2019/01/18

NSA部署项目可根据QQ飞信锁定目标 

近日国外媒体刊文,称斯诺登曝光的最新机密文件更详细地介绍了美国国家安全局(NSA)的监控技术。文件显示,NSA能根据用户是否使用谷歌、雅虎、Skype、飞信和QQ等信息来锁定监控目标。

根据斯诺登曝光的文件,NSA部署并运行着“Turbine”恶意软件植入系统,以及代号为“Turmoil”的数据监控传感器网络,以监控整个互联网上传送的数据包。

“Turmoil”能根据一系列“分拣器(selector)”自动识别被监控目标的数据,并将数据发回NSA进行分析以及恶意软件攻击。

此次曝光的文件中列出了NSA使用的“分拣器”类型,其中包括:

1.计算机标识符。包括Hotmail、谷歌、雅虎、Mail.ru、Yandex、Twitter、Rambler和DoubleClick的Cookies、序列号、Simbar和ShopperReports等浏览器标签、Windows错误标识符和Windows升级标识符等。

2.注册的设备。这包括苹果和诺基亚等手机的IMEI串号、iOS设备的UDID,以及蓝牙设备的名称和地址等。

3.加密密钥。这主要是指能唯一识别用户的加密密钥,例如ejKeyID。

4.网络信息。这包括无线MAC地址、小型卫星通信站的MAC地址和IP地址,以及来自Putty和WinSCP等终端软件的远程管理IP等。

5.来自用户的线索。包括与MSN Passport、谷歌、雅虎、Youtube、Skype、Paltalk、飞信、QQ和Hotmail有关的用户Cookies、注册信息和个人档案文件夹,以及通过STARPROC识别出的活跃用户。

机密文件显示,美国国家安全局(以下简称“NSA”)正在大幅提升入侵电脑的能力,希望借助自动化系统来降低人工参与度。

这份机密文件是由NSA前雇员爱德华·斯诺登(Edward Snowden)提供的,里面包含了有关这种革命性监视技术的新细节。NSA希望通过植入恶意软件的方式,利用这项自动化技术感染全球数以百万的电脑。NSA可以借助该秘密项目入侵目标电脑,并从海外的互联网和电话网络中提取数据。

该项目使用的基础设施来自NSA总部所在地米德堡,以及英国和日本的间谍基地。英国情报机构GCHQ似乎也为其提供了帮助。

某些情况下,NSA还会伪装成Faceboook服务器,利用该社交网络作为跳板来感染目标电脑,从而提取硬盘中的文件。还有些情况下,他们会发出附带恶意软件的垃圾电子邮件,然后利用电脑的麦克风录制音频,或用摄像头录制视频。这套黑客系统还可以帮助NSA发动网络攻击,中断对方的文件下载或阻止其访问网站。

这种模式曾经是专门为数百个难以攻击的目标预留的,这些目标的通讯信息难以通过传统的监听手段获得。但文件显示,NSA过去10年逐步用电脑代替人工来从事一些工作,从而大幅加快项目进度。这套名为“涡轮”(TURBINE)系统希望通过自动控制系统来大幅扩大目前的植入网络的规模。

在一份日期为2009年8月的机密文件中,NSA描述了这个名为“专家系统”的秘密基础设施的预编程部分。该系统“像人脑”一样管理着植入程序的各种功能,而且可以“决定”哪些工具最适合从被感染的电脑中提取数据。

网络安全公司F-Secure首席研究馆米考·海珀宁(Mikko Hypponen)表示,NSA的这项监视技术可能会对网络安全造成影响。“当他们在系统上部署恶意软件时,可能会给这些系统制造新的漏洞,导致其更容易遭受第三方的攻击。”他说。

海珀宁认为,政府或许有足够的理由针对一小部分目标植入恶意软件。但通过自动化系统向数以百万的电脑植入恶意软件可能会令局面失控。

“拥有网络”

NSA 10年前开始大幅加快黑客活动。机密文件显示,该机构2004年的植入网络只有100至150台被感染的电脑。但之后6至8年,一个名为Tailored Access Operations(以下简称“TAO”)的精英部门招募了一批新的黑客,开发了新的恶意软件工具,从而把被感染的电脑数量增加到数万台。

为了渗透海外电脑网络,并监控通过其他手段难以获取的通讯信息,NSA希望突破传统的SIGINT电子通讯监控模式的限制,转而扩大这种主动监听措施的规模——直接渗透目标电脑或网络设备。

该文件显示,NSA将此称作“一种更激进的SIGINT”,而TAO的使命就是全力扩大这一项目。但NSA也意识到,完全通过人工方式来管理庞大的植入网络并非易事。“主动SIGINT/攻击的一大挑战在于规模。”2009年的这份机密文件称。

于是,他们启动了“涡轮”系统,希望以此实现大规模的入侵。该项目可以大幅减轻NSA黑客的工作强度。机密文档称,该系统可以减轻用户压力,使之不必了解细节。例如,用户可以索要有关X应用的所有细节信息,但却不必知道该应用的文件、注册表项和用户应用数据的存储方式和存储地点。

在实践中,这就意味着“涡轮”系统可以自动完成原本需要手工完成的关键程序,包括配置被感染的电脑,以及从被感染的系统中搜集数据。但这不仅仅是一项技术进步,还代表了NSA内部的重大策略调整,他们希望借此将监视行动推向新的高度。

一份未标注日期的NSA机密文档,就描述了“涡轮”系统如何将NSA的CNE和CNA两大植入网络的规模,从几百台电脑扩充到几百万台。CNE专门从电脑和网络中截取情报,CNA则负责对电脑和网络实施破坏。

之前有报道称,斯诺登提供的文件表明,NSA已经在全世界的8.5万至10万台电脑中植入了恶意软件,今后还计划继续扩大这一数字。

文件显示,NSA还将“涡轮”项目列为一个名为“拥有网络”(Owning the Net)的大型项目的一部分。该机构去年为“拥有网络”项目申请了6760万美元的资金,其中有一部分被分配给“涡轮”系统,用于扩大该系统的范围,并提升自动化程度。

绕开加密

NSA拥有多种恶意软件工具,而不同工具针对不同目的而订制。

其中一种代号为“UNITEDRAKE”的工具可以与多种“插件”配合使用,使NSA获得被入侵计算机完整的控制权。

例如,一种名为“CAPTIVATEDAUDIENCE”的插件可以控制目标计算机的麦克风,记录附近发生的对话。另一种插件“GUMFISH”能控制目标计算机的摄像头并拍摄照片。此外,“FOGGYBOTTOM”能记录互联网浏览历史数据,并收集用户登录网站和电子邮件帐户的用户名和密码,“GROK”用于记录键盘输入,而“SALVAGERABBIT”能获取连接至计算机的U盘中的数据。

这些恶意软件使NSA能绕开用于加强隐私保护的加密工具。目前,一些加密工具希望帮助用户匿名浏览互联网,或是在电子邮件的发送过程中加密内容。然而,通过这些恶意软件,NSA能直接访问目标计算机,而此时用户的通信尚未获得加密保护。

目前尚不清楚,NSA每年使用多少次这些恶意软件,以及哪些恶意软件仍活跃在用户的计算机中。

此前有报道称,NSA与以色列合作,开发了Stuxnet恶意软件,而这一工具破坏了伊朗的核设施。另有报道称,NSA与以色列合作部署了名为Flame的恶意软件,攻击了位于中东国家的计算机,并监控相关的通信。

根据斯诺登提供的文件,这些技术被用于寻找恐怖主义嫌疑人,以及被NSA定性为“极端分子”的人物。不过,NSA黑客获得的授权并不仅限于与美国国家安全有关的目标。

在内部讨论版的一篇保密文章中,NSA下属信号情报局的一名人员介绍了如何使用恶意软件攻击美国国外移动运营商和互联网服务提供商的系统管理员。通过劫持一名管理员的计算机,情报部门能秘密获取这名管理员所在公司的通信。这名NSA的工作人员表示:“系统管理员是达到目的的手段。”

这篇内部文章题为“狩猎系统管理员”,很明确地表明恐怖分子并非NSA攻击的唯一目标。根据这名工作人员的说法,攻击系统管理员帮助情报机构更方便地瞄准其他利益相关目标,包括“该系统管理员所管理网络中的政府官员”。

英国类似NSA的部门政府通信总局(GCHQ)也采取了类似的做法。德国《明镜周刊》去年9月报道称,GCHQ攻击了比利时电信运营商Belgacom网络工程师的计算机。

这一任务的代号为“Operation Socialist”,目的是使GCHQ能监控连接至Belgacom网络的手机。机密文件显示,这一任务获得了成功,而至少从2010年开始,该情报部门就可以秘密访问Belgacom的系统。

不过,攻击移动通信网络并不是这些恶意软件的全部功能。NSA设计了一些恶意软件,能大规模感染美国国外互联网服务提供商的路由器。通过攻击这些路由器,情报机构能秘密监控互联网流量,记录用户的访问记录,甚至拦截通信。

NSA的两款工具“HAMMERCHANT”和“HAMMERSTEIN”可以植入路由器中,从而拦截通过VPN(虚拟私有网络)发送的数据,甚至对这些数据进行“利用性攻击”。VPN技术使用加密通道来加强互联网会话的安全性和私密性。

Article Tags

Related Posts