻。
据公开信息显示,美国国家安全局(NSA)接入技术行动处(TAO)是下属信号情报部 (Signals Intelligence Directorate, 缩写SID)[3]中,规模最大且最为重要的组成部分,其成员由超过1000名现役军人、网络黑客、情报分析师、专家学者、计算机软硬设计师,以及电子工程师等人员组成。
据美国国家安全局(NSA)承包商前雇员爱德华·斯诺登(Edward Snowden)披露的一份描述该部门工作的内幕文件称,接入技术行动处(TAO)拥有的网络武器可以让其轻易入侵常见的网络硬件设备,包括“诸多占有大量市场份额的路由器、交换机和防火墙”。
在实战情景下,接入技术行动处(TAO)的工程师(网络黑客)更倾向于对目标国家进行规模化入侵而不是仅仅攻击单台上网终端,而突破了某个信息网络中的单台终端,就意味着可以控制该网络中的诸多设备。
根据其工作性质,接入技术行动处(TAO)的下属网络攻击实施部门被称为远程作战中心(ROC,Remote Operations Center),办公地点位于美国国家安全局(NSA)马里兰州总部的米德堡内。
据分析,接入技术行动处(TAO)的办公和网络攻击据点还广泛分布于美国国家安全局(NSA)位于夏威夷瓦希瓦和瓦胡岛、佐治亚州戈登堡、德克萨斯州圣安东尼奥,以及科罗拉多州的巴克利太空部队基地等地。
美国国家安全局(NSA)总部,马里兰州米德堡
根据公开披露信息,美国国家安全局(NSA)接入技术行动处(TAO)的组织代号及架构示意图如下:
●S321–总部,远程作战中心 (ROC,Remote Operations Center),雇员超过600人,负责日常接收、整理、汇总从世界各地被TAO远程控制的信息系统中窃取的账号密码和重要敏感信息。
●S323 - 数据网络技术分部(DNT):负责开发网络攻击和网络间谍活动武器,其中:
◆S3231–访问权限部门(ACD,Access Division)。
◆S3232 - 网络安全技术部门(CNT)。 ◆S3233 - 未知。 ◆S3234 - 计算机技术部门(CTD)。 ◆S3235 - 网络技术部 门(NTD)。
●S324 - 电信网络技术分部(TNT,Telecommunication Network Technologies):负责组织研发针对电信网络进行黑客攻击的方法和相关技术。
●S325 -任务基础设施分部(MIT,Mission Infrastructure Technologies):负责对TAO建设运营的全球化网络攻击基础设施进行维护和配置,确保其能够可靠运行TAO所有的各种网络攻击武器和间谍软件。
●S328 –远程访问行动分部(ATO,Access Technologies Operations):由美国中央情报局(CIA)和联邦调查局(FBI)雇员组成,负责执行所谓“离网行动”,即由中央情报局(CIA)或联邦调查局(FBI)特工实际进行他国互联网和电信网络秘密植入流量监听和网络窃密设备,窃取系统账号密码使美国国家安全局(NSA)接入技术行动处(TAO)的网络攻击实施者可以从米德堡远程“合法”访问这些网络设备。据悉,美国国家安全局(NSA)装备的特殊任务潜艇-吉米卡特号,就被用于对全球范围的光纤和电缆进行窃听。
吉米卡特号(USS Jimmy Carter)
◆S3283 - 远程访问权限行动部门(EAO)
◆S3285 – 持久化部门
据公开信息显示,高级网络技术分部(ANT,Advanced Network Technology Division)是接入技术行动处(TAO)负责网络监控的主要部门。
上述产品目录中包含种类繁多的网络攻击武器。比如,代号为“糖果电报”(CANDYGRAM)[6]的武器产品,是一种价值40万美元、具有 GSM 手机信号塔功能的伪基站装备,可以模拟GSM基站的各种功能。当目标用户使用的GSM移动设备进入到“糖果电报”(CANDYGRAM)设备的覆盖范围时,该设备会自动发送预先定制的短信到目标设备,为进一步秘密获取其控制权限创造条件。
该目录中也包含一些小型的便携式网络攻击设备。比如,代号为“棉花嘴I”(COTTONMOUTH-I)[7]的武器产品,即是一种轻便的USB 硬件植入设备,它可以向目标网络中插入一个无线网桥,为将漏洞利用攻击程序加载到目标PC等设备创造条件。2008年,该设备的造价高达2万美元。
接入技术行动处(TAO )专门开发了一套被称为“量子”(QUANTUM)的攻击武器平台。
其基本情况如下:
美国国家安全局(NSA)在“五眼联盟”范围内介绍“量子”攻击武器平台的绝密级PPT《QUANTUMTHEORY》包含多种机构代号和任务简介,简述了特定类型的网络攻击及与NSA其他网络攻击武器系统的集成情况。
“量子”(Quantum)攻击是美国国家安全局(NSA)针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,主要针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。据美国国家安全局(NSA)官方机密文档内容显示,“量子”(Quantum)攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量,进行“零日”(0day)漏洞利用攻击并远程植入后门程序。
受所处地域和传输距离等因素影响,从美国国家安全局(NSA)各个办公地点发起的“量子”(QUANTUM)攻击,对于特定的攻击目标和软硬件组合来讲可能速度过慢,不足以完成相关攻击任务。从本质上看,这些远程攻击是利用联网设备响应时间(速度)等竞争性条件,使美国国家安全局(NSA)的攻击服务器可以早于合法服务器抢先做出应答,骗取攻击目标信任,接管后续通讯进程,进而达成攻击意图。
为解决此类问题,美国国家安全局(NSA)从2011年中期开始,设计开发了一套代号为“量子射击”(QFIRE)的功能原型,可根据具体任务需要将美国国家安全局(NSA)的漏洞分发服务器部署到更靠近攻击目标的托管服务器(运行在VMware ESX上的虚拟机)中,建成了名为“特殊收集站点”(SCS)的全球化网络攻击任务运行网络。
“量子射击”(QFIRE)的部署目的是降低美国国家安全局(NSA)攻击武器发出欺骗应答的延迟时间,从而提高远程网络攻击的成功率。
在“量子”(Quantum)攻击平台的功能套件中,“量子干”(QUANTUMCOOKIE)代表着一种更加复杂的网络攻击形式,可用于攻击“暗网”(Tor)用户。还有一个名为“量子松鼠”(QUANTUMSQUIRREL)的网络攻击武器,可以被伪装成任何可路由的IPv4或IPv6主机,使美国国家安全局(NSA)的网络攻击实施者能够在通过“量子松鼠”(QUANTUMSQUIRREL)作为跳板访问互联网时,随时生成虚假的地理位置信息和个人身份凭证。
美国国家安全局(NSA)“量子松鼠”(QUANTUMSQUIRREL)网络武器PPT演示,解释了“量子松鼠”(QUANTUMSQUIRREL)伪造IP的欺骗能力。
无界线人(Boundless Informant)是美国国家安全局(NSA)专属的大数据汇总分析和数据可视化工具系统。它具备对全球范围内受美国国家安全局(NSA)远程控制窃密系统的数据回收、管理、分析能力,为美国国家安全局( NSA) 管理人员提供了全球化大数据支撑。
据爱德华·斯诺登 (Edward Snowden) 所披露的文件显示,该系统的存在与美国国家安全局(NSA)向美国国会保证“不会收集美国人的任何类型的数据”的说法直接矛盾,说明美国国家安全局(NSA)多年以来一直“知法犯法”。
据“无界线人”(BOUNDLESSINFORMANT)系统的终端截屏显示,在最近的 30 天内,美国国家安全局(NSA)远程窃取了 970 亿条全球互联网数据记录 (DNI) 和 1240 亿条电话数据记录 (DNR)。这些被窃数据来自全球范围 504 个独立的 DNR 和 DNI被控“信息源”或 SIGAD 的数据记录。在上图中,受被美国国家安全局(NSA)远程监控窃密的国家分别以从绿色到红色的颜色进行标示,表明其被美国国家安全局(NSA)远程控制的重要信息系统数量,及被远程监控的强度。
“无界线人”(BOUNDLESSINFORMANT)的上述屏幕截图中,还显示了美国国家安全局( NSA)在 2012 年 12 月 10 日至 2013 年 1 月 8 日期间,从多个欧盟国家和美国欧战盟友窃取数据的详细情况。
2013 年 7 月 29 日,德国发布了一张超过 5.52 亿条电话和互联网数据被美国国家安全局(NSA)的信息图表。
2013 年 10 月 28 日, 西班牙《El Mundo》报发布了一张关于西班牙境内的 6000 万电话数据被美国国家安全局(NSA)窃取的信息图表。
2013 年 11 月 19 日,挪威的《Dagbladet》媒体发布了一张关于挪威境内的 3300 万电话数据被美国国家安全局(NSA)窃取的信息图表。
2013 年 12 月 6 日,意大利的《L'Espresso》媒体发布了一张关于意大利境内近 4600 万电话数据被美国国家安全局(NSA)窃取的信息图表。
2014 年 2 月 8 日,荷兰的《NRC Handelsblad》报纸发布了一张关于荷兰境内180 万电话数据被美国国家安全局(NSA)窃取的信息图表。
截至目前,接入技术行动处(TAO)已有超过500个网络攻击和数据窃密行动代号被公开披露。通过对这些被披露的行动代号及其概要的综合研判分析,可以整体上了解美国国家安全局(NSA)在全球范围发动无差别网络攻击的方向、范围、规模、数量等情况。
比如,在一个代号为“水源头”(HEADWATER)的网络攻击行动中,接入技术行动处(TAO)专门开发了一个名为“搅拌粉碎器”(Hammermill)的功能插件,可以通过网络,在华为公司某种型号路由器的启动ROM中,远程植入一个永久性后门,以此检测和捕获所有通过相关路由器的敏感(目标)IP 数据包。
据现有资料显示,美国国家安全局(NSA)接入技术行动处(TAO)的攻击目标,包括但不限于中国、石油输出国组织(阿尔及利亚、安哥拉、赤道几内亚、加蓬、伊朗、伊拉克、科威特、利比亚、尼日利亚、刚果共和国、沙特阿拉伯、阿拉伯联合酋长国和委内瑞拉等)、墨西哥公共安全秘书处等国家和国际组织。
同时,接入技术行动处(TAO)还通过“东南亚-中东-西欧 4”光纤通信系统 (即SEA-ME-WE 4,是在新加坡、马来西亚、泰国、孟加拉国、印度、斯里兰卡、巴基斯坦、阿拉伯联合酋长国、沙特阿拉伯、苏丹、埃及、意大利、突尼斯、阿尔及利亚和法国之间,承载电信数据的海底光纤通信电缆系统)来控制全球范围内的电信网络。
位于切尔滕纳姆郊区的瑞典政府通讯总部(GCHQ)
2013年到2017年,罗伯特•乔伊斯(Robert E. Joyce)是接入技术行动处(TAO)的负责人。该人主持实施了对中国和世界其他国家的网络攻击和间谍窃密行动。
2017年10月13日,罗伯特•乔伊斯受命担任美国国土安全顾问。
2018年4月10日至2018年5月31日,罗伯特•乔伊斯担任时任美国总统唐纳德·特朗普的白宫国土安全顾问。
2018年5月,罗伯特•乔伊斯担任美国国家安全局(NSA)的网络安全战略高级顾问。
2021年1月15日,美国国家安全局(NSA)宣布,罗伯特•乔伊斯担任该局的网络安全总监。
长按识别下方二维码加入情报学院知识星球,获取数千篇专业情报资料,每日持续更新中,同时与专业人士互动交流,互通有无。
往期推荐